APTには多層防御に加えインテリジェンス活用が有効、CrowdStrike社 CTO来日
米クラウドストライク社共同創業者兼 CTO ドミトリ・アルペロヴィッチ氏が来日し、マクニカネットワークス株式会社が7月8日都内で開催したカンファレンス Macnica Networks DAY 2014 でサイバー攻撃者の特定に関する講演を行った。
アルペロヴィッチ氏は、McAfee社の脅威分析に従事し、さまざまなサイバーインシデントの分析を行い「Operation Aurora」「Night Dragon」「Shady RAT」などを担当した。
クラウドストライク社は、サイバー攻撃を行う国家や犯罪組織などに関するインテリジェンスを企業向けに提供するユニークなサービスを中核に、セキュリティ機器やインシデントレスポンスサービスなどを提供するセキュリティ企業。
講演でアルペロヴィッチ氏は、標的を定めず、場当たり的にサイバー攻撃をくり返し、幸運に見舞われた際に攻撃に成功する「オポチュニスティックアクター」に対しては、多層防御が有効であったものの、ここ5~6年の特定企業を狙って時間と資金を投下して行われるAPT攻撃に対しては決定的な対策手段とはなりえないため、インテリジェンスを活用し、攻撃者の顔と意図を理解して、これから来る攻撃を予測した対策を実施することが重要であると述べた。
クラウドストライク社では、こうした目的のもと、リソース言語やタイムゾーン、IPアドレス、コーディングスタイルなどのさまざまな攻撃者の足跡をもとにして、サイバー攻撃組織の特定と分析を行っており、その調査分析活動はグローバルにおよぶ。アルペロヴィッチ氏が「Operation Aurora」「Night Dragon」などの作戦名の名付けを行ったように、中国の攻撃組織にはパンダ、ロシアには熊、インドには虎、犯罪組織には蜘蛛、ハクティビストにはジャッカルなどの名称をつけて分類を行っているという。たとえばシリア電子軍をクラウドストライク社は「DEADEYE JACKAL」と呼称し知見を蓄積している。また、講演会場では、中国に本拠があり日本の政府機関を中心に攻撃を続ける攻撃組織のスライドなどが公開された(撮影禁止スライドのため掲載不可)。
アルペロヴィッチ氏は「攻撃活動が長期にわたると攻撃者が匿名であり続けることは難しい」と述べ、実際にクラウドストライク社が、C&Cサーバのドメインを起点に調査を開始し、写真共有サイトやブログなどを精査し、最終的に軍警察に勤務する攻撃者個人特定を行ったプロセスをスライドで公開した。
ソース・関連リンク
関連記事
Scan PREMIUM 会員限定記事
もっと見る-
-
Linux の GSM ドライバにおける Use-After-Free の脆弱性(Scan Tech Report)
2024 年 1 月に公開された、Linux カーネルの脆弱性を悪用するエクスプロイトコードが公開されています。攻撃者は当該脆弱性の悪用により、一般権限での侵入に成功した OS の管理者権限が奪取可能です。Linux カーネルのアップデートにより対策してください。
-
訃報:セキュリティの草分けロス・アンダーソン氏 死去 67 歳、何回分かの生涯に匹敵する業績
彼は英国王立協会のフェローでもあり、ニュートン、ダーウィン、ホーキング、チューリングが名を連ねる「知の殿堂」入りを果たしていた。
ピアツーピアシステムとハードウェアの耐タンパー性における草分け的存在である彼は、チップや銀行の暗証番号カードなどの安全な設計に長年取り組み大きな影響を与えた。そして、ATM におけるセキュリティ上の欠陥を公表するというアンダーソンの取り組みにより、世界中で ATM の設計が変更されることとなった。 -
ガートナー クラウドクッキング教室 ~ CCoE 構築の重要性
最後に、ハンキンス氏はクラウドセキュリティ全体像を戦略メニューとして図示した。上記で説明したソリューションやツール、各種フレームワークやプラットフォームが、機能や用途ごとに俯瞰できるものだ。この図は、ガートナーのクラウドセキュリティのコンサルティングの戦略ベースを示したものといってもよい。自社のセキュアクラウドを構築するときの「レシピ」として利用することができるだろう。