バッチ処理やログオンスクリプト改ざんなどを確認～標的型サイバー攻撃 (トレンドマイクロ)

バッチ処理やログオンスクリプトのような正規活動に不正活動を埋め込んだり、SIEM がシステムログ保全タスクを実行する前にログを改ざんするなど、感染後の内部活動の巧妙化が進む例を紹介した。

研修・セミナー・カンファレンスセミナー・イベント

2015年5月27日（水） 11時45分

東京ビッグサイトで5月13日から15日まで開催された「第12回情報セキュリティ EXPO 春」では、セキュリティ企業の調査による最新の脅威動向と、その対策が紹介された。本稿は、BYODやマイナンバー、Windows Server 2003 など複数のテーマで多くの講演を行ったトレンドマイクロ株式会社のセッションから、標的型攻撃の最新脅威動向と対策に特化したふたつのプレゼンテーションをレポートする。

同社セキュリティエヴァンジェリスト岡本勝之氏によれば、標的型攻撃の隠蔽工作が巧妙化の一途だという。具体例として岡本氏は、C&C サーバを日本国内に設置して監視をまぬがれようとする事例の比率が、昨 2014 年に、前年比 7 倍に増えた事実や、ほとんどの遠隔操作ツールが、通常のファイアウォールがブロックしない 80 番（HTTP）や 443 番（HTTPS）、53 番（DNS）などのポートを使用していたことなどを挙げた。

また、組織内に入り込んだあとの内部活動は、これまでも Windows Sysinternals のような正規ツールや、正規コマンドを使って行われていたが、それに加え、バッチ処理やログオンスクリプトのような正規活動に不正活動を埋め込んだり、SIEM がシステムログ保全タスクを実行する前にログを改ざんするなど巧妙化が進む例を紹介した。

つづくセッションで同社の鈴木真史氏は、昨 2014 年の被害傾向を一言で表すと企業経営を脅かす標的型攻撃が横行したと語り、日米で発生した大規模なサイバー攻撃の事例を示した。なかでも北米で 9 月に発生した、5,600 万件のカード情報と 5,300 万件のメールアドレスの漏えいの可能性がある大手小売店チェーンの被害事例では、二次的損失として 44 件の訴訟が発生しており、訴訟や社会的信用失墜、サービス停止などの、直接的損失以外の、企業経営を脅かすリスクを示した。

また、標的型攻撃の侵入経路は、何度かメールをやりとりして信用させてから攻撃する「やりとり型」、正規サイトを改ざんする「水飲み場攻撃」などの従来から知られていた方法に加え、健康保険組合からの連絡を装う等、日本のビジネス習慣をふまえた攻撃や、特定分野の研究者のコミュニティに対し、研究会開催通知や申込方法連絡などを装う攻撃が増えているという。

鈴木氏は、100％守ることができない時代には侵入前提のレスポンスが重要であると述べ、そのためには、まず感染していることに気づくために、従来のパターンマッチングだけでなく、振る舞い検知やヒューリスティックなど、複数の検出ロジックを多層に並べ未知の脅威を検出する仕組み作りの必要性、発見後の事後対応の時間をいかに短縮するかの重要性に言及した。

通常、イントラネット内で未知のマルウェアが発見されると、(1)ウイルス対策ベンダに検体を送付し、(2)ベンダが検体を解析しパターンファイルを作成し、(3)次にその新しいパターンファイルを受け取ったら、社内に配信し、駆除を行うといった複数の工程が必要であり、未知の攻撃への対処を自社内で完結させることはできなかった。

こうした状況に対応しトレンドマイクロは、同社製品Deep Discovery Inspector を用い、未知の攻撃が検知されると、それに向けたその企業専用のシグネチャ（カスタムシグネチャと呼ばれる）を自動で生成し、統合管理製品を経由して、ウイルスバスターコーポレートエディションに配信し、特定の企業を狙った攻撃を自社完結させる機能を今年6月～8月に提供開始する予定だという。

こうした、標的型サイバー攻撃対策製品と既存製品との連携は今後も強化していく予定であり、ゲートウェイ製品である Interscanシリーズの他、日本発売を今後予定しているクライアントサイドの対策製品 Deep Discovery Endpoint Sensor も連携対象に予定されているという。

鈴木氏は講演の最後で、同社が提案する標的型攻撃対策製品連携ソリューションの重要ポイントとして「侵入前提の対策」「感染や被害発覚後の対応の迅速化」「既存セキュリティ製品の活用」の 3 つを挙げた。

《高橋潤哉（ Junya Takahashi ）》