Skip to content

セキュリティマガジン TREND PARK

「カスタムディフェンス」を実現する中核製品
Deep Discovery Advisor™発表

刻々と変化する標的型サイバー攻撃の情報を集約し、既存製品の防御力を高める


トレンドマイクロは2013年6月27日、標的型サイバー攻撃対策製品「Deep Discovery Advisor(以下、DDA)」を発表しました。DDAは、刻々と変化する標的型サイバー攻撃の情報を集約し、トレンドマイクロの既存製品と連携することで防御力を高める仮想解析型アプライアンスです。この製品は、トレンドマイクロが先に発表した標的型サイバー攻撃に対するソリューションコンセプト「カスタムディフェンス」を実現する中核製品になります。
発表会前半では、標的型サイバー攻撃の実態と有効な対策ポイントについて、そして後半では、カスタムディフェンスを実現する新製品DDAと既存製品の強化ポイントを説明しました。企業に求められる標的型サイバー攻撃対策とは何か、そして攻撃に対する防御能力を高めるカギとなるDDAとはどのような製品なのか、発表会のレポートからご紹介します。

標的型サイバー攻撃の実態から読み解く3つの対策ポイント

トレンドマイクロ セキュリティエバンジェリスト 染谷 征良

発表会の前半ではトレンドマイクロ セキュリティエバンジェリストの染谷 征良が、トレンドマイクロがこれまでに確認した一連の標的型サイバー攻撃の実態から、得られる教訓について解説しました。
染谷は「昨今の標的型サイバー攻撃の侵入方法におけるテクニックの一つに、ソーシャルエンジニアリングがあげられます。侵入の時点で相手を信用させ、セキュリティ製品による検出を逃れるため、攻撃者はあらゆる手段を駆使します。 」と述べ、昨今の攻撃の特徴について説明をはじめました。

ソーシャルエンジニアリングの手口の一つが、偽装メールです。標的となった組織の従業員を欺くため、メールに添付された不正なファイルには、履歴書や見積書のほか、インドの弾道ミサイル防衛プログラムや、東日本大震災後の放射線量統計データといった極めて特有な内容に偽装したものまで、標的に関連する様々な内容が利用されていることを確認しています。さらに、ファイルの中には正規の文書とみせかけ、WordやAcrobatなどの文書アプリケーションの脆弱性を悪用したり、実行ファイルでありながら拡張子やアイコンを偽装する例もありました。
また、標的になった組織への侵入方法を分析したところ、2012年上半期には文書アプリケーションの脆弱性を悪用したものが約7割、実行ファイルの悪用が約3割だったのに対し、下半期には逆転して実行ファイルが7割となっていました。(※1)攻撃者が標的やタイミングによって、攻撃手法を変化させていることがうかがえます。

侵入に成功すると、標的の組織内部にはバックドアと呼ばれる不正プログラムが仕掛けられます。バックドアは、外部の攻撃者の指令、窃取した情報のやりとりのためにインターネット通信を利用します。攻撃者独自のポートやプロトコルを利用した場合、ファイアウォールで不正な通信として検知することが可能です。しかし、多くの攻撃において、HTTP、HTTPS、ポート80、443 などインターネット接続で使う通信経路が利用されていることが分かっています。(※2)
染谷は、「通常のインターネット接続で使う通信経路が利用された場合、ポートやプロトコルといった、断片的な情報だけでは通信が不正か否かの判断は困難です。従来のファイアウォールのみでは、標的型サイバー攻撃に対応しきれない理由がまさにこの点なのです。」と指摘します。

さらに、「バックドアが外部から指令を受け、窃取した情報を送信するために利用されるのが『C&Cサーバ』と呼ばれる攻撃基盤です。この攻撃基盤を使い、攻撃者は組織内部のバックドアを操作し、目的を達成させるのです。標的に対して継続的に行われる一連の攻撃を、トレンドマイクロではキャンペーンと呼んでいます。キャンペーンで利用されるC&Cサーバは世界各国に複数設置されていることもわかっています。(※3)」と染谷は説明します。

トレンドマイクロが確認したキャンペーンとして、2010年10月以降、台湾の政府機関を標的に行われている「Taidoor(タイドル)」や、2009年7月以降に東アジア、台湾、ヨーロッパの政府機関、電機メーカ、通信会社を標的に行われていた「IXESHE(アイスシ)」などがあります。これらのキャンペーンを調査分析したところ、 ある傾向が見えてきました。

それぞれのキャンペーンにおいて、攻撃の時期などにより、都度新しい検体が確認された一方、これらの異なる検体からは共通の特徴をもった通信が外部のC&Cサーバに送られていたのです。また、通信を受けるC&Cサーバは、攻撃の時期によっては新規に設置されたり、再利用されていることが明らかになりました。こうした点から、標的型サイバー攻撃において、攻撃者からの指令を受けて情報を窃取するためのC&Cサーバと、攻撃者との間に発生する通信が、大きな役割を担っているということが言えるのです。

標的型サイバー攻撃の分析で明らかになった特徴から、染谷は対策のポイントとして次の3点を挙げました。

―個々の攻撃手法やツールに応じた対策は大前提
攻撃に利用される脆弱性や、ポートやプロトコル、また、バックドアはどのようなものが使われているのかなど、個々の攻撃手法に着目し、それに適した対策を講じることが大前提です。

―攻撃基盤と通信の特徴に応じたアプローチがカギ
一連のキャンペーンを分析した結果、C&Cサーバと、C&Cサーバを経由して行われる攻撃者とバックドアの通信が攻撃において重要な役割があるということがわかりました。異なる攻撃同士であっても、共通項を導きだすことで、互いの関連性を見出せることもあるからです。このため、C&Cサーバと通信の特徴に着目・対応したセキュリティ対策は非常に有効であり、標的型サイバー攻撃対策のカギになります。

―攻撃手法、ツール、攻撃基盤、通信の特徴から関連性を見出し、危険を察知できる対策が必要
標的となった組織に送られる添付ファイルの特徴から、C&Cサーバや通信の特徴まで、標的型サイバー攻撃では、非常に多くの注意を払うべきポイントがあります。しかし、個々に確認された事例や手法を評価、分析したところで、攻撃全体の危険度や緊急度を的確に判断することができません。バックドアの挙動や、C&Cサーバとの通信の種類など、それぞれの特徴の共通項を見出し、関連性を紐解くことで攻撃の全体像を把握すると共に、次なる攻撃に対する迅速な対応にも繋げることが必要なのです。

記事公開日 : 2013.07.24

ページの先頭へ