企業を狙う標的型攻撃――その手口と抜本的な対策とは(1/2) − @IT(情報元のブックマーク数)
パロアルトの方による、標的型攻撃の説明とその対策
今回取り上げるのは、最近メディアをにぎわせている日本版APT(Advanced Persistent Threat)攻撃、いわゆる「標的型攻撃」だ。ソーシャルアプリ時代のセキュリティを考える上で避けて通ることのできない標的型攻撃の被害を、どのようにして食い止めることができるのか、具体的な例を交えながら考えてみよう。
企業を狙う標的型攻撃――その手口と抜本的な対策とは(1/2) − @IT
ターゲットが明確、たぶん取得したいものも明確、マルウエアもこれまでは全方位型というか汎用型マルウエアだったけど、標的型は個別カスタマイズマルウエア
これらの標的型攻撃の特徴は、ターゲットとなっている企業が明確になっている点だ。こうした攻撃に使用されることの多いマルウェアを例に、従来型との違いを見てみよう。
企業を狙う標的型攻撃――その手口と抜本的な対策とは(1/2) − @IT
従来のような、ネットワークワームやトロイの木馬ウイルスといったマルウェアの場合、作成者自身が対象を特定していないケースがほとんどだ。そのため、幅広い企業で多く感染が確認されることになる。
これに対して、先に述べたような標的型攻撃で利用されるマルウェアの場合、往々にしてマルウェア自体がターゲット企業を狙うためだけに「新たに」作成される。一般的なアンチウイルスベンダによって検体が発見されることなく、対応するパターンファイルなども提供されないままなので、企業側でアンチウイルスなどのセキュリティ対策を行っていたとしても、マルウェアがすり抜けてしまう可能性が高くなる(図1)。
以前はIRC、今はHTTP
これらの通信は、以前はIRCや独自プロトコルで行われることが主流だった。だが最近では、HTTPプロトコルでトンネルした上で、独自に暗号化したデータをヘッダやペイロード内に埋め込んで送信するケースも増えている。そうすると、いくら企業の入り口でこのような通信を監視したとしても、独自暗号のためシグネチャなどでは検出できず、また星の数ほどあるインターネット向けのWeb通信に紛れてしまって、見つけ出すのが困難になってしまう。
企業を狙う標的型攻撃――その手口と抜本的な対策とは(2/2) − @IT
ここまで説明すると、いかに標的型攻撃への対策が困難かが分かると思う。
さて、対策
標的型攻撃に対応するためには、大きく以下の3つの段階での対策が必要だと考える。
企業を狙う標的型攻撃――その手口と抜本的な対策とは(2/2) − @IT
- 脅威の侵入経路を狭める
- マルウェアの侵入を食い止める
- 侵入された感染端末をできる限り早く発見する
SNSに近づけるな!
先の例ではSNSを侵入の入り口として紹介したが、自宅のパソコンからの個人利用を止めることは不可能だとしても、少なくとも、会社のパソコンからFacebookなどのSNSアプリケーションへのアクセスは、業務上必要なユーザーだけに限定するべきだ。これらのアプリケーションに会社のパソコンから直接アクセスできると、社内に直接マルウェアを侵入させてしまう可能性がある。
企業を狙う標的型攻撃――その手口と抜本的な対策とは(2/2) − @IT
マルウエア対策(サンドボックス検知)
次にステップ2の「マルウェアの侵入防止」であるが、これについては既存のアンチウイルスやアンチスパイウェア製品を、ゲートウェイ、サーバ、クライアントなどに多段で導入し、さらにマルチベンダで構築することで、ブロック率を高めることができると考える。
企業を狙う標的型攻撃――その手口と抜本的な対策とは(2/2) − @IT
しかしながら、標的型攻撃の場合には、先に述べたように新種や亜種のマルウェアが使用されることを前提とすると、従来のようなシグネチャベースのアンチウイルス製品だけでは対策が難しいだろう。
これに対しては、最近登場しているサンドボックスを活用したマルウェア検知に対応した製品が有効だと考えられる。サンドボックスとは、保護された仮想環境のことだ。外部から受信したファイル通信を、サンドボックスで一度動作させ、パソコン上のレジストリやHostsファイルなどの情報を変更するような、マルウェアと疑われる挙動を行わないかどうかを確認する、振る舞いベースでのマルウェア検知を行うアプローチである(図5)。
HTTP通信でもIPアドレスベースでのアクセスや登録されたばかりのドメインは危険。
最後の「侵入された感染端末をできる限り早く発見する」についてであるが、前述のとおり、いったん感染したスパイ端末のバックドア通信は巧妙化されているため、発見は非常に難しくなっている。アンチスパイウェア製品の中には、これらのバックドア通信を検知する機能を備えたものがあるが、ステップ2の場合と同様、シグネチャベースの検知ではすり抜けてしまう可能性が高い。
企業を狙う標的型攻撃――その手口と抜本的な対策とは(2/2) − @IT
この場合にポイントとなるのも、通信の振る舞いや特徴から見分けるという方法だ。こうしたバックドア通信は、あらかじめマルウェア内に埋め込まれて設計されているため、特徴的な通信を定期的に行うことが多い。
具体的には、HTTP通信であってもIPアドレスベースのURLやDNSドメインのURL、登録されたばかりのドメインのURLに定期的に、頻繁にアクセスすることになる。例えば1日に数十回以上このような特徴的なURLにアクセスするような端末は、マルウェアに感染している疑いがある。
