標的型攻撃による被害が表面化することが増え、セキュリティ対策は一段と悩ましいものになっている。標的型攻撃を防ぐことは難しいと言われるが、本当に既存のセキュリティ技術では対策にならないのかと疑問を持つ方は多いのではないだろうか。確かに、攻撃者が入念な準備を行えば、ウイルス対策ソフトやIPS（侵入防御システム）を回避できる。そのような手の込んだ攻撃を想定した場合、これまでの対策だけでは、不十分な場合も多いだろう。
今回は、実際に発生している標的型攻撃の事例を基に、標的型攻撃に対してIPSがどこまで役に立つのか検証する。既にIPSを導入している、または導入を予定している場合は、今後の対策見直しに役立てていただければと思う。なお、今回検証に使用したIPSはIBM Security Network IPSだけであり、他のIPSでも全く同じ結果になるとは限らないことをあらかじめお断りしておく。

現在確認されている標的型攻撃の多くはメール経由で仕掛けられている。そして、標的型攻撃メールの多くには、ドキュメント・ビューアの脆弱性を突く不正なドキュメントファイルが添付されている。IBMの東京セキュリティー・オペレーション・センター（東京SOC）では、標的型攻撃メールの約90％に不正なドキュメントファイルが添付されていることを確認している（図1）。

標的型攻撃への対策、IPSは有効か？ | 日経 xTECH（クロステック）

では、IPSの検知を回避しようとするPDFファイルを全く検知できないかというと、そうでもない。IPSには脆弱性攻撃の検知を目的とするシグネチャー（Attackシグネチャー）に加え、攻撃ではない様々な種類の通信を記録する監査目的のシグネチャー（Auditシグネチャー）がある。このようなAuditシグネチャーを用いることで不審な通信を洗い出し、隠ぺいされた攻撃をあぶり出すことができる。

標的型攻撃への対策、IPSは有効か？ | 日経 xTECH（クロステック）

クライアントパソコン（PC）で標的型攻撃メールの不正な添付ファイルを開いた場合、RAT（Remote Access Trojan）と呼ばれるツールをインストールされることがある。RATは、コンピュータをリモートから操作するツールである。RATを利用すると、「アプリケーションの操作」「不正なファイルの転送・実行」「キー入力の監視」「Webcamによる盗撮」「内蔵マイクによる盗聴」など、様々な不正操作をリモートから行うことができる。攻撃者はRATを利用して、クライアントPCから情報を盗み出したり、攻撃の踏み台にしたりしようとする。

標的型攻撃への対策、IPSは有効か？（2ページ目） | 日経 xTECH（クロステック）

Active Directoryの制圧には、「Pass-the-hash」と呼ばれる攻撃手法が利用される。「Pass-the-hash」とは、通常のユーザー名とパスワードではなく、ユーザー名とパスワードのハッシュを用いて認証を行う手法である。パスワードハッシュは、クライアントPC上にキャッシュされているため、これを取得して利用すれば、本来のパスワードが分からなくても、同一パスワードを利用している他のシステムにログインできる場合がある。
この「Pass-the-hash」を利用したActive Directoryへのアクセスは、ネットワーク上からは通常のログインとなんら変わりなく見えるため、IPSでは検知できない。ログインを試みて失敗が繰り返されれば、“連続したSMBログイン試行の失敗”としてAuditシグネチャーで検知できる可能性はある。ただし、正規のログインの過程で入力ミスなどにより失敗を繰り返す場合もあるため、このAuditシグネチャーだけで不正な通信であると判断するのは難しい。
また、攻撃者はログインが成功した後、リモートのシステムをコマンドラインで操作するために「PsExec」というツールをインストールしようとする場合がある。IPSには、“PsExecをインストールしようとする通信”を検知するシグネチャーがあり、通常の業務で「PsExec」のインストールを行うことはほとんど考えられないため、ここまで侵入が進めばIPSですぐに怪しい通信を検知できる。
なお、IPSは通常、ネットワークの境界付近に設置されることが多く、内部サーバーとクライアントPC間を監視するように設置されることはあまりない。内部でのアクティビティーを監視するのであれば、ネットワーク設計の見直しや、導入段階からの考慮が必要になる。

標的型攻撃への対策、IPSは有効か？（2ページ目） | 日経 xTECH（クロステック）