2015年6月 の日本年金機構での情報流出事件以降、多くの組織で標的型メールを発端とした「気づけない攻撃」=標的型サイバー攻撃の被害が明らかになりました。しかし、これらの攻撃はこの 6月に突然発生したものではなく、国内標的型サイバー攻撃の分析レポートなどで明らかにしてきた通り、これまでも継続的に確認されてきたものです。本連載「2015年上半期・国内標的型サイバー攻撃の分析」では、2015年上半期(1~6月)に、トレンドマイクロが行った検体解析、ネットワーク監視、インシデント対応などの事例から判明した事実を元に、標的型サイバー攻撃の傾向を紐解きます。今回は連載の結論として、これまで明らかにしてきた攻撃の傾向から考える、今後取るべき対策の考えをまとめます。
■標的型メールの傾向から考える入口対策
連載の Part1 で述べたとおり、現在国内における標的型サイバー攻撃で中心的に使用されている侵入方法は標的型メールです。攻撃の侵入を防ぐ入口対策の観点では、最も重点的に対策すべき攻撃手法と言えます。
標的型メールでは受信者を信用させ、だます手法が多く使用されていることが明らかになっています。このような標的型メールで使用されるソーシャルエンジニアリング手法に対しては、確認された攻撃者の手口を広く共有し注意喚起することで、同じ手口で何度も被害に遭う確率は下げられます。しかし、ほとんどは受信者の業務に直接関係ある内容にカスタマイズされているため、一般的なスパムメールのように、単純に件名や差出人などの条件を共有するだけではほとんど効果は得られないでしょう。組織内で受けた標的型メールの全文など、実例を示すことが必要です。
また、メールゲートウェイなどで攻撃をフィルタリングし、組織内に届く確率を下げることも重要です。現在の標的型メールは 9割がフリーメールのアドレスからの送信となっています。つまり、フリーメールアドレスからのメールを警告するだけでほとんどの標的型メールに気づける可能性があります。
また RAT を侵入させる手段である添付ファイルは、直接的にはほとんどが圧縮ファイルですが、その内容は実行型ファイルが多いことがわかっています。このような不審な添付ファイルの検知方法として、サンドボックスのような未確認の不正プログラムを警告できる対策が注目されており、実際の効果も上がっています。また、そもそも添付圧縮ファイル内のファイルの拡張子やリアルファイルタイプから実行可能ファイルの受信を警告する、フィルタリングを行うなどの対策を行うことでも、サンドボックスに劣らぬ効果を上げることができます。
しかし、重要情報はパスワード付圧縮ファイルでやりとりする一般的な傾向と、標的型メールの 3~6割でパスワード付圧縮ファイルが使用されている状況を合わせて考えると、同じ対策であってもパスワード付圧縮内のファイルを解析できる機能の有無は非常に重要とわかります。また脆弱性の利用や不正マクロ付文書ファイルによる攻撃を考えた場合、実際の利用環境に合わせてカスタマイズできる機能も重要性が高まってきます。攻撃者が手法を変化させてきた場合に素早く対応できる柔軟性が、サンドボックスのようなシステムにも求められていると言えます。
また、不正URL を含む標的型メールや、水飲み場型攻撃のような Web経由の攻撃の対策のためには、メール内の URL の危険性を判定できる対策や、Web からのダウンロードファイルをメールの添付ファイル同様の条件で検知できる対策も必要です。
■侵入する RAT の傾向から考える内部 & 出口対策
連載の Part2 で述べたとおり、標的型サイバー攻撃の過程では必ず RAT が侵入し、外部の C&Cサーバと通信を行って遠隔操作を確立する活動が行われます。この RAT の行う C&C通信などの活動に着目することが内部対策、出口対策の上で重要です。
しかし、標的型サイバー攻撃は活動の隠ぺいが特徴です。RAT による C&Cサーバへの通信については、ファイアウォールで閉じられる可能性が低いウェルノウンポート、特に Web関連であるポート80、ポート443 の使用が全体の 8割を占めています。そして、これらのウェルノウンポートでの通信においては、その通信ポートに規定された標準プロトコルでの通信が 8割でした。これらの事実から、RAT による C&C通信は、正規の通信への偽装が定番となっており、単純にポートとプロトコルの関係だけを監視していても、侵入した RAT の存在を炙り出すことはできないことがわかります。また、C&Cサーバの設置場所として昨年に続いて日本国内ホストの利用が 4割を超えており、特に海外サーバへの通信の監視に注力していればよい状況でもありません。
標的型サイバー攻撃の可視化において、「侵入を前提とした対策」としてネットワークの挙動監視が効果を上げてきました。しかし、この上半期に確認された攻撃内容からは、単純に既知の通信パターンを監視する手法だけでは、C&C通信を可視化し遮断することが困難になってきていることがわかります。標的型サイバー攻撃の侵入を早期に可視化するには、侵入する RAT が行う通信のパケットを解析し、その特徴を捕えることが必須と言えます。そして RAT の行う通信の偽装手口を把握した上で逆に監視ポイント化できるような対策技術の必要性が高くなっています。
標的型サイバー攻撃の主体は、不正プログラムではなく人間の攻撃者です。対策の進化に対抗するように、攻撃方法は常に変化していきます。非常に効果が高い対策であってもそれを機械的に導入するだけでは一時的な効果に留まり、中長期的にはいつか対策を回避されてしまいます。実際の標的型サイバー攻撃事例においては、平均潜伏期間が 5カ月以上であることがわかっています。攻撃の早期可視化のためには、攻撃者が実際に行う攻撃手口を把握し、対策上の知見=スレットインテリジェンス化して、監視のポイントとして活用していくことが重要です。
では今回のポイントをまとめます。
- 被害に遭う可能性を下げるためにも、組織内で標的型メールの手口を具体的に周知、注意喚起することが重要
- フリーメールからの送信をフィルタリング、警告することにより、9割の標的型メールに気づくことが可能
- 添付圧縮ファイル内のファイルのリアルファイルタイプや拡張子に着目したフィルタリングや警告が行えるようにしたい
- 添付ファイルを解析するサンドボックス手法は有効
- パスワード付圧縮内のファイルも解析できる機能が重要
- 脆弱性やマクロ型対策として、自組織環境に合わせたカスタマイズができることも重要
- Web経由のダウンロードに対してもメールの添付ファイル同様の対策が必要
- RATの行う通信は単純な条件による監視だけでは見抜けなくなりつつある
→ 攻撃者は人間であり、手口は常に変化していく。変化を把握し、その特徴を素早く監視条件に入れていけるような対策(スレットインテリジェンス)が重要
※調査協力:トレンドマイクロ・リージョナルトレンドラボ(RTL)、サイバーアタックレスポンスチーム(CART)、プレミアムサポートセンター