企業のネットワークを狙う、標的型攻撃の兆候を知る7つのポイント

前回の標的型攻撃への一般的な誤解についてのブログ記事では、すべての標的型攻撃に対処できる万能なセキュリティ対策はないことを改めて説明しました。今回は自社に対する標的型攻撃の兆候を見逃さないために必要なポイントについて解説します。

標的型攻撃は、標的としたネットワークに適用されているセキュリティポリシーや対策を回避するよう設計されています。このため、標的型攻撃の検出は困難なことが多く、対策上の大きな課題となります。企業は、攻撃を検出するセキュリティ対策製品を必要な場所に導入し、また IT管理者を配置して、ネットワーク内で異常を検出したらすぐに行動に移せるようにし、企業自身を保護する必要があります。

ネットワーク内の異常を検出するために、IT管理者はまず何に警戒すべきなのかを知らなくてはなりません。標的型攻撃は一般的に、痕跡をまったく、もしくはほとんど残さないように設計されているため、侵入の可能性を示すものがどこで確認できるかを知ることは重要です。

■改ざんにより組み込まれた DNSレコードがないか確認
攻撃者は、しばしば DNSレコードを改ざんします。これは、自身のコマンド＆コントロール（C&C）サーバとの通信がブロックされていないかを確認するためです。攻撃者によって組み込まれた可能性がある DNSレコードがないか、IT管理者は以下の兆候から確認することができます。

1. 以下の IPアドレスに置かれている不審なドメインの存在。攻撃者は通常、こうした IPアドレスを C&Cサーバの代わりとして利用する
• 127.0.0.1, 127.0.0.2
• 255.255.255.254
• 255.255.255.255
• 0.0.0.0
• 1.1.1.1
2. ごく最近（3日前など）に登録された不審なドメイン（Whois 情報で確認可）
3. ランダムな文字で構成されているように見えるドメイン（例：aeeqvsfmtstjztqwlrqknoffmozu.com、zxcmpfwqwgqnbldzhdqsrqt.com など）
4. 有名な企業を摸倣したと思われるドメイン（例：microsoft-dot .com、goooogle.com など）

■失敗したログイン、もしくは不規則な時間にログインしたアカウントを精査
攻撃者は、ネットワーク内への侵入に成功し、C&Cサーバとの通信を確立すると、「情報探索」の段階に入ります。攻撃者は、Active Directory やメールサーバ、ファイルサーバを探索して、それらにアクセスすることがあります。その際、サーバに存在する脆弱性を利用した攻撃が行なわれることもあります。しかし、脆弱性に対して IT管理者がすでに更新プログラムを適用し、重要なサーバを保護していた場合は、攻撃者は管理者アカウントのパスワードをブルートフォース（総当り）攻撃や辞書攻撃などの手法で突破しようとするでしょう。これらの手法の欠点は、多くのログオン失敗が記録されることです。そのため、IT管理者にとって、ログイン記録はこうした攻撃を可視化するための最良の参考資料となります。失敗したログインや、不規則な時間に成功したログインを調べることによって、ネットワーク内で情報検索を行おうとした攻撃者の企みを明らかにできます。

■セキュリティ対策製品の警告を再確認
セキュリティ対策製品が、あるファイルに対して「有害」の警告を行っても、ユーザは誤警告と判断し、その警告を無視することがあります。警告されたファイルがユーザのよく知るファイルであったり、無害に見えるためです。しかし、実際にこうした警告に基いて調査を行うことにより、攻撃者がネットワーク内にいることが確認された事例が多いことを弊社では確認しています。また攻撃者は、PC やネットワークを診断するためのツールや、Microsoft が提供する「PsExec」や「Sysinternals」といった正規の管理ツールを悪用する可能性があります。セキュリティ対策製品の中には、こうした無害のツールであっても、ユーザの PC に元々インストールされていない場合、警告を与えるものがあります。IT管理者がこれらのツールを使用している理由をユーザに確認することにより、攻撃者がネットワーク内を探索している事実が判明するかもしれません。

■サイズの大きな不審なファイルに注意
システム内で見つかったサイズの大きい不審なファイルは、ネットワーク内で窃取した情報が含まれている可能性があるため、確認したほうがよいでしょう。攻撃者は、情報送出前に、標的にしたシステム内にファイルを保存し、一見正常なファイル名やファイル種類に隠ぺいすることがよくあります。IT管理者は、ファイル管理ソフトを通じてこうしたファイルを確認することができます。

■異常な接続を見つけるためにネットワーク監視ログを精査
ネットワーク監視ログを絶えず確認することは重要です。ネットワーク内の異常な接続を発見するのに役立ちます。そのために、IT管理者は、ネットワークやネットワーク内で時を問わず起こる活動に対して、十分に精通する必要があるでしょう。正常な状態のネットワークを知る IT管理者だけが、異常に気付くことができます。例えば、トラフィックが少ないと考えられる時間帯にネットワークの活動が確認された場合は、何らかの攻撃の兆候の可能性があります。

■異常なプロトコルを確認
異常な接続に関連して、IT管理者はこうした接続に使用されているプロトコルを確認する必要もあるでしょう。特に、ネットワーク内に入ってくるプロトコルは注意が必要です。攻撃者は、ネットワークで許可されているプロトコルを元に、利用するプロトコルを選ぶことが頻繁にあります。そのため、通常のプロトコルが使用されている場合でも、接続を確認することは重要です。

トレンドマイクロでは、攻撃者が HTTPS（ポート443）のプロトコルを利用して、外部に接続した例を確認しています。通信内容を解析すると、HTTPS のポートを使用しているにもかかわらず、暗号化されていない HTTP の情報だけが含まれていました。IT管理者は、正規のポートを通る通信の内容を確認し、本来と異なるプロトコル内容が含まれていないか確認するのを怠らないようにして下さい。

■急増する Eメールに注意
IT管理者は、メールのログを確認し、特定の人物に対して奇妙なメールの急増がないかを確認することができます。メールの異常な増加は、その人物がスピアフィッシングメールの標的となっている可能性があるため、調査したほうがよいでしょう。例えば、攻撃者が事前調査を行い、ある社員が重要な会議に出席することがわかれば、その会議の 3カ月も前からスピアフィッシングメールを送信することができます。これも、標的型攻撃を検出する 1つの手がかりです。

以上 7点について述べてきましたが、IT管理者は、この先に大変な仕事が待ち構えていると考えているでしょう。もちろん、それは否定しません。標的型攻撃からネットワークを保護することは、難しい課題です。弊社では、企業がネットワークを保護するために、IT管理者に十分な権限を与えることについて述べてきましたが、今まさにそれを実行すべき時です。標的型攻撃を緩和するための費用は、標的型攻撃に備えるための費用を容易に上回ります。防御の第一線にいる IT管理者に十分な装備をさせることは企業にとって重要となります。

■トレンドマイクロの対策
セキュリティ対策製品の従来のブラックリスト設定は、標的型攻撃から企業のネットワークを保護するのにもはや十分ではありません。こうしたセキュリティへの脅威を軽減するために、企業は「カスタムディフェンス」を実践することが必要です。「カスタムディフェンス」とは、最先端の脅威を検出する技術と製品間で共有された「侵入の痕跡（Indicators of Compromise、IOC）」のインテリジェンスを駆使して、通常のセキュリティ対策製品では検出できない攻撃を検知、分析、適応、対処するセキュリティ対策です。

さまざまな標的型攻撃に関する詳細と対策の考え方については、以下の情報もご参照ください：

• 国内における標的型サイバー攻撃の分析
• トレンドマイクロが提唱する次世代型セキュリティ「Next Generation Threat Defense」
• 「鉄壁の守り」は存在しない！？ 脅威の変化を捉える次世代型対策とは
• セキュリティマガジンTREND PARK：標的型攻撃 最新動向と対策
• Threat Intelligence Resources on Targeted Attacks（英語情報）

参考記事：

「7 Places to Check for Signs of a Targeted Attack in Your Network」
by Ziv Chang (Director, Cyber Threat Solution)

　翻訳：品川　暁子（Core Technology Marketing, TrendLabs）