中堅商社A社が取り組んだ、標的型サイバー攻撃に対抗するセキュリティ運用強化シナリオ

わが社の体制は大丈夫か?
常務の一言で始まった、お客さまとトレンドマイクロが、共に取り組んだ運用強化とは?

A社が標的型サイバー攻撃を未然に防げた理由

標的型サイバー攻撃はいまやすべての企業にとって大きな脅威になりつつあります。巧妙化、緻密化を続ける悪意は、これまで定石だったセキュリティ対策の盲点を突きます。この攻撃に対する備えとして、何を考えておけば良いのか?また、何を実行すれば良いのか?ここでは、標的型サイバー攻撃に対する適切な対応により、無事に回避したシナリオをもとに、有効な体制とプロセスを解説します。
(本稿はフィクションです。)

常務の一言からすべては始まった

A社は従業員数2,500人規模の中堅商社で、大手メーカーB社のグループ企業です。A社は、B社を含むグループ企業とも連携できるITシステムを導入しており、これを情報システム部が管理、運用しています。

ある日、トレンドマイクロ プレミアムサポート テクニカルアカウントマネージャー斉藤宛に、A社の山中氏から一通のメールが届きました。そこにはセキュリティ対策の運用についてアドバイスが欲しいと書かれていました。

「先日の会議で『標的型サイバー攻撃』の話題があがったのだが、うちはこれに対して何か対策をしているのか?」

A社情報システム部のCIO、K常務からこう問いかけられたと言う山中氏。「うちの会社は商社なので標的になりそうな機密情報も多くないし、とりあえず今のシステムでも大丈夫と思います」とK常務には説明したが、不安要素もあるはずだという思いが強くなり、トレンドマイクロに連絡することを決めました。
A社のセキュリティ対策製品は、クライアント対策製品およびゲートウェイ対策製品をメインで導入しており、既知の不正プログラムに対する企業システムでのセキュリティ対策としては一般的な内容です※1

3ヶ月前に、トレンドマイクロの運用支援サービス※2に加入したばかりで、トレンドマイクロ側も現在のA社のセキュリティ強化に対する方向性の検討を開始していた矢先のことでした。

「ちょうど次回お伺いしたときに標的型サイバー攻撃についてご提案を差し上げようとしていたところです。A社様は標的になりそうな機密情報は少ないとのことですが、例えばグループ企業である大手メーカーB社様は、研究開発に注力されており多くの特許や機密情報を有していますよね?」と、問い合わせに応える斉藤。標的型サイバー攻撃では、対策が手薄な関連企業や取引先を踏み台にした攻撃も確認されており、問題はA社だけに留まるものではありません。状況を整理すべく、山中氏と斉藤は打ち合わせを行うこととなりました。

初めに着手したのは通信ログの分析

情報システム部の管理用PCの前に座った山中氏と斉藤。斉藤は「標的型サイバー攻撃はウイルス対策ソフトで検出されないことを事前に調査した上で侵入を図る事例が確認されています」と説明します。システム内のPCが標的型サイバー攻撃による未知の不正プログラムに感染した場合、C&Cサーバとの通信経路が確保され、新たな不正プログラムのダウンロードが発生したり、外部から不正にリモート操作されたりする可能性があるのです。

その後、次第に社内ネットワーク内部で攻撃基盤が作成され、重要な情報資産が保持されたサーバへの侵入を許し、最終的に機密情報が盗みだされるという流れです。このように、標的型サイバー攻撃には目的を達成するための一連の攻撃プロセスがあり、その過程において不審な通信が多く発生します。そのため、不審な通信を監視することが重要なのです。

未知のウイルスを発見

「ファイアウォールやプロキシなど、ネットワーク機器の通信ログから不審な通信が発生していないか確認及び分析を行ってみましょう」と言う斉藤は、山中氏と共に作業を開始しました。

標的型サイバー攻撃について調べていた最中に、通信ログに痕跡が残る場合が多いということについて知っていた山中氏は、事前に通信ログを抽出するなど準備をしていました。しかし、膨大なログの中から何を見つければ良いか分からなかったと言います。斉藤は「この膨大な量のログの中から怪しい動きを見つけることは、手法が漠然としている状況では難しいです。そんなときにどうすれば良いのか一例をご紹介します」と説明しました。

ログを絞り込んで不審なURLを調査

斉藤が示す手順はこうです。まず始めに不審端末のIPアドレスを抽出し、通信量や通信頻度から不審なURLをピックアップします。また、人間がどうやってもアクセスできないくらいに短時間かつ大量に不審URLへアクセスしている記録も怪しいと言えるでしょう。これには、普段から正常な通信量や通信頻度がどの程度なのかベースラインを設けておく事がポイントとなります。また、セキュリティ企業からリリースされる脅威情報などから情報を収集し、不審URLへのアクセス記録を確認する場合もあります。このような様々な方法を組み合わせて不審なURLをピックアップしていくのです。

次にピックアップした不審URLを用いて、評価サイトを使い対象サーバの危険度を評価します。そこで危険であることが判明すれば、当該端末は未知の不正プログラムに感染しており、不正なWebサイトへの通信が発生している可能性が高いといえます。怪しい端末を絞り込んだら、端末調査を実施してアクセスを発生させた不審ファイルを特定し、そのファイルを解析してパターンファイルで対応します。

「これはほんの一例です。また、これだけの通信ログ監視作業を毎日継続して実施するのは非常に大変です。片手間で実施するのは難しく、対応しているお客様に中には、SOC/CSIRTなどの専門部署や部署間を横断したチームを組織化している場合もあります」と一連の説明を終えた斉藤は加えました。

この話しを聞いた山中氏は「これは情シスだけでは難しいですね。リソースの面ももちろん、知識面でも難しそうです」と感想をもらした。斉藤は「ログから不審URLをあぶりだし、評価サイトで危険度を評価するところまでは、御社でも対応可能かとは思います。コツは不審なイベントをどう絞り込むかという点ですから、セキュリティ運用プロセスの中に定常的に行う業務のひとつとして組み込むことが大切です。但し、確かにイベントを絞り込むための体制と専門的なナレッジ強化が必要になるかもしれません。現実的な運用としては、例えばネットワーク上の不審な振る舞いを検出できるツールの活用と、プロのナレッジを組み合わせて対応するなど、現状の体制で対策できることもあります」と説明しました。

標的型サイバー攻撃への対策としてログ監視は大きな要素のひとつです。従来のパターンマッチングでは見つけられない脅威をあぶり出していくメソッドを定常運用に組み込むための方法にも繋がります。不審なURLへのアクセスをしている痕跡は、いち早い対応をするための手がかりとなりえます。不審なURLがどの程度の危険度を持つかは、評価サイト※3などを使えばよいでしょう。いずれにしても、評価すべき通信ログは膨大な量になります。しかし、ネットワーク監視製品※4を導入することで、その負担を削減することも可能です。標的型サイバー攻撃への備えは必須と言えますが、企業ごとに求められるセキュリティは異なりますので、セキュリティ企業などのアドバイスをもとに、自社にとって効果的な方法を選択するとよいでしょう。

発見した通信ログの異常

「これ、なんか動きがおかしいですね」

山中氏が調べていたログの中に、夜中に定期的に外部へアクセスした痕跡が見つかりました。接続先のURLを調査してみたところ、「危険」と判断されました。

「これはまずいですね。他に無いか調べたあと、端末調査を実施しましょう」と斉藤は言いました。直近3週間分ではあったが、ログから見つかった怪しい兆候は山中氏が見つけた1件に限られました。山中氏はすぐに不正な通信が発生していた端末を特定。感染経路についてはヒアリングなども含めて調査結果を待つ必要がありますが、該当端末は速やかにネットワークから排除され、不正プログラム調査ツールが実行されました。その結果、不正通信を発生させていたと思われるファイルの取得に成功。すぐさまトレンドマイクロに検体解析を依頼しました。

A社が契約中のトレンドマイクロの運用支援サービス※5なら、新種・亜種の不正プログラムであっても、2時間以内に不正か否かの判断と、不正だった場合の応急的なパターンファイル(バンテージパターンファイル)が提供可能です。同時に山中氏と斉藤は、A社の重要サーバを綿密に調べていきます。「標的型サイバー攻撃の最終目標は、サーバに潜り込んで目的のファイルを盗むことです。そのために攻撃者はクライアントPCから入り込み、事態を悟られないように他のPCやサーバへの侵入を試みます」と斉藤は説明します。

攻撃者が攻撃基盤を構築するため、最初に辞書攻撃、ブルートフォースアタックやハッキングツール等を駆使して管理者権限を奪い取ろうとします。このとき発生した大量の認証エラーなど侵入を試みた痕跡が監査ログやイベントログに残る事もあるのです。もし管理者権限を奪われた場合、攻撃者はさまざまな不正行為を自由に行える状態となるため、重要サーバへのハッキングによる侵入及びサーバ上でのデータ探索が容易に行えることになります。

「サーバへの侵入を許してしまうと、サーバ上で何が発生していたのか通信ログの監視のみでは分からない場合もあります。昨今の不正プログラムは一度実行し目的を達成すると、侵入の痕跡を消去したり、自分自身を削除したりしますから、サーバ自体のログやファイルの変更監視も必要となります」と斉藤は事情を説明します。

例えば、攻撃者が管理者IDとパスワードの入手に成功してしまった場合、通常の方法でサーバにアクセスすることも可能になります。そうなると通信監視だけでは捉えきれず、脅威がサーバに到達することを許してしまうケースも考えられるのです。そこで必要となるのが、斉藤のいうサーバ上で行われた変更の監視です。不審なファイルやサービスの作成や変更、削除などを見るだけでなく、ネットワークログオンやイベントログといったセキュリティログを監視することで、攻撃の痕跡や時系列を捉えるのです。これも通信ログの監視を定常運用に組み込むことと同じく、サーバの監視も同様に定常運用化する必要があるのです。これらを両立することで多層防御体制を敷き、標的型サイバー攻撃に対する強固な防衛が可能になります。

サーバ監視もルール化して人間が行うことも可能ですが、クラウド、仮想化、物理といった多様な環境が混在した昨今の複雑な環境を考えると、サーバ環境にあわせたセキュリティ対策が行える統合型サーバセキュリティ対策製品※6を導入することも有効です。

標的型サイバー攻撃を未然に防ぐために

結果的にサーバには不審な痕跡は見つかりませんでした。初期の状態で標的型サイバー攻撃を防ぐことができたようです。クライアントPC上の不審ファイルについてもトレンドマイクロでパターン対応及び検出対応されたため、その後から不審な挙動や通信はなくなっています。

「自分の力だけでは、標的型サイバー攻撃の侵入を許していたかも知れませんね…」と落胆の表情を浮かべる山中氏。「正直、危なかったですが、最悪の事態は未然に防げたのですから成功例と捉え、この経験をもとに今後の運用課題を考えていくことをご提案します」と斉藤も安堵の表情を浮かべます。

A社はこの出来事を経験した後、定常運用における標的型サイバー攻撃対策の必要性を認識。特に通信とログの監視に注力するとともに、感染経路になりうる人的要因を徹底排除すべく、新たなセキュリティ対策に本腰を入れていくことになりました。

定常運用の設計を一から見直すには、今回の件を再度見直していく必要があります。まずは、アラートやログといった「通信」を監視すること、もしそれらの中から兆候らしきイベントがあった場合の分析、さらにインシデント発生後の深刻度や緊急度に応じたマニュアル作成などが考えられます。しかし、A社がそうであったように、アラートやログの何を見れば良いか、その中からインシデントを発見するノウハウの有無、さらにはインシデント発生後の対応などに、それぞれ課題が生まれます。それが定常運用の負担増大に繋るようでは、現実的とは言えないでしょう。

これらに対して、A社の山中氏が気づいたように、プロの支援を受けながらの定常運用という方法も重要な選択肢です。アラート、ログの収集からはじまり、イベント分析、インシデント分析、そして問題発覚後の迅速な対応など、トータルのノウハウを持つセキュリティのプロ集団の知見を活用することで、効率よくサイクルを回すことが可能になります。それを実現した上で、自社では社員の新たな教育などのソーシャル面の強化をしながら、システム面での充実を図るのが理想といえるでしょう。

システム面、ソーシャル面の両方向からのアプローチを実行することにより、標的型サイバー攻撃への備えは強化されます。巧妙化を続ける同攻撃に対抗していくには、その取り組みを継続していくことが大切です。取り組みを続けることを決意したA社と、それをサポートするトレンドマイクロは、今後も標的型サイバー攻撃を未然に防ぐべく、活動を続けていきます。

シナリオからみた組織が取る対策とは

今回のシナリオは、これまでのセキュリティ対策だけでは防ぎきれない標的型サイバー攻撃の危険性を改めて実感させる出来事でした。不正なプログラムの侵入を許してしまいましたが、通信経路の遮断やパターンファイル対応など、効果的な対処を行いつつ、更なる対策強化を継続することで、今後のインシデント発生に対する大きな抑止力になるでしょう。残念ながら現状ではあらゆる企業にとって、こうした状況は起こりえます。それに備えるため、ここではポイントを3つに絞って整理します。

1. セキュリティの定常運用の強化

標的型サイバー攻撃の恐ろしさは、従来のパターンファイルだけでは検出が困難な点です。攻撃者はあらかじめパターンファイルで検出されないことを確認した上で攻撃します。だからといって対抗策がないということではなく、シナリオでも出てきたように、ほとんどの攻撃プロセスの中で「通信」という手段が取られるケースが多く、その不審な「通信」から脅威を可視化し、対処していくことが重要です。これまでの対策だけでは対抗しきれない標的型サイバー攻撃。守る側も、定常運用における通信の監視を強化していく必要があります。また、管理負荷軽減のために、Deep Discovery Inspectorのような通信の可視化が行えるツールの導入も効率的な通信監視に非常に有効です。

しかし、導入しさえすれば良いということではなく、従来のウイルス対策製品の運用の考え方を見直し、イベント分析からインデント分析、インシデントレスポンスまで、一連のプロセスを定常運用に組み込んでいくことが大切です。

2. サーバにも対策が必要

標的型サイバー攻撃の最終目標の多くは、サーバ上にある「機密情報」です。つまり、特定の情報に価値があることを知っている犯行グループが、この攻撃を仕掛けてくるのです。最初はクライアントPC、次に管理者へのなりすまし、そしてサーバへの侵入、情報の流出という一連の流れが完成すれば、標的型サイバー攻撃は成功してしまいます。このような攻撃から機密情報を守るには、サーバ上で起こる通信の痕跡やセキュリティイベントのログ収集など、あらゆる角度から監視を続けることを定常運用として行っていくことが重要です。こちらもTrend Micro Deep Securityのようなツールで管理負荷を軽減できるので、定常運用時の負担の大きさに合わせて導入を検討したい点です。

3. 専門知識は外部から得る

標的型サイバー攻撃の手法は今回のシナリオにあるものばかりではなく、さらに巧妙化されているケースもあります。それらの情報は、特定の企業を狙った攻撃という特性上、表には出づらいため、実際に外部の人間がそれを知ることは難しいという現状があります。例えば、実際に確認された攻撃手法として、自社内に実在する社員名を装った偽装メールにより、悪意有るWebサイトへ誘導されたのが感染源となったケースもあります。実在の社員の隙をつくソーシャルエンジニアリング※7の手口は巧妙さを極め、あらゆる手段を使って対象者が必ず偽装URLをクリックするように仕向けます。「まさか、そんなことが」と思うような手法を平然と使ってくるのが標的型サイバー攻撃の恐ろしさであり、事態の全容が発覚しづらく、表面化しにくい理由でもあるのです。

こうしたケース・バイ・ケースの事例に企業が対応することは非常に困難です。そこで必要となってくるのが専門知識を有するエキスパートの活用です。トレンドマイクロのプレミアムサポートのような運用支援サービスを活用することで、逐次相談できる先を予め見つけておくことで、万が一の事態が起こったときに慌てずに、迅速な対処、被害を最小化することができます。

本稿は2013年4月に執筆した内容の一部を編集した記事です。内容は、2013年4月現在のものです。内容の全部もしくは一部に変更が生じる可能性があります。

※1
 クライアント対策: ウイルスバスター コーポレートエディション
 ファイルサーバ対策: ServerProtect
 ゲートウェイにおけるメール対策 :InterScan Messaging Security Suite Plus
 ゲートウェイにおけるWeb対策:InterScan Web Security Suite Plus ,InterScan WebManager
※2 トレンドマイクロ プレミアムサポート
※3 トレンドマイクロによるWebサイトの安全性評価サイト Site Safety Center
※4 トレンドマイクロのネットワーク監視製品 Deep Discovery Inspector
※5 トレンドマイクロ プレミアムサポートGold
※6 トレンドマイクロの統合型サーバセキュリティ製品 Trend Micro Deep Security
※7 人間の心理的または行動的な隙をつき、情報を得ようとする手法

記事公開日 : 2014.12.12
 この記事は、公開日時点での情報です