これが標的型サイバー攻撃だ!

国内機械メーカー子会社A社に向けられた標的型サイバー攻撃とは

IT技術、ネットワーク技術の進歩に伴い、情報ネットワークは企業のビジネスに欠かせないインフラとなりました。しかし同時に、企業の情報を狙う攻撃者にとって、情報ネットワークは攻撃を仕掛けるための格好のインフラとなっており、ウイルスなどの脅威による被害を受ける企業が後を絶ちません。またその攻撃の内容も日に日に高度化・巧妙化し、今までのような防御策ではその脅威を防ぐことが難しくなっています。次々に登場する脅威とその対応策をシナリオを通じて探って行きたいと思います。(本稿はフィクションです。)

セキュリティ対策を行なっているにもかかわらず、ウイルスに感染?

ある国内大手製造業の子会社A 社は、社内情報ネットワークのセキュリティ対策として一般的なパターンマッチング型のウイルス対策製品を導入しています。管理者も脅威に対する防御が必要と認識し、日々の運用に取り組んでいます。しかしそのような組織にも、攻撃者は攻撃を仕掛けてきます。

20××年×月×日 トレンドマイクロ プレミアムサポート テクニカルアカウントマネージャー佐藤宛に一本の電話が入りました。電話はお客さまであるA社のシステム担当者、○○氏からでした。

「社内システムの端末で、不審な動きが確認されたようなんですが…」。

業務時間外に、業務上、関係のない外部のサーバに対してアクセスを行っている端末が複数台プロキシログのモニタリングにより確認されたということでした。電話だけでは不正な通信の内容がどのようなものか明らかではありませんが、「最新のパターンファイルを適用しておらず、既知のウイルスに感染したのではないか」。この時点で佐藤の頭にあったのはそんな考えでした。

しかし、A氏の「突然、複数台の端末が業務と無用なサーバへアクセスしている」という言葉が少し気になりました。このような場合、過去に製造業を含む多くの企業で被害をもたらしたWORM_DOWNADのようなネットワーク型ウイルスの可能性が高いが、考えたくない深刻な事態として、バックドア型不正プログラムに感染した端末を攻撃者が踏み台にし、社内の重要サーバなどの調査を行っている可能性もあります。後者であれば、対応は一筋縄ではいきません。「そうではない事を祈るばかりだな。」佐藤は事態を正確に把握すべく、直ちに対応を開始しました。

まず確認すべきは「端末のウイルス対応状況」

現在A社のシステムに何が起きているのかを把握するために、佐藤は端末のウイルス対策状況の確認から始めました。システム担当○○氏に電話で確認したところ、A社のシステムには最新のパターンファイルが適用されており、フルスキャンも実施済みであることが判明しました。既知のウイルスへの対策はなされている。佐藤はそう判断しました。最新のパターンファイルが適用されているが、なおかつ端末が不審な動きを見せている、ということはパターンファイルによる対策では検出できない「新種・亜種のコンピュータウイルス」に感染している可能性が高い。佐藤はそう考えました。ネットワークに入り込んだ新種・亜種のウイルスをあぶり出し、解明し駆除を行なうにはそれなりの時間が必要です。

「思ったより長くかかるかもしれないな」。

佐藤の一言をきっかけに、傍らで事態を見守っていた同僚テクニカルアカウントマネージャー達の雰囲気が少し緊張したものになりました。

未知のウイルスを発見

新種・亜種のウイルスへの感染という仮説に基づき、佐藤は対策を進めることにしました。

「最新のパターンファイルをくぐり抜けて侵入してくるウイルスがあるんですか?」。

電話を通じて聞こえる○○氏の声も一段と曇りがちです。
新種・亜種のウイルスをあぶり出し、その内容を解明して駆除を行なうにはより専門的なアプローチが必要になります。そのため佐藤は、トレンドマイクロ独自の調査ツールによる調査を実行することにしました。そしてこれ以降の対策は、よりタイムリーにきめ細かく行なう必要があると判断し、佐藤はA社に赴き、オンサイトによる作業支援を行うことを決断しました。A社に到着した佐藤は、これからの対応の流れを○○氏に説明しました。「調査ツールの実施と目視による調査で、ネットワーク上の端末が未知のウイルスに感染していないかを調査します。新種・亜種のウイルスの感染が見つかったら、それを当社の『脅威解析・サポートセンター TrendLabs(トレンドラボ)』で解析して新たなパターンファイルを作成します。パターンファイルが完成したら、感染端末全てに適用することにより、ウイルスを駆除します。御社にご契約いただいている運用支援サービス※1でしたら、2時間以内にウイルスを解析し、パターンファイルを作成してご提供できるはずです」。

説明を聞いて少し和らいだ○○氏の表情を見ながら、佐藤は早速調査ツールを感染が疑われる端末上で実行しました。その結果は外部からの攻撃を物語るものでした。調査を行った端末から、バックドア型ウイルスが発見されたのです。佐藤は、早速これらのウイルスに対応したパターンファイルの作成をTrendLabsに依頼しました。

もしかして標的型サイバー攻撃のターゲットに?

新たなパターンファイル作成の指示をしながら、佐藤の頭の中に一つの不安が湧き上がってきました。

以前、今回同様のウイルスが発見されたインシデントに対応した際、その企業が標的型サイバー攻撃のターゲットにされていたケースがあったのです。佐藤は、A社が万一標的型サイバー攻撃のターゲットになっている可能性を考え、パターンファイルの作成と並行してさらなる調査を進めるという判断を下しました。

万一A社が標的型サイバー攻撃の対象になっているとすると、感染した端末からネットワークを経由して他の端末に感染が横展開している恐れがあります。攻撃者がそのような意図に基づいた攻撃を仕掛けてはいないか、そして感染が他の端末や接続している他のネットワークに広がっていないかを調べるためには、パターンファイルに依存しない検出ロジックによる調査が必要です。

そこで佐藤はトレンドマイクロ独自のネットワーク監視ツールにより、A社のネットワーク上の通信を監視することにしました。このネットワーク監視ツールは、ウイルスが引き起こす特徴的な振る舞いや攻撃者による一連の攻撃を検知することができます。ネットワーク上で検出された通信の動きを監視ツールが持つ基準に照らし合わせた上で、基準に合致した際に、その通信は不正な通信と判断され、ウイルスの存在が確認できるのです。このツールを使用してネットワークの監視を始めたところ、ネットワーク上の複数の端末でPsExec.exe※2が端末間でコピーされていることが確認されました。

「悪い予感が当たってしまった。バックドア型ウイルスとPsExec.exeファイルが見つかった以上、かなり深いレベルでA社のシステム情報が搾取されている可能性が高い」。

佐藤はそう考え、この事態をいかに打開して行くか、考えを巡らし始めた。

標的型サイバー攻撃の裏付け、発見される

ネットワークの監視中、PsExec.exeファイルが複数の端末に存在しているのを確認した佐藤は、A社○○氏に、業務上PsExec.exeファイルが使用されているかを尋ねました。

「日常の業務にこのファイルを使うことはありません」。

○○氏の言葉がほぼ決定打でした。

「間違いない。明らかに標的型サイバー攻撃のターゲットになっている」。

そう確信した佐藤が裏付けを取るためさらに調査を進めたところ、ドメインコントローラーでパスワードクラックの痕跡が発見されました。Administrator権限が搾取され、攻撃者はA社のネットワークの中を自由に行動できる状態になっていたのです。今回のインシデントの発端となった端末からの不審な通信も攻撃者によるものと推察されます。佐藤はそう判断しました。

標的型サイバー攻撃の被害を広げないために

これ以上標的型サイバー攻撃の被害が拡大するのを防ぐため、佐藤は今回検出されたバックドア型ウイルスに対応して作成したパターンファイルをネットワーク上の各端末に適用してウイルスの駆除を行ないました。同時に被害の範囲を把握するためにネットワーク内の状況を調査していた時です。ネットワークに接続していたサーバが次々にシャットダウンし再起動が不能になるという事態が起きたのです。

攻撃者は、パターンファイルが適用されて外部からの攻撃によって作った攻撃拠点が次々につぶされて行くことに気づき、自らの攻撃手法を全て把握されてしまうことを恐れてシステムファイルを含めたファイルを削除しサーバをシャットダウンさせるという行動に出たのではないか、佐藤はそう推測し、対応策の実施を進めました。

次に対応すべきは、Administrator権限を搾取されたことによる被害の防止です。佐藤は、次々に明らかになる攻撃の実態に肩を落とす○○氏にAdministrator権限が付与されたID、パスワードの変更を依頼しました。

もちろん、最新のセキュリティパッチの適用やウイルスによる汚染の横展開の原因の一つとなるアクセス制御していない共有フォルダの無効化など一般的なセキュリティ対策も確実に実行し、被害の拡大防止に努めました。しかし、ここで大きな問題に直面します。Administrator権限が付与されているIDやパスワードの変更は子会社A社側では行うことができず、親会社のシステム管理者による運用となっており、変更による影響範囲を確定しない限りは、変更が出来ないという事態が判明したのです。ドメインの管理範囲がグループ会社全体であるため、当然のことながら、影響範囲を考慮すれば慎重にすべきですが、この瞬間も権限が不正に利用されている可能性があることを考えれば、緊急性を要する作業であることは明白でした。結局、影響範囲の確定から様々なシステム上の改修を実行した後、IDとパスワードが変更されるまで、かなりの時間がかかってしまいました。

ウイルスによる攻撃など、外部からの脅威に対して「各々の会社のシステム担当者がどのようなステップで対応すべきか」というフローは準備されていたとのことでしたが、外部からの攻撃者にAdministrator 権限を搾取されるという事態までは想定されておらず、ドメイン管理を行なう別部署と連携する必要がある場合の対応フローなどは用意されていなかったのです。

対策の確認

○○氏を中心としたA 社セキュリティ担当者による、他部署および親会社・グループ会社まで巻き込んだ対応と、トレンドマイクロからのインシデント対応支援により、困難を極めた標的型サイバー攻撃の対策も、ようやく一定の効果を期待できるレベルまで達することができました。その効果を確認するため、佐藤は再びネットワーク監視ツールにより、ネットワーク上の通信の監視を行いました。一週間ほど定点観測を行なった結果、ネットワーク上、端末上で不審な動きは検出されませんでした。

対策が効果を発揮し、現時点では標的型サイバー攻撃と思われる不審な動きは見られないことを確認した佐藤は、○○氏に状況を報告。作業を業務再開のフェーズへ、そして今後予想される脅威に対応するための対策と体制の整備へと進めていきました。

課題① ネットワーク監視体制の不備

A社は、情報ネットワークシステムに対する脅威に備えてパターンファイルベースのウイルス対策製品とIDS(侵入検知システム)を導入されていました。しかし、IDSに対応する要員として必要十分な人材が配置されていないなど適切に運用されておらず、その効果を充分に発揮していませんでした。そのため実質的にはパターンマッチングによるウイルス対策しかとられていない状態でした。

そして、今回のインシデントにおいては、組織として新種・亜種のウイルスによる攻撃を検知できなかったことを直接的な原因として、社内の情報ネットワークへのウイルスの感染を防ぐことができず、結果として被害が広がることになってしまいました。

今回のように、標的型サイバー攻撃は、従来のように外部から社内ネットワークなどにコンピュータウイルスを感染させ、ウイルス自体の活動に任せて被害を広げるという単純な動きだけには留まらず、攻撃者が感染した端末などを通じて秘密裏に彼らの意図を実行するという、より巧妙で悪質な内容に変化を遂げています。また、ネットワーク内へ侵入する場合にも、事前に最新のパターンファイルに検知されないウイルス を開発した上で侵入するなど、その防御がますます困難になっていると言っていいでしょう。

このような標的型サイバー攻撃から社内の情報ネットワークを守るためには、従来の「パターンファイルに基づく対策」だけでなく、「外部ネットワークとの不正な通信を監視するなど、異なるテクノロジーによる多層検出により、パターンファイルだけでは検出できない脅威をあぶり出す対策を用意し、さらにそれらを適切に運用できる体制を構築することが重要になっています。また、標的型サイバー攻撃は、ウイルスの侵入後、感染拡大や権限奪取を目的としてネットワーク内部で通信を行ないます。外部との通信だけでなく、不正な内部通信を監視することで、攻撃者による感染拡大の兆候や、パスワードのハッキグ行為を検知することが可能となります。

例えば、サンドボックス機能の付いた通信センサーを導入するというソリューションを適用することで、エンドユーザ自身では「危険」と判断することが難しいメールの添付ファイルに偽装したウイルスや、最新のパターンファイルでも対応していないウイルスの危険性を検知し、分析することが可能になります。さらに、バックドア型ウイルスに感染後、攻撃者が保持するC&Cサーバに接続することでネットワーク上の端末は攻撃者によるコントロール下に置かれますが、その際に行なわれる通信についても、監視/検知を行うことが可能になります。

標的型サイバー攻撃から社内ネットワークを守るためには、以上のような備えがあれば理想的です。しかし多くの場合、運用体制まで含めて考慮した場合、パターンファイルベースのウイルス対策以外のソリューションは十分に機能していないというのが現実です。

実際に数多く行なわれ被害を出している標的型サイバー攻撃による脅威が、お客さま自身に起こりうること、自分事として捉えられていないことが、その理由の一つではないでしょうか。企業の情報資産を脅かす標的型サイバー攻撃が、その攻撃の手法を多様化、巧妙化している現在、新たな脅威に対応した防御策を講じることは、喫緊課題となっています。

課題② 社内における初動対応フローの不備

今回のインシデント対応中、その被害の状況から企業内ドメインのAdministrator権限が搾取されていることが判明しました。そしてそのことによる被害を食い止めるため、Administrator権限にアクセスするためのパスワードを変更する必要性が生じたときのことです。

システム担当の○○氏より連絡を受け、サーバを管理する部署において管理を担当する部隊にID とパスワードを変更するよう依頼をしました。しかし、変更に即座に対応できる人も、その内容の是非を判断できる権限・能力を持つ人も、その現場には不在でした。

この時、当初インシデントに関するクライアント側の窓口であった○○氏の所属する部署と管理サーバ(Active Directory サーバ)の管理を行なう組織と部署が別であり、両者の間で今回のインシデントに関する事前の備え情報の共有がなされていなかったというのが実情でした。そのため、ID・パスワードの変更作業が滞り、サイバー攻撃への対処において重要な「迅速な対応」ができませんでした。このことは、今回の対応の大きな反省点だと考えられます。

二つの部署の間で有効なコミュニケーションが取れていなかった原因は、今回のようなインシデントが発生した場合の対応に関する人的、組織的フローが用意されていなかったことが原因と推察されます。そのような準備がなされていなかった理由としては、Administrator権限のID、パスワードを搾取されるような事態が起きるとは想定していなかったこと、ウイルスによるインシデントの影響が複数の組織や部署に及ぶような事態を想定していなかったことなどが挙げられると思います。

システム管理者である○○氏自身がどう対応すべきかというインシデント対応フローは確立されていましたが、別の組織と連携したり、指示・命令を行なうことを想定したフローは用意されていませんでした。

標的型サイバー攻撃を受けた場合、Administrator権限のID、パスワードの搾取は充分に想定されうる事態です。そんな事態が発生した場合、素早く柔軟にID・パスワードを変更したりできるように、今回のような事態に備えた対応フローの整備が重要な課題となっています。また、業務アプリケーションを開発する際にも、万一の変更に備えた開発手法を選択するべきだろうと考えます。

さらに、攻撃者により容易にID・パスワードを搾取されることのないよう、安易なID、パスワードの設定方法を見直し、定期的に更新するなどの工夫も行なうべきでしょう。

課題③ セキュリティ対策製品の
運用知識の充実とノウハウ不足の解消

IDSなどを導入して不正通信の監視・検知を行うための環境を作っているお客さまでも、その運用レベルはさまざまです。そもそも脅威の検出状況を監視する専門の組織や人材をおいていないケースもありますし、実際お客さま自身がその環境を充分に運用し、監視ツールが脅威をあぶり出していても、どれが本当に危険な脅威なのか判断できないというケースも多数見受けられます。

充実した環境を活用し、ネットワークをウイルスなどの攻撃から効果的に守るには、最新の脅威情報、セキュリティに関する最新情報などについて把握し、それに基づいて不審な通信などを「脅威」と判断するための高い知見を備えた人材が必要です。一方で、高いスキルを持つスタッフを育てるというのも一朝一夕には難しく、人材面でも課題への対処の難しさがあると思います。

課題④  標的型サイバー攻撃に対する備えのあるべき姿

企業のネットワークに対する標的型サイバー攻撃はこれからますます増加し、その被害も大きなものとなることが予測されます。そのような被害から企業の情報資産を守るため、次の3つの側面からあるべき防御の姿を探ってみました。

技術的側面

多層的なセキュリティ対策を整備する
標的型サイバー攻撃の手口を考慮し、パターンファイルベースのウイルス対策だけでなく、異なるテクノロジーによる外部ネットワークとの不正な通信やネットワーク内部における不審な挙動を検知するための対策も強化することが必要です。

運用・統制的側面

セキュリティ管理プロセスを整備する
インシデント発生時の対応フローを作成し、スタッフ間で共有しておくなど、人的対応、組織的対応の手順、役割分担、連絡手法などを整備しておくことが重要です。
担当者の定期的な教育
最新情報に基づく効果的な運用を実現するため、セキュリティ運用を担当するスタッフに対し、変化に応じ適切な教育プログラムを実施することも必要です。

情報的側面

最新情報の入手、アドバイス
最新の情報やノウハウを持つセキュリティ対策の専門家と連携してネットワークに対する脅威についての知識を常にアップデートすることで、運用の強化につなげることができます。
脅威によるリスクの正確な評価
自社の情報資産、環境を踏まえ、ウイルスや標的型サイバー攻撃によるリスクを正確に評価し、対策コストと被害のコストのバランスを考慮することで、インシデント発生の防止、被害最小化のための適正なリソースと対策を検討することができます。

標的型サイバー攻撃への備え 改善の方策として

トレンドマイクロでは、は、豊富な経験とそれに基づいた幅広い知識により、最新の情報に基づいたウイルス対策のためのノウハウをトレンドマイクロ プレミアムサポートとしてお客さまに提供しています。それに基づいて、お客さま自身がウイルス対策の環境を十分活用できるようになり、脅威の防御に十分な効果を発揮することが可能になります。

トレンドマイクロ プレミアムサポートのサービスは、導入した製品の保守サポートを行い、インシデントが発生したときに対応のための支援を行うだけではなく、それをお客さまご自身が効果的に運用するためのノウハウや、インシデント発生時に備えた初動対応フロー構築支援の提供まで及んでいます。

今回のようなインシデントに直面した場合、こうしたサービスを利用していれば、専門家による最新情報に基づいたセキュリティ対策の運用ノウハウが効果的に提供され、迅速な初動対応が可能になります。また、専門家の知見活用でウイルスに感染した段階で脅威を正確に把握し、感染した端末をいち早くネットワークから遮断するなどの対応ができれば、感染の拡大を未然に防止し、被害の範囲をより小さなものにすることもできます 。

本稿は2013年4月に執筆した内容の一部を編集した記事です。内容は、2013年4月現在のものです。内容の全部もしくは一部に変更が生じる可能性があります。

※1 トレンドマイクロ プレミアムサポート for エンタープライズGold
※2 PsExec.exeは、リモートでプログラムを実行するための実行ファイルだが、マイクロソフト社から提供されている正規ツールのため、不正ファイルとしては検知されない。主に管理者が利用するツールであり、一般業務で利用されることは稀なため、このファイルが見つかったりコピーされたりしているのが発見された場合、外部の攻撃者により何らかのファイル操作やプログラム操作がリモートで行われた可能性が疑われる。さらに、このファイルを実行するためにはAdministrator権限(管理者権限)が必要なため、この権限が不正に取得された可能性も高い。
トレンドマイクロのソリューション Deep Discovery Inspector

記事公開日 : 2014.12.12
 この記事は、公開日時点での情報です