標的型サイバー攻撃の段階的手口を徹底解説
感染の“連鎖”を早期に断ち切る対策とは

標的型サイバー攻撃の被害が後を絶ちません。公的機関による年金情報の流出事故は記憶に新しいところです。トレンドマイクロが調べた最新の脅威動向によると、一時は廃れたマクロ型攻撃が、日本国内で侵入手口として“復権”するなど、新旧手法を利用しながら情報窃取を狙う狡猾な攻撃者の実態が明らかになってきました。

大切な情報を持ち出された後では手遅れです。被害を未然に防ぐには、攻撃者の手口を知り、いち早く不審な挙動を検知することが重要です。昨今の脅威の傾向を紐解き、被害者ならないための対策の指針を紹介します。

まだまだ続く情報漏えい、標的型サイバー攻撃は対岸の火事ではない

標的型サイバー攻撃が世界中で猛威を振るっています。トレンドマイクロによる2015年第1四半期の脅威動向調査を見ても、この傾向は依然として顕著です。標的となっているのは、組織の保有する情報です。海外では医療業界で大規模な情報漏えい被害が発覚。9,000万件以上の顧客情報が漏えいし、大きな問題となっています※1

POS 端末からクレジットカード番号などを盗み出す POS マルウエアの被害も拡大しています。POS マルウエアの検出台数はワールドワイドで前年同期比1.7倍に増加し、情報の窃取能力を高めた「FighterPOS」などの新しいタイプも確認されています※2

一方、日本で拡大しているのが標的型メール攻撃による被害です。添付ファイルを感染させ、組織内に侵入し、遠隔操作で内部の情報を窃取する手法です。このタイプは昨年1年間で5件の被害報告が確認されていますが、今年は半年弱で既に7件の被害報告が上がっています※3。この中には先頃世間を賑わせた100万件以上もの年金情報の漏えい事案も含まれます。

看過できないのは、ほとんどのケースが外部の指摘によって被害が発覚していることです。背景には、情報窃取という目的を達成するため、攻撃者は様々な手段、知恵を講じてシステム管理者に見つからないよう攻撃をしかけてくること、このため従来のセキュリティ対策だけでは監視しきれなくなっている実情があります。

標的型メールは、ソーシャルエンジニアリングを巧み利用し、従業員に疑いなく添付ファイルを開かせます。これにより、不正プログラムに感染させ、管理者に気づかれぬうちに組織内部に侵入するのです。添付ファイルも、アプリケーションの脆弱性を利用する手口のほか、最近では Microsoft Office のマクロを悪用した手口が増加するなど(図1)※4、防御側の反応、状況をみて常に変化しています。

図1 マクロ型不正プログラムの復活
Office文書を送り付け「文字化けしている場合はマクロ機能を有効にせよ」との文面で利用者を騙し、マクロ実行環境を有効にさせて攻撃を行う。2015年第1四半期における新種のマクロ型攻撃は前年同期比で2.4倍、不正プログラムの検出台数は同じく4.7倍に拡大した。
過去に流行した手口だが、Microsoft Office 2007以降、標準設定でマクロが実行不可になったため廃れていた。こうした背景を知らない利用者を騙し、攻撃の成功率を高めようとしているとみられる。

マクロ型が利用者を騙す手口の例

新たに確認されたマクロ型不正プログラム数推移(新規検出対応パターン数)

組織内のネットワークに侵入した後は、管理者のアカウント権限を奪うことで、正規の管理活動に紛れながら、情報を窃取します。こうしたセキュリティ対策の裏をかく巧妙な攻撃により、従来の対策だけでは、感染や情報漏えいの実態に気づくことができず、被害の拡大を招いているのです。

標的型サイバー攻撃による情報漏えいが深刻化する中、これからは外部からの攻撃阻止や内部犯行によるリスクの低減に努めることはもちろん、侵入を前提として、早期に感染の“鎖”を断ち切る対策が必要です。

攻撃者は内部環境を調べ上げ、Webやメールで足掛かりを作る

侵入前提時代の対策を講じるには、まず標的型サイバー攻撃の具体的な攻撃パターンを知ることが重要です。標的型サイバー攻撃は段階的に実行されます。その攻撃ステージは主に次の6つの段階に分類されます(図2)。

図2 標的型サイバー攻撃の攻撃プロセス
標的型攻撃は段階的に実行される。そのプロセスは大きく6つの段階に大別できる。特に注意が必要なのが、③以降の段階だ。

①ターゲットの入念な調査
攻撃者はまずターゲットの内部環境を調査します。侵入方法を見極め、侵入後に見つからないようにするためです。
調査では、検索サービスで得られる公開情報も悪用されます。例えば、企業のシステム管理者の採用情報を検索すれば、募集要項をもとにどのような技術者を求めているかがわかります。そこからサーバやルータの種類、サーバ OS や主要アプリケーションのバージョン、認証基盤などを特定することが可能です。官公庁の場合はシステム開発の入札情報などを調べることで、現状のシステムがどうなっており、どのようなシステムを作ろうとしているかを推察できます(図3)。

図3 内部の情報を探るための手段のひとつ
公開情報から攻撃者は様々な内部情報を得ることができる。こうした情報を隠すことは時間稼ぎにはなるものの、根本的な対策にはならない。

※ トレンドマイクロが作成した架空の例です。

内部環境をある程度把握できれば、特定のプラットフォームやアプリケーションを狙った不正プログラム、脆弱性を狙った攻撃が有効であることがわかります。企業・組織は広く公開する情報に関して、その出し方や表現の仕方に留意する必要があるでしょう。ただし、情報を隠すことに注力するのはあまり意味がありません。攻撃者が調べる手段はほかにもあり、完全に手がかりを隠すことはほぼ不可なのです。

②ソーシャルエンジニアリングを使い潜入
攻撃者は内部環境を調査した後、攻撃の足掛かりを作ります。その手法は大きく2つあります。
1つは Web 経由の侵入。正規サイトを改ざんし、不正サイトに自動リダイレクトする Java Script などを埋め込みます。正規サイトを閲覧しただけで、裏で不正サイトに誘導し、端末の脆弱性を利用して不正プログラムを送り込むのです。

もう1つはメール経由の侵入です。こちらは添付ファイルを開封させることで、不正プログラムに感染させます。事前に攻撃対象を徹底的に調べ上げているため、一見しただけでは正規の仕事のメールと見分けがつきません。同僚や上司、取引先などを名乗る文面を使用したり、納入製品のクレームメールを装うこともあります。最近では顧客や入社志望の学生を装ってメールで問合せなどを行うなど、相手を信用させてから不正プログラム付きの添付ファイルを送る「やり取り型の標的型メール攻撃」も増えています。

たった1台の感染が発端で機密情報が盗まれる

③司令塔との通信確立
ウイルスを感染させることに成功した攻撃者は「コマンド&コントロール(C&C)サーバ」と言われる攻撃サーバから不正プログラムに様々な指令を送ります。この C&C 通信によって、遠隔からコマンドを実行して感染端末を意のままに操ります。

従来は C&C サーバが海外に設置されるケースがほとんどでしたが、最近は国内に設置されるケースが急増しています。昨年2014年に国内に設置された C&C サーバは66%で、2013年の6%から急増しています※5。海外との通信は一般的でない場合が多いため、通信先を国内にすることで、攻撃の検知を回避しようとしているのです。これは日本企業をターゲットとした攻撃が増えている証左とも言えます。不正通信先を調べた結果、正規の企業サーバが乗っ取られ、C&C サーバとして利用されていたケースもあります。未知の C&C サーバが使用されたり、C&C 通信が暗号化されているケースも増えています。

④機密情報にアクセスできる権限を狙う
C&C 通信を確立した攻撃者は、情報探索のためにシステム管理者権限の奪取を狙ってきます。具体的にはアカウント情報を格納する SAM データベースやレジストリからパスワードのハッシュをダンプしたり、ハッシュ値を代用して認証突破を図ります。最近では平文パスワードを取得可能なハッキングツールも出回っています。

Windows の認証を司るプロセスである lsass.exe を悪用する手法も増えています。lsass.exe はシングルサインオン実現のため、パスワードを復号するための鍵をメモリ上に保持しています。この鍵を特定するツールを使って、lsass.exe の API 経由でパスワードを復号する手口です。
管理者権限を奪取した攻撃者は、ターゲットの管理共有環境に不正プログラムをコピーしたり、リモートで echo コマンドを実行して FTP を悪用するなどの手法で攻撃基盤を構築し、目当ての情報を探索します。

⑤情報集約
攻撃者の狙いは機密情報や個人情報の窃取です。探索の結果、入手した情報はいったん集約され、送出の準備を整えます。

⑥情報送出
集約された情報は攻撃者が用意したインターネット上のサーバにアップロードされます。その際、一度に大量のアップロードは行わず、何度も小分けに行われます。これは不正通信に見えにくくするための細工です。その後、OS 標準のコマンドや正規ツールを用いて痕跡を消去し、証拠隠滅を図ります。しかし、これだけで攻撃は終わりません。持続的に侵入状態を維持して情報を盗み続けることも少なくありません。

内部挙動の可視化と多層防御を

このように標的型サイバー攻撃は大きく6つの段階を踏んで目的を遂行しようとします。情報がアップロードされた後では手遅れです。その前段において、いかに早く異変を察知するかが重要です。

そのためにはユーザのセキュリティ意識を高める教育を継続的に行うとともに、管理共有の無効化や Local Administrator の非流用など基本的なセキュリティ対策の徹底を図り、初期潜入の抑制を図ることです。さらにネットワークの出入口だけでなく、内部の挙動を可視化できる仕組みを実現することが大切です。実害の発生が懸念されるのは、先述した③以降の攻撃ステージとなるため、内部挙動の可視化は特に重要です。

一方でこれまでのセキュリティ体制や対策では、内部ネットワーク上の挙動の異常を見抜くことが難しくなってきています。対応する新製品も数多く提供されていますが、選択も難しい面があります。セキュリティベンダなど専門家の知見を借りることで、自組織の課題に対応する対策を講じていくことをおすすめします。

標的型サイバー攻撃に対処するには、「入口」「出口」「内部」に多層の防御を施し、被害拡大の“鎖”をできる限り早期に断ち切ることで、セキュリティリスクの低減に大きな威力を発揮することができるのです。

※1、2 トレンドマイクロ 2015年第1四半期セキュリティラウンドアップ
※3 2015年6月15日までに公表/報道された標的型サイバー攻撃手法が使用されたとみられる組織内ネットワークへの侵入、情報侵害事例をトレンドマイクロが調査 各社の社名、製品名およびサービス名は、各社の商標または登録商標です。
※4、5 トレンドマイクロ 2015年第1四半期セキュリティラウンドアップ

記事公開日 : 2015.08.06
 この記事は、公開日時点での情報です