標的型サイバー攻撃最新動向

調査データ・実例からとらえる「攻撃のトレンド」

企業・組織のセキュリティを脅かす“難敵”、標的型サイバー攻撃。その攻撃手法は絶えず変化し、また悪質化しており、防御の難度をますます高めています。調査データと実例を基に、標的型サイバー攻撃の特徴的な傾向と対策を解説します。

約4社に1社が侵入を許す

日本の約4社に1社がすでに脅威の侵入を許していた──。

これは、トレンドマイクロによる調査の結果です。
トレンドマイクロでは、2015年1月から7月にかけて標的型サイバー攻撃対応支援サービスを提供した企業の事例を集計・分析しました。その結果、全体の23%──すなわち、およそ4社に1社のネットワークにおいて、標的型サイバー攻撃の「遠隔操作ツール」によるものと思われる「不審な通信」が確認されたのです。これを言い換えれば、約4社に1社のシステムに標的型サイバー攻撃のマルウェアが侵入し、外部との不正通信を行っていたことになります。
また、トレンドマイクロの調査によって以下の事実も明らかにされています。

・標的サイバー攻撃による被害に気づくのは、最初の侵入から平均156日(約5カ月)※1

このように、標的型サイバー攻撃は、依然として“防ぎにくく、気づきにくい”脅威であり続けています。その大きな理由として挙げられるのは、攻撃の手口が絶えず変化していることです。2015年においても、攻撃者が「状況と目的に応じて攻撃を変化させる」といった傾向が見受けられています。
以下、そうした標的型サイバー攻撃の最近の傾向を、攻撃のフェーズ(図1)にわけて解説します。具体的には、標的型サイバー攻撃の「侵入時活動」と「内部活動」において、どのような手法の変化や傾向が見られているかについて明らかにします。

図1:標的型サイバー攻撃の攻撃段階

(資料:トレンドマイクロ)

侵入時活動の傾向
──ゼロデイ攻撃のスピードアップ

標的型サイバー攻撃の侵入時活動では、いわゆる「水飲み場攻撃」と呼ばれる手法が使われることがあります。これは、標的型メール(に記載したURL)などを通じて、標的組織の従業員がアクセスする正規サイトを改ざんしたうえで、この不正サイトへ巧みに誘導し、脆弱性を狙った攻撃などを仕掛けるといったものです。

2015年以降、この手口で「ゼロデイ脆弱性」──すなわち、脆弱性の修正プログラムが正式にリリースされる前の脆弱性が即座に悪用されるケースが増えています。
例えば、2015年7月7日、アドビ システムズが「Adobe Flash Player」にゼロデイ脆弱性(CVE ID:CVE-2015-5119)があることを公表し、翌日には修正プログラムをリリースしました。しかし、その1週間前の7月1日には、この脆弱性を悪用した「水飲み場攻撃」が日本と韓国で確認されていたのです※2。また、Adobe Flash Playerについては、これと同様のゼロデイ脆弱性が他にも発覚し、それらを即座に突く水飲み場攻撃が日本で複数確認されています。

標的型メールを通じた侵入手法の主流は、不正プログラムのファイルを標的型メールに添付し、標的組織の従業者に送り付けるという手口であり、「URLによる不正サイト誘導」が使われるケースは相対的に少ないのが実情です(図2)。とはいえ、ゼロデイ脆弱性を突く「ゼロデイ攻撃」の速力が上がっていることは、組織にとって深刻な脅威です。社内端末やサーバの脆弱性を排除する取り組みを徹底させるとともに、仮想パッチなどゼロデイ攻撃への備えをさらに固める必要があります。

図2:標的型メールの添付ファイル別の割合(2015年)

※上図は、2015年にトレンドマイクロが法人組織での攻撃調査において入手した標的型メールサンプル30件の分析結果
(出典:トレンドマイクロ)

「内部活動」の傾向①
──「権限奪取」「アカウント情報収集」で新たな手口

標的型サイバー攻撃の「内部活動」では、遠隔操作による「ネットワーク内情報の探索」や「重要情報の入手方法の特定」、「情報の収集」といった攻撃プロセスが走ります。このプロセスの中で、攻撃者は侵入したネットワーク内を自由に動き回りながら、管理者権限を奪取します。管理者権限で、正規ツールや標準コマンド、正規通信を悪用することで、検知を逃れようとするのです。ネットワーク内の他の端末やサーバに内部活動ツールを転送・実行しながら、攻撃基盤を拡大させ、重要情報を抜き取っていくのです(図3)。

図3:内部攻撃のシナリオ例

このように、正規ツール等の悪用により、攻撃活動が隠蔽されるため、攻撃者の動きを「不正」、ないしは「攻撃」と判断するのは困難です。加えて厄介なのは、攻撃者が使うツールや手法に変化・多様化の動きが絶えず見られることです。

実際、2015年においても、新たな管理者用ツールを使った「アカウント情報窃取」の手口が確認されました。
例えば、システム利用者のパスワードをダンプして不正に取得するツールとして、2014年に使用が確認された「WCE(Windows Credential Editor)」※3や「MIMIKATZ」※4に加えて、「Quarks PwDump」※5の使用が新たに確認されました。
また、Windowsの「ケルベロス認証」の脆弱性(修正プログラム:MS14-068)を悪用し、一時的に特権ユーザの権限を得る「権限昇格」の攻撃も確認されました。
さらに、「Active Directory」サーバ内の情報を窃取するツールとして、マイクロソフトの正規の管理ツール(コマンド)「dsquery」※6、「csvde」※7の使用も確認されました。

「内部活動」の傾向②
──「速攻」「潜伏」の使い分けが鮮明に

内部活動においてもう1つ指摘できる点が、「潜伏型」と「速攻型」という2タイプの攻撃が並行して行われる傾向が顕著になってきていることです。
ここで言う潜伏型とは、これまでの標的型サイバー攻撃に一様に見られてきたタイプの攻撃です。長期間、組織内ネットワークに潜伏し、重要情報の窃取という最終目的を果たすまで内部活動を続けます。

対する速攻型は、攻撃基盤の拡大といった時間のかかる内部活動は行わず、侵入後数時間から1日程度で情報を窃取するタイプの攻撃です。その目的は、最終ゴールの「重要情報の窃取」に向けて、必要最低限の情報を入手することにあると推定されます。事実、トレンドマイクロでは速攻型の攻撃を受けた組織が継続して攻撃を仕掛けられる事例を確認しています。したがって、速攻型の攻撃を受けた際には、それを「継続的な攻撃の一部」ととらえるべきでしょう。そのうえで、影響範囲の把握や外部に送出された情報の特定を迅速に行い、のちの対策に生せるようにしておくことが肝心です。

「内部活動」の傾向③
──イベント単体では攻撃の有無が特定できない

これは「最近の傾向」とは言えませんが、標的型サイバー攻撃の内部活動に共通して見られる重要な特性が1つあります。それは、「1つひとつの通信イベントログを単体で監視していても、標的型サイバー攻撃を受けているかどうかの判断が下しにくい」という特性です。

実際、トレンドマイクロが2015年にネットワーク監視サービスを提供した100社の事例を分析したところ、ファイル転送やリモート実行などの単体のイベントログから遠隔操作ツールの存在が確認できた割合は最大でも6割弱でしかありませんでした。
その一方、同じ分析を通じて「2種類以上の不審なイベントが監視で確認された場合、遠隔操作ツールの存在が100%の確率で検出できる(図4)」ことも明らかにされました。この結果から、内部活動の攻撃シナリオに基づき、複数の不審な通信イベントログを組み合わせて監視することの重要性が改めて確認できたと言えます。

図4:不審な通信イベントログと遠隔操作ツールの確認件数

※上図は、2015年1月~12月の期間に、トレンドマイクロがネットワーク監視を行った100社の事例を集計した結果
(資料:トレンドマイクロ)

求められる対策

以上のとおり、標的型サイバー攻撃の手法は、さまざまな変化し、多様化してもいます。おそらく今後は、“速攻型”の手口などを用い、標的組織のみならず、その周辺組織・個人に攻撃を仕掛け、最終目的である「標的組織の重要情報窃取」につながる情報の入手に動く攻撃者も増えてくるはずです。
したがって、自組織のセキュリティのみならず、グループ全体、あるいはバリューチェーン全体のセキュリティにも目を光らせておくことも重要でしょう。
そうした点を踏まえながら、標的型サイバー攻撃対策に取り組むうえでの要点を以下にまとめます。

● 侵入時活動対策の要点

外部接続の有無に関わらず社内端末・サーバの脆弱性を解消する
有効な標的型メール対策を導入する
「通信先」と「通信内容」の両面から社内端末と外部との不正な接続を突き止め、遮断できる対策を導入する

● 内部活動対策の要点

外部接続の有無に関わらず社内端末・サーバでの脆弱性を解消する
複数の「挙動」に着目しながら社内通信を監視し、攻撃を早期に発見できる対策を導入する
可視化された攻撃に対し、迅速に対応・対処できる体制を構築する

● 全体的対策の要点

IT環境の特定部分の防御だけではなく、多階層での防御を強化する
新しい攻撃手法に対するアンテナを常に張り巡らせ、有効な対策を更新し続ける
自組織のみならず、グループ全体・バリューチェーン全体のセキュリティにも目を光らせる

更に詳しい情報は以下のレポートをご覧ください。

※1 トレンドマイクロが2015年の1年間に提供したネットワーク監視サービスの事例から無作為に100件を抽出し、調査した結果
※2 公開情報とトレンドマイクロによる調査に基づく情報
※3 Windows Credential Editor:ログオンセッションのリスト化と関連認証情報の追加・変更・リスト化・削除を行うためのフリーのセキュリティツール。攻撃者によるパスワードのダンプに悪用される
※4 MIMIKATZ:デバックツール「WinDbg」 の拡張機能。
※5 Quarks PwDump:Windows管理用のツール。攻撃者によるパスワードのダンプに悪用される
※6 DSQUERY:Active Directory内の情報検索などに利用されるコマンドラインツール
※7 CSVDE:Active Directoryのアカウント情報をCSV形式でエクスポートできるコマンドラインツール

記事公開日 : 2016.06.20
 この記事は、公開日時点での情報です