目に見えない危険-攻撃を隠ぺいする様々なツールとサイバー犯罪

APT(持続的標的型攻撃)が登場してから、サイバー犯罪者は隠ぺい技術を悪用して、セキュリティ製品による検出や追跡を回避してきました。サイバー犯罪者は、この技術を継続的に巧妙化させています。

この巧妙化は、数年前にアンチウイルスを回避することから始まっています。現在、FortiGuard Labsでは毎日50万個のウイルスの検体を扱っています。これらの多くは同じウイルスファミリーに属していますが、ポリモーフィック型となっており、アンチウイルスによる検出テクノロジーを回避するために数秒ごとにコードの性質を変化させるバイナリパッカーが使用されています。

攻撃者は、従来とは異なる攻撃方法や攻撃チャネルでも同じような隠ぺい手法を利用するようになっています。たとえば、Webフィルタリングは、ウイルスを拡散するための悪意のあるサイトへのアクセスをブロックしてユーザーを保護します。サイバー犯罪者は、10年間以上にわたり、Fast-Fluxネットワークを使用して極めて頻繁にIPアドレスとドメインを変更しており、場合によっては、攻撃元を隠蔽する目的でわずか1日に5万以上のWebサイトが使用される場合もあります。

Torネットワークなどを使用すると、Webアクティビティをさらに巧妙に隠蔽したり改変したりすることが可能となります。Tor (The Onion Routerの略)は、Webトラフィックを匿名で送受信できるように設計されています。ユーザーは自分を特定されないようにするだけではなく、ブロックされているコンテンツにもアクセスできるようになります。Torでは、独自の手法でトラフィックを暗号化し、リレーネットワークを介してランダムにトラフィックを転送することで、このような処理を可能にしています。個別のリレーネットワークに独自の暗号化レイヤーがあり、アクセスの痕跡やユーザーIDが隠蔽される仕組みになっています。

このような次世代のセキュリティチェック回避ツールは、Deep Webを使用して調査や追跡を妨害します。捜査当局が攻撃元を突き止めようとしても、サイバー犯罪者は新しい通信プロトコルと暗号化スキームを作成して「Dark Webに入り込み」、捜査当局とセキュリティインテリジェンスの追跡をかわすために攻撃の手法を変えています。これは、盗品の販売、ドラッグの違法売買、児童ポルノ、さらには諜報活動など、違法となる可能性がある様々な行為のためのチャネルとなっています。

このような脅威に業界として立ち向かっていくために最も重要なことは、コンピュータ緊急対応チーム、セキュリティの専門家、企業、捜査当局が連携することです。サイバー犯罪の技術面については、警察組織だけでは十分に対応できない場合があります。このため、民間企業の研究者は公的機関とその専門知識を共有しながら、違法で極めて悪質な犯罪を追跡し防ぐことが必要です。これまでに複数のフォーラムやワーキンググループが組織され、実績をあげています。

Confickerワームが2008年に再登場した時には、ドメイン生成アルゴリズム(DGA)が使用され1日に接続が試行されるWebサイトが最大で5万サイトも生成されていました。サイバー犯罪者は、5万のドメインから1つを選択して実際に通信を行います。このハッキンググループのメンバーでない限り、実際の通信に使用されるサイトを見つけることは、干し草の山から針1本を見つけ出すような極めて困難な作業となります。そのため、業界(セキュリティ情報機関とセキュリティ企業)が団結して、Confickerによって生成されるすべての新しいドメインをプロアクティブにブロックしてユーザーを保護する目的でConfickerワーキンググループを設立しました。このような努力によって、多くのユーザーがセキュリティパッチMS08-067を導入するための時間を稼ぐことが可能となり、ワーキンググループは感染を調査し追跡することが可能となりました。

現在、フォーティネットは、Cyber Threat Alliance (CTA)のようなグループに積極的に協力しています。CTAがCryptoWall Version 3に関するレポートを2015年10月に公開した時には、このランサムウェアによる攻撃によって約3億2500万ドルの被害が発生している証拠を開示しました。この調査レポートが公開された直後に、CryptoWall 3を操っているサイバー犯罪者は完全に消え、攻撃手法も変わりました。共同研究や情報共有には、これらの攻撃を防止するに十分な力があることが証明されています。

フォーティネットは、インターポール(国際刑事警察機構)のサイバー犯罪特別対策班にも協力しています。FBIや他の関連捜査当局とも連携して調査を支援し、当社の顧客を保護するためにインテリジェンスを提供しています。また、フォーティネットは最近NATOとのパートナーシップ契約を締結したこともお知らせします。サイバー犯罪者を追跡し攻撃を防止する目的で、このほど双方向の情報共有を推進する契約にフォーティネットは署名しています。このように、官民が連携してインテリジェンスを強化していくことで、高度な脅威に対抗し、最新の攻撃を食い止めるためのセキュリティ対策を講じて、当社のお客様をはじめとするあらゆる企業組織に対してさらに強力なセキュリティを提供していくことが可能となります。

サイバー犯罪者は、違法な行為を隠蔽し自分を特定されないように今後も新しいツールを見つけ出していくことでしょう。しかし、セキュリティ業界は、さまざまな団体と連携を図り関連する調査結果を共有することによって、これらの攻撃に対抗できることを証明しています。攻撃者がユーザーを攻撃するための高度な新しいツールを開発している中で、このように共通点を見い出しながらさまざまな連携を図り、問題の解決を進めていくことには大きな意味があります。サイバー犯罪はますます高度化しており、攻撃も痕跡を隠ぺいする技術も巧妙化しているのは、追跡によって自分の身に危険が迫っていることを感じているからです。サイバー犯罪グループは、はじめて自分たちの状況が危ういと考え始めているのです。