脅威インテリジェンス - 攻撃者を理解する(1/3)

前回のブログでは、外的脅威に対するインテリジェンス、サイバーセキュリティの戦場、そして自社の能力と問題点を理解しておくことで、現在のセキュリティ体制の有効性を測定できるようになることを概説しました。

今後数週間をかけて、そうしたセキュリティ体制上の問題を検証していきます。今回のブログは、外的脅威に対するインテリジェンスについて、また、ユーザや企業に危害を加えようとする個人とグループについてより詳しく説明していく連載(全3回)の第1回です。

攻撃者のカテゴリ

多数の攻撃者が活動していますが、その大部分は以下のカテゴリに分類することができます。

政府関与型:これに該当するグループは潤沢な資金を持ち、多くの場合高度な標的型攻撃を実行できます。このようなグループは一般的に政治的、経済的、技術的、軍事的な目的によって突き動かされています。

組織犯罪:ほとんどの場合、こうしたサイバー犯罪者は利益を動機に不特定多数を対象にした攻撃を実行します。通常標的となるのは、社会保障番号、医療記録、クレジットカード、銀行取引情報などの個人情報(PII)です。

ハクティビスト(政治的ハッカー):このカテゴリの攻撃者には政治的目標があります。その目標を達成するため、あるいは特定の問題について啓蒙するために、人目を引くような攻撃を作成してプロパガンダを拡散し、対立する組織に損害を与えようとします。

内部関係者による脅威:内部の攻撃者は会社に不満を抱く従業員か元従業員であることが多く、復讐を企てているか金銭的利益を得ようとします。金銭と引き換えに他の攻撃者と手を組むこともあります。

日和見的攻撃:有名になりたいスクリプトキディであることが多いですが、ネットワークシステムやデバイスの不具合やエクスプロイトを検出・公開することで利益を得ようとするセキュリティ研究者やプロのハッカーの場合もあります。

内部ユーザのエラー:ユーザが構成を間違えると、ファイアウォール、ルータ、サーバなどの重要なリソースがシャットダウンして、広範囲あるいは部門全体の機能が停止する可能性があります。多くの場合、ユーザの技術的スキルを超えた権限が与えられていることが原因です。

上記すべてのタイプの攻撃者に悩まされていることとは思いますが、これまでお話ししているとおり、データを盗もうとする攻撃者の対策を最優先事項にする必要があります。

脅威インテリジェンスのタイプ

脅威インテリジェンス(TI)とは、組織が使用可能な脅威に関する外部情報であり、実施可能な防御策(新しいポリシー、構成、設計、デバイスの導入など)を導く意思決定プロセスに組み込むことができるものを指します。つまり、戦略、戦術、および運用の観点からの意思決定に貢献する情報です。各タイプの詳細を以下に示します。

戦略的TI:このタイプのTIは一般的に、攻撃者、攻撃者の意図、動機、能力、および現在および今後12~18か月間の計画に関するレポート(印刷物またはオンラインレポート)です。

一般的に、CISOと経営者は予算決定の時期が来るとこの情報を基にして、管理、物理、テクノロジーの面でどのような制御機能を追加する必要があるのかを判断します。

戦術的TI:このタイプのTIは、攻撃者の戦術、手法、手順の把握に重点を置いています。「サイバー攻撃者がどのような方法で目的を果たしているのか」を明らかにします。

この情報は一般的に、セキュリティ/ネットワーク運用チームが脆弱性とアラートエスカレーションを把握し優先順位を決定するために、また設計上考慮すべき点と構成の変更を通知するために活用されます。

運用上のTI:このタイプのTIは、一般的にSIEMや脅威インテリジェンスプラットフォームに取り込まれます。そこでネットワークログなど収集されたデータと相互参照され、攻撃者が自社の攻撃を試みている段階なのか、すでに防御を突破しているのかが判断されます。この種のインテリジェンスには、不正なIP、ハッシュ、URL、ドメインを始めとするシステム/ネットワーク要素など、攻撃者が残していった可能性のあるIOC(セキュリティ侵害の痕跡)が含まれています。

この情報は一般的に、インシデント対応チームとフォレンジックチームがセキュリティ侵害の範囲を特定するため、および攻撃者を捜索するために活用されます。

大半の企業は、上記すべての脅威インテリジェンスをフル活用できるほど成熟していません。まずは第一歩として戦術的TIに重点を置いてください。そうすることで、攻撃者がどのような方法で目的を達成しているのかを理解し、適切なセキュリティ制御機能を選択できるようになります。このタイプのTIをさらに理解するために、まずは攻撃を要素に分解して関係を明らかにします。これは「キルチェーン(Kill Chain)」としても知られています。「キルチェーン」は、数年前にLockheed Martin社が使い始めた用語です。攻撃の段階や手順にはさまざまな用語が使用されますが、一般的には偵察、武器化、配送、攻撃、遠隔制御、内部偵察、存在維持といった段階で理解されています。いずれの段階においても、攻撃者は目標を持ち、その目標を達成するために特定の戦術を使用します。

国家機関および組織犯罪の攻撃者に見られる目標や傾向など、これらの段階の概要を以下に説明します。平均的なサイバー犯罪者はサイバー犯罪エコシステムのアフィリエートプログラムや入手が容易なツールや手法を利用するのに対し、高度なスキルを持つ組織犯罪の攻撃者の一部は、豊富な資金を持っており、その戦術、手法、手順は多くの場合カスタマイズされていて、国家機関の攻撃者のそれと非常に似通っていることに留意してください。

攻撃手法 - キルチェーンの目標と傾向

偵察:攻撃者はこの段階で、標的となる組織とネットワークについてできるだけ多くの情報を入手する必要があります。標的の防御策と対応を調査・テストし、パッチが適用されていないデバイスやオペレーティングシステムがないかネットワークをくまなく探します。また、ソーシャルメディアを使用して、従業員に関する情報やネットワークで使用されているアプリケーションとバージョンなど重要な企業情報を収集します。さらに、つながりのあるビジネスパートナーについても調査します。これは、標的の企業よりもパートナー企業の方がセキュリティ体制が脆弱であれば、そこがネットワークへの侵入経路になるためです。

武器化:この段階で、攻撃者は特定済みの脆弱性を攻撃する悪意のあるコードを作成し、その攻撃コードが検出されないようにします。国家機関の攻撃者である場合、ゼロデイエクスプロイトを使用する可能性が高くなります。ただし、大半のサイバー犯罪者は、既知の脆弱性に特化したエクスプロイトを含むキットを使用またはレンタルします。多くのエクスプロイトやマルウェアでは、ファイアウォールやウイルス対策機能など数多くのテクノロジーを迂回する技術が用いられています。

配布:武器を選択した後、サイバー攻撃者はそれを配布する最適な方法を考える必要があります。ご存知のように、よく用いられる方法はソーシャルエンジニアリングとフィッシングメールです。ソーシャルメディアサイトから従業員に関する大量の情報を入手することができます。そのため、正規のメールとフィッシングメールの見分けがますます難しくなっています。攻撃者はユーザにリンクをクリックさせるだけです。その他にも、Webサイトへの感染(ドライブバイマルウェア)や、ユーザが頻繁にアクセスするWebサイトに表示される広告に感染するマルバタイジングなどの配布方法があります。

攻撃/実行:エクスプロイトの配布が完了したら、検出されないように実行する必要があります。一般に用いられる配布方法はフィッシングメールであるため、多くの攻撃はブラウザおよび脆弱性を持つブラウザプラグイン(Flash、Javaなど)に特化したクライアントサイドのエクスプロイトです。それ以外のエクスプロイトは、送信された文書に隠して悪意のあるマクロとスクリプトを配布します。

遠隔制御:脆弱性の攻撃が成功した後、最初に試みられるのは検出されないように攻撃者またはサーバと通信して、さらなる攻撃に使用するマルウェアや追加ツールをダウンロードすることです。検出されずに通信するため、通常コマンドと要求は他のプロトコル(HTTP/HTTPS、DNS、TORなど)をトンネリングします。このような通信は暗号化されるようになってきており、検出と検査が難しくなっています。通信相手となる大量のドメインとIPを生成するのに使用されるドメイン生成アルゴリズム(DGA)が、IPとドメインのブラックリストを迂回するためにも使用されています。

内部偵察:最初に侵入するポイントは脆弱なワークステーションであることが一般的であるため、攻撃者はネットワーク内を水平方向に移動して、インフラストラクチャをマッピングしたり、目標達成に必要なデータの場所を特定したりする必要があります。そのためには、ネットワーク上のIoTや医療デバイスなどのデバイスに感染する必要があります。そこで最初に、すべてのユーザとデバイスの認証情報が保管されているサーバ(Active Directoryサーバなど)を探します。

存在維持:侵入に成功した攻撃者は、できるだけ長期的に留まろうとします。そこで、ネットワークに深く潜伏して、足場を固めます。そして、ファイルを隠ぺいするルートキットや、ブートキットと呼ばれるカーネルモードのルートキットなどをインストールします。ブートキットは、マスターブートレコード(MBR)などのスタートアップコードに感染します。その目的は、コンピュータ全体への無制限のアクセスです。無制限にアクセスできれば、攻撃者が見せたいものだけをユーザに表示して、存在を隠蔽できるようになります。ブートキットはフルディスク暗号化さえも迂回が可能です。攻撃者が時折直面する問題の1つが、インターネットに直接接続しているデバイス上に欲しいデータがないことです。そのような場合、データを狙う攻撃者はインターネットに接続しているサーバも検出して侵入し、そのサーバ上で盗み出したデータをステージングしなければ、データを持ち出すことができません。

次回予告

今回は攻撃者、攻撃の段階、および攻撃の最新動向について概説しました。次回は、このような脅威インテリジェンスに基づいて防御機能を構築する方法を説明します。第2回「脅威インテリジェンスによる保護機能」もぜひご覧ください。