高度標的型サイバー攻撃検知技術を利用した 標的型サイバー ......ス pfu...
TRANSCRIPT
-
トピックス
PFU Tech. Rev., 28, 1,pp.41-47 (06,2017) 41
高度標的型サイバー攻撃検知技術を利用した標的型サイバー攻撃対策への取り組み
標的型サイバー攻撃による情報漏えい事件は後を絶たず,社会問題となっています.
PFU は,新たに開発した高度標的型サイバー攻撃検知技術「Malicious Intrusion Process Scan」を中心に,
長年にわたるセキュリティプロダクト開発で培った技術力やノウハウと,全国 24 時間 365 日対応可能な SOC や全
国約 120 拠点のサービス体制などの自社の強みを組み合わせたサービス「標的型サイバー攻撃対策支援サービス」を
提供し,お客様の ICT や情報資産を守るために戦い続けています.
1 まえがき昨今,情報漏えい事件として明るみに出ることが多い
標的型サイバー攻撃は,過去のコンピューターウイルス
などに多く見られる愉快犯とは異なり,攻撃者の目的が
特定の団体の重要情報の窃取のように明確だという特徴
があります.
標的型サイバー攻撃の攻撃者にとって,目的遂行のた
めには攻撃対象に見つからないことが重要であり,対策
の進化に対応すべく手口を日々巧妙化させています.
そのため,事件として発覚するきっかけのほとんどが
社外の公的機関など外部からの通報によるものであり,
多くの場合,実施しているセキュリティ対策をすり抜け
られ,気づかないうちに被害を受けており,攻撃されて
いることさえ気づけていないことが実態です.
こうした現状を踏まえ PFU では,気が付きにくい攻
撃を検知する技術「高度標的型サイバー攻撃検知技術~
Malicious Intrusion Process Scan ~」を開発し,
その技術を中心にお客様の被害を最小限にするための
様々な取り組みを行っています参1)参2).
本稿では,まず 2 章で開発した検知技術の概要を説
明し,3 章でその検知技術を使ったサービス,4 章で今
後のサービス強化について,5 章でより高度な対応を行
うための高度分析ラボを説明します.
また,被害を最小限にとどめるためには,このような
取り組みに加え,お客様に標的型サイバー攻撃の手口や
リスクについて正しくご理解いただく取り組みも重要で
す.6 章では PFU のエヴァンゲリストによる地道な啓
発活動について説明します.
2 新しい脅威検知技術「MaliciousIntrusionProcessScan」
高度標的型サイバー攻撃検知技術について簡単に説明
します.既存防御技術はマルウェアそのものを検知対象
としています.シグネチャと呼ばれる手配書とマルウェ
アを見比べたり,仮想環境で動作を確認したりして,マ
ルウェアを検知しています.これらの方法では,シグネ
チャの更新よりもマルウェアの進化が早くて検知できな
い事例や,マルウェアが仮想環境を検知して動作をやめ
てしまうためにすり抜けが発生してしまう事例が起こっ
ています.
シグネチャや仮想環境での検知だけではなく,顧客環
境に設置されている様々な機器のログを収集して,相関
分析ルールを適用して検知する方法も存在しますが,運
用するためには,機器が発信するアラートに対して危険
と判断する基準の設定など,かなり高度な技術が必要な
ため,利用できる人員が限られてしまいます.
PFU の新しい脅威検知技術はマルウェアを見ること
なく,ネットワーク上の攻撃者の行動を相関分析し,脅
威をリアルタイムに検知することが可能です.
室木 崇 *Takashi Muroki
白石哲也 **Tetsuya Shiraishi
内藤久裕 **Hisahiro Naitou
須釜正行 ***Masayuki Sugama
菊川二郎 ***Jiro Kikugawa
* セキュリティビジネスユニット セキュリティビジネス統括部 企画部** セキュリティビジネスユニット セキュリティビジネス統括部 ソリューション部*** セキュリティビジネスユニット セキュリティプロダクト事業部 技術部
-
42
高度標的型サイバー攻撃検知技術を利用した標的型サイバー攻撃対策への取り組み
PFU Tech. Rev., 28, 1, (06,2017)
検知技術の特長は以下の三つです.
(1) PCに特別なソフトウェアを必要としないエージェ
ントレス
通信だけを見ているので,新たにエージェントをイン
ストールする必要がありません.
(2) 攻撃者に気づかれない検知技術
スイッチング HUB のスパンポート(ミラーリング
ポート)に接続しており,通信のコピーを受信して検知
するために,マルウェアに気づかれません.
(3) 高い検知精度
単一の通信のみで攻撃行動の断定を行わず,端末が
行っている複数の通信から相関分析を実施の上,断定し
ているので,過検知や誤検知が従来技術よりも少なく,
検知精度が向上しています.
3 攻撃者と戦う「標的型サイバー攻撃支援サービス」
内部侵入は,もはや従来型の防御だけでは防ぎきれま
せん.標的型攻撃被害の 70% の顧客は被害発覚まで,
内部侵入に気が付いていません参3).
だからこそ,内部侵入された後の対応が重要です.日々
進化する標的型サイバー攻撃を防ぐために,「検知」「分
析」「対処」が必要になってきています.
「検知」「分析」「対処」をワンストップで解決するサー
ビスが「標的型サイバー攻撃支援サービス」であり,内
部侵入を前提にして,万が一侵入されたとしても,被害
を出さないことをコンセプトにしたサービスです.
従来型の SOC注1)で提供されている,機器で検知した
アラートの通知だけではなく,PFU 独自技術を用いた
「検知」,SOCによる「分析」,「対処」支援を行っています.
現在サービス提供を行っているお客様に対しては,リス
クウエア,アドウエア(意図していないソフトウェアの
インストール)の「検知」および顧客が許可していない
ツール(リモートデスクトップソフトウェアなど)の「検
知」を行い,同時に SOC による「分析」や「対処」の
支援により,リスクの未然防止やお客様の IT 統制にも
役立っています.
注1) Security Operation Center の略.ネットワークログや社内端末を常時監視し,サイバー攻撃の検出や分析を行う組織.
4 サービス強化への挑戦PFU の SOC は,独自の技術を使って内部脅威を検
知することが可能です.
これは図 -1に示す,Sandbox注2)のログ解析を行っている SOC サービスのレベルを既に超えており,
SIEM注3)と同等レベルの相関分析を実施する高レベル
の SOC サービスです.さらなる差別化として,サービ
ス拡充を行ってまいります(2017 年度 6 月より順次).
(1) オンサイト対処支援について
2017 年 5 月以降順次,図-2に示すとおり,全国120 拠点のエンジニアが,オンサイト(現地訪問)に
よる対処支援を実施することにしました.従来,PFU
の SOC でマルウェアへの感染と判断した場合は,お客
様に対してメールでのみ対処支援を実施していました
が,オンサイト対応を加えることにより,お客様の運用
負担を軽減します.
(2) SOC 対象機器の拡大
SOC サービスをワンストップで提供するために
2017 年 6 月からは,著名なセキュリティ製品を中心
に対象機器を順次拡大する予定です.
注2) Sandbox「攻撃されても問題のない仮想環境」を構築してその中で怪しいファイルを実行し,問題を分析するソフトウェア,またはソフトウェアを搭載したハードウェアのこと.
注3) Security Information and Event Management の略.サーバやネットワーク機器,セキュリティ関連機器,各種アプリケーションから集められたログ情報に基づいて,異常があった場合に管理者に通知する仕組みのこと.
◆図 -1 一般的なSOCサービスのレベルの高低◆
IDS*2SIEM
DNS FileServerFireWall
*1 Intrusion Prevention System(侵入防止システム)の略.不正なアクセスの兆候を検知し,未然に 攻撃を防ぐシステムのこと.*2 Intrusion Detection System(侵入検知システム)の略.不正なアクセスの兆候を検知し,予め設定 している管理者に対してアラートする機能を持つソフトウェア,またはハードウェアのこと.
IPS*1Sandbox
AD Mail Proxy
出・入り口(侵入時) 内部(侵入後)
特定の攻撃パターンを監視
パターンに依存しない攻撃を検知
様々な情報を収集攻撃の兆候を分析
高い低い SOCサービスレベル
-
PFU Tech. Rev., 28, 1, (06,2017) 43
高度標的型サイバー攻撃検知技術を利用した標的型サイバー攻撃対策への取り組み
5 未知の脅威に挑戦する「高度分析ラボ」5.1 高度分析ラボの概要
高度分析ラボは,セキュリティインシデントへの対応
および分析や,マルウェアの解析およびセキュリティに
関する情報の集約や脅威情報の蓄積,共有,活用による
新たな攻撃手法の発見や分析を行い,分析により得られ
た知見や新たな防御手法を製品やサービスへと展開する
ことを目的とした活動を行っています.
5.2 高度分析ラボのサービスに向けた活動(1) デジタルフォレンジック
一般的にデジタルフォレンジックとは,インシデント
レスポンスや法的紛争および訴訟に際し,電磁的記録の
証拠保全や調査および分析を行うとともに,電磁的記録
の改ざんおよび毀損などについての分析や情報収集等を
行う一連の科学的調査手法および技術を指します.
高度分析ラボでは,セキュリティインシデント発生時
に,端末から採取したハードディスクイメージ,メモリ
イメージ,および周辺のネットワーク機器から入手した
ログなどの情報を用いて,マルウェア感染の有無や感染
経路の調査,感染前後の時系列調査,マルウェアの入手,
マルウェアの実行プロセス調査,過去のネットワーク接
続情報調査,解放済みメモリ領域に存在する情報の調査,
通信の内容や利用者の操作の調査などを実施します.
なお,調査は顧客環境に残存している情報を頼りに行
うため,有用な調査結果が得られるかどうかは残してい
る,あるいは採取している情報の種類や質に大きく依存
します.
セキュリティインシデント対応後は,調査結果を元に
攻撃手法の詳細な分析を行います.
(2) マルウェアの解析
デジタルフォレンジックなどで入手したマルウェアの
解析を行います.
マルウェア解析の手法には,ハッシュ値などのファイ
ルの特徴からマルウェアの身元を割り出す「表層解析」,
入手したマルウェアを実際に動かし挙動を監視すること
で解析を行う「動的解析」,マルウェアのプログラムコー
ドそのものを調査することにより,実装されている機能
や動作条件,挙動などを解析する「静的解析」があり,「表
層解析」,「動的解析」,「静的解析」と進むにつれて難易
度が高くなり,多くの時間がかかります.
これらの解析により得られたマルウェアの情報から,
攻撃者の目的や攻撃による被害などをある程度推測し,
それらを踏まえた適切な対処や対策を講じることができ
ます.
(3) 脅威情報(Cyber Threat Intelligence)の蓄積,
共有,活用
攻撃手法の詳細な分析により攻撃者の真の目的を明ら
かにすることで,今後発生するおそれがある攻撃に対し,
先回りした対策を検討します.
また,インシデント対応時に得たセキュリティ脅威に
関する情報を蓄積,共有,活用することで,類似したイ
ンシデントに対する素早い対応を提供します.
5.3 解析事例(1) デジタルフォレンジックの事例
お客様より「“不審な通信が行われている”と社外の
公的機関より指摘を受けたため,その原因について調
査をお願いしたい」との依頼を受けて,調査を開始しま
した.
まずはネットワーク機器のログから調査を開始し,不
審な通信を行っている端末を特定しました.
該当の端末は監査ポリシーなどの設定が特に施され
ておらず,調査に有効なイベントログなどの情報に乏し
かったため,ネットワーク機器のログ解析により不審な
◆図 -2 サービス提供イメージ◆
お客様 PFU
脅威検知センサー
各拠点
SOC・アラート監視・インシデント分析・問題解決支援
高度分析ラボ ・マルウェア解析・デジタル フォレンジック分析
センサーもサービス提供
標的型サイバー攻撃
攻撃者
C&Cサーバ
監視
通知・対処
対処支援 アナリストによる未知の脅威への対応
24時間365日運用監視
連動
VPN接続
New
オンサイト対処支援
-
44
高度標的型サイバー攻撃検知技術を利用した標的型サイバー攻撃対策への取り組み
PFU Tech. Rev., 28, 1, (06,2017)
通信の発生時刻を割り出し,端末が持つファイルシステ
ムのタイムスタンプ情報と照合することで,通信発生時
刻の少し前に作成されたファイルを抽出しました.それ
ぞれの解析を行った結果,以下の a)から c)の疑わし
いファイルが不審な通信に関わっていることが分かりま
した.
a) Windows として正規のファイルが変名されて
いたもの
b) 名前を偽装したマルウェアのローダー
c) マルウェア本体
これらのファイルの詳細な解析を進めると,以下の①
から③の動作をすることが判明しました.
① Windows サービスに登録された a)が起動
する.
② a)が起動時に b)を読み込み,b)の初期化処
理を呼び出す.
③ b)の初期化処理で c)を実行し,c)が不審な
通信を実施する.
更に解析を行った結果,抽出されたマルウェアは標的
型攻撃に使われる著名なマルウェアの亜種と判明しまし
た.そのため,お客様に対して標的型攻撃による不正な
端末操作が行われた可能性が高いことを報告しました.
本件は外部から指摘されて初めて被害に気づいた事例
で,調査を開始した時点で残された情報も限定的でした.
有事の際にできるだけ多くの有用な情報を得るために,
調査に有効な情報が取れるよう事前に設定を施しておく
ことが重要です.
(2) マルウェア解析の事例
お客様の環境において,PC へのマルウェア(ここで
はマルウェア A とする)の感染が検知されました.
しかし,お客様による周辺機器を含めた調査では,マ
ルウェア A がどのような行動をしたか推測しきれず,
被害規模や被害範囲の特定が困難な状況でした.
幸いマルウェア A の採取はできていたため,お客様
より「マルウェア A には,どのような活動機能が存在
するのかすべて確認してほしい」との依頼を受けて,調
査を開始しました.
マルウェアの解析手法には 5.2 の(2)項に記載の
とおり,動的解析や静的解析といった手法があります.
動的解析はマルウェアを実際に動かしその動きを観察
するという性質上,マルウェアのすべての活動機能を確
認するためには,マルウェアが外部から受け付ける命令
をすべて知っている必要があります.しかし,それを知っ
ているのは攻撃者のみです.
このため,マルウェアに実装されている機能をプログ
ラムコードそのものから調査する静的解析を行うことに
しました.
近年のマルウェアは,解析を困難にするために暗号化
や難読化,コードの隠蔽などの処理を行っており,マル
ウェア A についても同様に暗号化の処理が施されてい
ました.
以下に静的解析の結果判明した,このマルウェアが
ダウンロードされてから悪意あるコードが動き出すまで
の処理を示します.また,図-3に処理の概要を図示します.
① ダウンロードされたマルウェア A が起動する
(これをプロセス 1 とします).マルウェア A は
重要な処理が暗号化されています.
② プロセス 1 が重要な処理の暗号部分を解除して
動くようにしたプロセス 2 を作ります.
③ プロセス 2 が暗号化された状態のマルウェア A
をシステムにインストールします.
④ システムにインストールされたマルウェア A が
起動します(これをプロセス 3 とします).
⑤ プロセス 3 が重要な処理の暗号部分を解除して
動くようにしたプロセス 4 を作ります.
⑥ プロセス4はマルウェアの存在を隠蔽するため,
svchost.exe という Windows システムでよく
使われるプログラムに,システム感染を進める処
理(プロセス 5)を埋め込みます.
⑦ プロセス5はInternet ExplorerやWindows
Explorer を探し,起動している場合にはこれら
のプログラムに処理(プロセス 6)の埋め込みを
行います.
⑧ プロセス 6 は攻撃者の用意したサーバと通信を
行い,キーボードからの入力や SSL/TLS 証明
書などを盗み出します.
本件ではプロセス 1(=プロセス 3),プロセス 2,
プロセス 4,プロセス 5 およびプロセス 6 のコードを
調査する方針を取りました.しかし,プロセス 1 以外
のプログラムはすべてハードディスク上には残留してい
なかったため,プロセス 2,プロセス 4,プロセス 5,
プロセス 6 のコードを復元しつつ静的解析を行いまし
た.その結果,マルウェア A が潜在的に持つ活動機能
のすべてを確認することができました.
図-4に Internet Explorer に埋め込まれたコードを静的解析している様子を示します.この図ではマル
ウェアの通信先を見つけ出して,コメントとして記載し
-
PFU Tech. Rev., 28, 1, (06,2017) 45
高度標的型サイバー攻撃検知技術を利用した標的型サイバー攻撃対策への取り組み
◆図 -3 悪意のあるコードが動き出すまでの処理◆
ハードディスク
①起動
④起動
マルウェアA
メモリ
攻撃者
ダウンロード
マルウェアA
キーボードからの入力やSSL/TLS証明書など
②暗号の解除③インストール
⑤暗号の解除
⑥埋め込み
⑦埋め込み
⑧通信
プロセス3
プロセス1プロセス2
プロセス4
プロセス5
Svchost.exe
Internet ExplorerWindows Explorer
プロセス6
◆図 -4 マルウェアの静的解析例◆
-
46
高度標的型サイバー攻撃検知技術を利用した標的型サイバー攻撃対策への取り組み
PFU Tech. Rev., 28, 1, (06,2017)
ています.
このような解析を経て,お客様にマルウェア A が持
つすべての活動機能の一覧を報告しました.
静的解析は,攻撃者だけが仕様として把握しているマ
ルウェアのすべての活動機能を,プログラムコードを唯
一の手掛かりとして調査するマルウェア解析手法です.
そのため難易度は非常に高くなりますが,高度分析ラ
ボではこのような調査も実施しています.
6 気づかない標的型サイバー攻撃の脅威への啓発活動
標的型サイバー攻撃は攻撃されていることに気が付き
にくい特徴があります.そのため,明るみに出る被害も
限定的で,多くのお客様が対岸の火事と感じ,自分ごと
としての実感をお持ちではない状況です.
そこで PFU では「難しい」イメージを持つ方も多い
セキュリティを「分かりやすく」「正確に伝える」,エヴァ
ンゲリストと呼ばれる専門家が日々啓発活動を実施して
います.
標的型サイバー攻撃との戦いは決して PFU だけで対
応できるわけではなく,お客様と共に対応していく必要
があり,この活動は結果としてお客様の情報資産を守る
ことにつながります.
ここでは,実際のエヴァンゲリストの活動をいくつか
紹介します.
6.1 SecurityDaysFall2016注4)
「標的型サイバー攻撃への全く新しいアプローチ ~見
つからないを見つける“攻撃者行動遷移モデル”とは?
~」と題し,侵入者の最新手口を再現したビデオをご覧
いただいたり,その対策のポイントをお伝えしたりしま
した.
セミナー聴講者からは「感染デモを初めて見たので
驚きでした」,「実際の攻撃のデモムービーをもっと見た
かった」といった感想や,「社内のメンバーにぜひ見せ
たい!ぜひうちに来て講演してもらいたい」とのご要望
を頂くなど,うれしい言葉を多数頂くことができました.
注4) Security Days Fall 2016 企業の情報システム部門の担当者や技術者を対象に,グラン
フロント大阪(2016 年 10 月 3 日),JP タワー(2016 年 10月 6 日,7 日)の 2 会場,3 日間で計 72 セッション,8,500名を超える来場者が集まるセミナーを中心としたイベント.
6.2 第 6回情報セキュリティEXPO【秋】注5)
PFU ブースでは,未知の脅威の検知から分析,対処
支援までをワンストップで提供する「標的型サイバー攻
撃対策支援サービス」や,安心・安全なネットワーク環
境を実現するネットワークセキュリティ製品「iNetSec
シリーズ」などを展示しました.
展示会では,実際の攻撃者の手口をご理解いただ
きやすいハッキングデモ(図-5参照)をご覧いただきました.ミニセミナー形式で,某企業の情報漏えい
事件で実施された「標的型攻撃メール」を再現.合わ
せて,PFU 独自の検知技術「Malicious Intrusion
Process Scan」による標的型攻撃検知デモを実施し,
対策の効果を実感していただきました.
来場者からは「メールの添付ファイルを開くだけでマ
ルウェアに感染するなんて知らなかった」,「あんなメー
ルが送られてきたら誰だって開いちゃうよ」といった,
脅威を実感したコメントも頂戴することができました.
7 むすび社会問題化している「標的型サイバー攻撃」に PFU
は「見つからない,を見つける技術」,「高度な専門技術」
「全国対応のサービス体制」を活かしてお客様の情報資
産を守るために日々活動しています.
攻撃者の手口は日々進化していますが,PFU は今後
もさらなる技術開発やサービス強化により,最後まで戦
い続けていきます.
また,セキュリティの高度なスキルを持った人員の
注5) 第 6 回情報セキュリティ EXPO【秋】 情報セキュリティ対策のあらゆる製品を一堂に集めた専門展.
幕張メッセを会場に 2016 年 10 月 26 日から 28 日の 3 日間開催され,「Japan IT Week 秋」全体としては,全国から約 4万人の来場者が集まる,大規模な展示会イベント.
◆図 -5 ハッキングデモの様子◆
-
PFU Tech. Rev., 28, 1, (06,2017) 47
高度標的型サイバー攻撃検知技術を利用した標的型サイバー攻撃対策への取り組み
不足は IT 業界全体の課題であり,サービス提供と技術
開発の両方を持つ PFU はその問題にもサービスでのノ
ウハウの蓄積と技術開発で解決策を提示し社会全体のセ
キュリティ強化に寄与していきます.
参考文献参1) 「標的型サイバー攻撃対策支援サービス」 サービス紹介ペー
ジ
http://www.pfu.fujitsu.com/inetsec/services/pmss/
参2) 寺田ほか:高度標的型サイバー攻撃検知技術 ~ Malicious Intrusion Process Scan ~,PFU Tech.Rev.,27,1,pp.33-40 (2016)
参3) 経済産業省,独立行政法人 情報処理推進機構:サイバーセキュリティ経営ガイドライン Ver 1.0,
http://www.meti.go.jp/press/2015/12/20151228002/ 20151228002-2.pdf