標的型サイバー攻撃をダミーネットワークに誘い込む

情報を盗み取ろうと、特定の企業や組織をターゲットとして執拗にサイバー攻撃を仕掛ける標的型攻撃。あるいはデータを暗号化し、身代金を要求するランサムウェア。日本はもちろん、世界中の企業や組織が狙われています。標的型攻撃やランサムウェアからデータを守り、企業や組織の運営を維持するには、どうすればいいのでしょうか。
【Fujitsu Insight 2017「セキュリティ」講演レポート】

セミナーでは、国立研究開発法人情報通信研究機構の井上大介氏と、富士通の武仲正彦による講演を行いました。

サイバー攻撃者を誘い込み、その挙動をあぶり出す模擬空間

データが集まらないから、標的側攻撃の対策は難しい

国立研究開発法人情報通信研究機構
サイバーセキュリティ研究室 室長
井上 大介 氏

ここ数年、マルウェアの大感染、企業や政府、官公庁などを狙った標的型攻撃などが発生しています。2016年の1年間の統計を見ると、IoTデバイスに対する攻撃が60%以上で、Windows PCに対しては5%以下です。攻撃のメインターゲットはWebカメラやブロードバンドルーターなどのIoTデバイスに移ってきているのです。

従来のバラマキ型攻撃は、世界中のPCに無差別に感染させようとするものでした。そのため、国立研究開発法人情報通信研究機構(NICT)では、世界中を飛び交う攻撃を広域且つリアルタイムに分析し、今この瞬間にインターネット上で生じていることを把握しようとする、言わば「パッシブ(受動的)」な研究をしてきました。

リアルタイムに世界中の攻撃を観測するインシデント分析センターNICTER

NICTER リアルタイム観測レポート「NICTERWEB 2.0」

ところが標的型攻撃の情報は、このパッシブな研究手法では集まりません。標的型攻撃は、特定の企業や組織を狙う攻撃のため、従来の大規模攻撃用の観測網にかかりません。また攻撃者はやるべきことを終えると、痕跡を消去してから立ち去ることもあり、記録が残りにくく、残された情報には機密情報が含まれるため、企業や組織から提供できないことが殆どです。

標的型攻撃に使われるマルウェアを解析しても、分かるのは侵入時の感染方法のみ。マルウェアを感染させてバックドアを仕掛けた後、攻撃者は遠隔操作で手動の攻撃を仕掛けます。侵入後に何をしているかは、攻撃者に実際に攻撃させてみないと分からないのです。

ダミーのネットワークを構築し、攻撃者を誘い込む

そこで攻撃者を引き込み、攻撃を観測できる仕組みが必要と考え、NICTはサイバー攻撃誘引基盤STARDUSTの研究を始めました。

STARDUSTは、標的型攻撃などの攻撃者を誘い込む模擬的なネットワーク空間です。まず企業や組織が使う実際のネットワークの裏側に、実ネットワークを模擬した並行ネットワークを自動生成します。並行ネットワークの中には、数十台から数百台のWindows PCやファイルサーバ、DNSサーバーなどを含む、実ネットワークと同じIPアドレスが振られたネットワークが構築できます。

攻撃者がメール添付型のマルウェアを企業や組織に送りつけてきたら、実ネットワーク内のワームホールを通して並行ネットワークに攻撃者を招き入れます。ここには、ビジネス文書などダミーのファイルやユーザー環境も用意してあるので、攻撃者は実ネットワークに侵入できたと思い込み活動を開始します。このように、攻撃者を誘い込み、それと悟られずに挙動を観測するというアクティブな研究を可能にするのがSTARDUSTです。

間違いだった3つの通説をSTARDUSTが解明

STARDUSTによって分かったことが3つあります。よく標的型攻撃は通説として、「国家が関与した非常に高度な攻撃である」と言われていました。ところが実際の攻撃者の挙動を見ると、決まったコマンドを順番に沿って実行していくだけというものが多く、攻撃を実際に行っているのは、9時5時で働くアルバイトである可能性もあります。

また「攻撃者は侵入が検知されないように、不用意なネットワークスキャンなどはしない」とも言われていました。事前に企業や組織のネットワークを把握した状態で侵入するので、スキャンをする必要はないと考えられていたからです。ところが全くそういうことはなく、実際には侵入してから内部調査のためにネットワークスキャンをしていました。つまり、スキャンが実行されているかどうかを調査するだけでも簡単に標的型攻撃を見つけられます。

さらに攻撃者は、「潜入先の職員の挙動を理解して慎重に行動するので、異常検知ができない」と言われていた点も誤解でした。攻撃者は侵入すると、実行アプリケーションの一覧を参照したり、Windowsの共有情報を表示するコマンドを実行したりします。通常の事務職員は出社していきなり実行アプリケーションの一覧を参照したりはしませんので、プロセスを監視するだけでも攻撃を簡単に発見できます。

実際攻撃者によるリアルなデータを研究することによって、より現実的・実践的な標的型攻撃の対策が実現できるのではないかということが分かってきました。

STARDUSTは着想から実現までの5年以上を要した中長期的な研究開発でした。私たちが今考えているのは、セキュリティ自給率の向上です。STARDUSTでも利用している富士通の高速フォレンジック技術のように、国内にも優れた技術があります。そのような技術をNICTの提供する環境で実践的に評価していただき、国産セキュリティを育て、世界中に展開していくのが、私たちの大きなミッションだと考えています。

リアルタイムに攻撃のコマンドを分析できる唯一のツール

膨大なパケットから攻撃用コマンドを割り出す

株式会社富士通研究所
セキュリティ研究所
所長 武仲 正彦

標的型攻撃のようなサイバー攻撃を完全に防御することは容易ではなく、企業や組織は内部に侵入されることを想定して対策を考えなくてはいけません。ではサイバー攻撃を受けた場合、どうすればいいのでしょうか。まずは「侵入されたらどうなるか」を知る必要があります。

井上氏の話にあったように、標的型攻撃に使われるマルウェアを入手したとしても、解析は簡単ではありません。マルウェアは、実環境ではなく実験室であると認識した場合は発症しませんし、外部の攻撃サーバーと接続して指令を受けなければ攻撃もしてくれません。実際に攻撃させてみなければそもそも観測することができません。

そこでSTARDUSTを活用し、標的型攻撃の攻撃者を招き入れ、実際に攻撃をしてもらいます。そして、その中でマルウェアの動きなどをリアルタイムに分析しようという取り組みに、富士通の高速フォレンジック技術が使われています。高速フォレンジック技術は、通信パケットからWindows PCを遠隔操作するコマンドをリアルタイムに観測できる、現在唯一の技術と自負しています。

通常、攻撃者は感染させたPCに遠隔操作コマンドで指令を送ります。感染したPCが指令を受け取ると、今度は感染を拡大すべく次のターゲットにパケットを送り始めます。ところがそのパケットを記録して保存しようとすると、相当なデータ量になります。規模にもよりますが、1日2TBずつ貯まるとして、200日も取っておくと大変です。さらにデータ量が膨大になれば、なかなか解析もできません。

侵入後のマルウェアが使用するWindows SMB通信はアプリケーション層のプロトコルであるため、とても複雑です。どのコマンドが使われたのかを知るには複数のパケットの情報を統合する必要があります。パケットを見ればツールなどなくてもコマンドが分かるのではないかと思われるかもしれませんが、実は難しいのです。

危険度や影響範囲、攻撃の全体像も把握可能

富士通には、流れているパケットからリアルタイムで遠隔操作コマンドを再構成するコマンドレベルフォレンジックという技術があり、これがSTARDUSTで使われています。これは高速フォレンジック技術の一部の機能に過ぎません。このコマンドを再構成したものを自動分析して観測できるようにしているのが富士通の高速フォレンジック技術のフルバージョンです。

パケットをコマンドレベルに抽象化するので、データ量は1000分の1か1万分の1に圧縮できます。ログを1年間や2年間蓄積しても耐えられます。

攻撃の調査においては、コマンドを実行したユーザーを見つけることも重要です。バラバラのパケットからそのユーザーを発見するのはとても大変なことなのですが、高速フォレンジック技術では、端末操作と操作ユーザーを自動で効率よく紐付ける技術が使われているため、数秒で見つけることができます。

また、一般ユーザーがめったに使わないであろうコマンドも分かっており、端末操作とユーザーの関係から危険度をランキングできます。これを元に、危険度の高い操作や挙動の前後関係を分析して、影響範囲、攻撃の全体を俯瞰することができます。

実際の環境でも高速フォレンジック技術が、すでに役立っています。ランサムウェアのWannaCryも高速フォレンジック技術で検知分析可能です。ある企業でもWannaCryの亜種を検知し、その感染拡大を捉えることに成功しました。

富士通では、高速フォレンジック技術を活用し、標的型攻撃の内部調査サービスを提供しています。調査結果を活用することで迅速な被害範囲の特定が可能になり、感染が疑われる端末のみをネットワークから切り離すなどの対応をとることで感染拡大を防止することが可能になります。

登壇者
  • 国立研究開発法人情報通信研究機構
    サイバーセキュリティ研究室 室長
    井上 大介 氏
  • 株式会社富士通研究所
    セキュリティ研究所
    所長
    武仲 正彦