標的型攻撃メール

cyberattack_005_R

目立つ標的型サイバー攻撃

2015年6月に、標的型メールによるサイバー攻撃で日本年金機構のから大量の年金情報が流出するという事件が起きました。その後、早稲田大学でも同様のサイバー攻撃による被害がありました。これらの攻撃で利用されたのは「Emdivi」と呼ばれるマルウェアのようです。Emdiviは、「リモートアクセス型トロイの木馬(RAT)」に分類されるマルウェアです。7月4日には詳細はまだ不明ですが、日本郵政グループの端末から意図しない通信が確認されたとの発表がありました。このところ公的機関をねらったサイバー攻撃が目立っているように感じます。

ところで、日本年金機構への攻撃のような標的型メールは、スパムメールとは異なり、非常に巧妙で実際の業務用メールと思い込ませてしまいます。内閣サイバーセキュリティセンター(NISC)が行った標的型メール攻撃訓練では 省庁の職員の1割がメールを開いたそうです。日本年金機構でも受信者が騙され、被害が広がったようです。

サイバー攻撃への対策としては、ファイアウォールによるWebやメール以外の通信遮断やメールゲートウェイにおけるウイルス対策、URLフィルタリングによる業務外のWebサイト規制など、どちらかと言えば入口対策に主力が置かれていたようです。しかし、こうした場合、一旦侵入を許してしまうと、被害は拡大していきます。

標的型攻撃で用いられる不正プログラムは、相手に検出されないことを確認したうえで送り込まれているため、なかなかウイルス検出は難しく、もはや侵入を前提とした対策が必要と言われています。

標的型攻撃メール

標的型攻撃は下図に示すようにサーバー攻撃の一種です。

cyberattack_002_R

(シマンテック http://www.symantec.com/ja/jp/theme.jsp?themeid=apt_insight より)

標的型攻撃は重要情報の入手を目的としていますので、長期にわたって周到な準備と段階を踏んで攻撃を継続してきます。ですので単独の愉快犯というより、組織的な犯罪者(プロ)によって行われていると考えられます。特にその標的に特化して継続的に行われる攻撃を「APT攻撃」と呼んでいます。

標的型攻撃には様々な手法があるようですが、一般的にはフィッシングメール(偽装メール)と不正プログラムを組み合わせて行うものが多く標的型攻撃メールと呼んでいます。IPA独立行政法人情報処理推進機構ではこの標的型攻撃メールを「情報窃取を目的として特定の組織に送られるウイルスメール」と定義しています。そしてこのメールには次のような特徴があります。

・ 送信者名として、実在する信頼できそうな組織名や個人名を詐称

・ 受信者の業務に関係の深い話題や、詐称した送信者が扱っていそうな話題

・ ウイルス対策ソフトを使っていてもウイルスが検知されない場合が多い

・ メールが海外のIPアドレスから発信される場合が多い

・ 感染しても、パソコンが重たくなるとか変なメッセージが表示されることは余りない

・ 外部の指令サーバ(C&Cサーバ)と通信

・ 長期間にわたって標的となる組織に送り続けられる(内容は毎回異なる)

(IPA独立行政法人情報処理推進機構「標的型攻撃/新しいタイプの攻撃の実態と対策」より)

標的型攻撃メールは、①事前調査、②初期潜入段階、③攻撃基盤構築段階、④システム調査段階、⑤攻撃最終目的の遂行段階と段階を経て周到に攻撃を仕掛けてきます。

(1)事前準備

攻撃標的の決定、標的とその周辺への偵察による情報入手、初期潜入用不正プログラムやC&Cサーバの準備

(2)初期潜入

標的型メールの送信、受信者による添付不正プログラム実行 、公開サーバへの脆弱性攻撃による侵入

(3)端末制御

感染環境と所属するネットワーク情報の確認、バックドア型不正プログラムによる標的内端末への感染

(4)情報探索

内部活動ツールのダウンロード、ネットワーク内の情報探索

(5)情報集約

重要情報の収集

(6)情報送出

収集した重要情報の外部入手

(トレンドマイクロhttp://www.trendmicro.co.jp/jp/security-intelligence/threat-solution/apt/index.html より)

cyberattack_003_R

(京都電子計算株式会社 http://www.kip.co.jp/product/2015061100017/ より)

サンドボックス

標的型攻撃対策の手法として、「サンドボックス」が注目を集めています。サンドボックスとは、「子供を砂場(サンドボックス)の外で遊ばせない」という言葉が語源のようですが、ファイルを実際に実行したときの振る舞いを監視する隔離された仮想環境を指します。仮想環境として「攻撃されてもよいホスト」を作成し、その中でマルウェアを動作させて、振る舞いをチェックするわけです。実際にマルウェアを動かすので、バイナリ(コンピュータが処理・記憶するために2進化されたファイル)を解析するよりも素早く、安全かどうか判断できることできますが、サンドボックス自体の役割は、あくまでもファイルの活動を監視して報告することであり、解析ではありません。

サンドボックスの例としては、Java仮想マシンがJavaアプレットを動作させる際にサンドボックスに閉じ込めていることが挙げられる。

サンドボックス製品には、仮想環境の動作環境をアプライアンス(情報機器や通信機器、コンピュータ応用製品のうち、特定の機能や用途に特化した専用機器などのことを)として提供するものとオンラインサービスとして提供するものがあります。アプライアンス型の場合、それなりにスペックの高いハードウェアを導入する必要がありますが、オンラインサービス型は比較的スペックが低くてもよいようです。

代表的なサンドボックス製品としては、アプライアンス型ではファイア・アイの「FireEye Web Malware Protection System」「FireEye Email Malware Protection System」、FFRIの「FFR tabaru」、トレンドマイクロの「Deep Discovery Advisor」、マカフィーの「McAfee Advanced Threat Defense」などがあります。オンラインサービスとして提供しているものでは、パロアルトネットワークスの「WildFire」、ウェブセンス・ジャパンの「Websense TRITON ThreatScope」、チェック・ポイントの「Check Point ThreatCloud Emulation Service」、フォーティネットジャパンの統合脅威管理(UTM)製品のファームウェア「FortiOS」の機能としてオンラインサービスを使ったサンドボックスなどがあります。

日本年金機構の事件から考える標的型攻撃への対応

1 LAC株式会社ラック

今回の日本年金機構の事件について、セキュリティ関連の企業は原因や対策等について分析行って公表しています。

LACは「日本年金機構の情報漏えい事件から、我々が得られる教訓」とのタイトルで、事件の発生原因、標的型サイバー攻撃への対処などについて考えを示しています。

〇 事件の発生原因

(1)公共団体は狙われやすいという意識を持たなかった

公共団体は多くの個人情報を持っており、攻撃の対象になりやすいのだが、そのことの認識が職員に不足しているとしています。そして、本件では、百数十通送られた標的型攻撃メールの内、開いたのはわずか数名(多くの職員が攻撃を見抜いた)だったにもかかわらず、問題は回避した職員がそのことを誰にも告げなかったことに事件が大きくなった要因の一つがあるとして、攻撃を認知した場合にしかるべき部門と共有する仕組み必要であるとしています。

(2)実際の運用と、システムの実装がマッチしていない

基幹系システムと情報系システムが分離されていたにもかかわらず、使いにくさのために基幹系の情報を記憶媒体を通して情報系システムサーバに複製して業務を行っていたことが情報漏えいの根本的な問題となったとしています。その上で、そうした使いにくさをシステムの改善でなく運用の工夫(記憶媒体で複製)で解決せざるを得なかったように、実際の業務を把握せずにシステムを設計したことがリスクを増大させたとしています。

(3)ウイルス対策と標的型攻撃の対策の違いは理解されていない

ウイルス型と標的型ではその対処の仕方が違うとして下の表を示して、標的型の場合、感染や不正通信が見つかったら外部通信を遮断してウイルスを閉じ込めることやウイルスの動きを見つけ出して不正動作のコンピュータを全て発見することなどを提起しています。

〇 標的型サイバー攻撃に対してとるべき行動

実際の運用のシステムと実装との不整合、つまり、情報を守るために切り離されたネットワークの遣いにくさが、セキュリティの弱さを逆に招いてしまい事件を引き起こしたわけで、そうしたシステムを改善することはもちろんですが、社員、企業という組織が取るべき行動についても下記のことを提起しています。

(1)社員や職員の意識改革と教育

(2)事件・事故前提の組織体制構築

(3)事故対応チームの組織化

(4)セキュリティ監視と不正通信の洗い出し

(5)事件発生を見越した演習

cyberattack_001_R

(LAC「日本年金機構の情報漏えい事件から、われわれ羽得られる教訓」2015年6月9日より)

2 トレンドマイクロ社

トレンドマイクロは「日本年金機構の情報漏えい事例から、我々が学ぶべきこと」と題して、標的型サイバー攻撃に対する対策を考える上でのポイントを4つ示しています。

① 防げない標的型メール、侵入を前提とした対策が必要

標的型メールに添付されているファイル、あるいはリンクからダウンロードされるファイルが行う通信や挙動をシミュレーションすることで不正なメールであることを検知できる対策及び、侵入の発生を前提に、出口と内部での多層防御が重要としています。

② 「気付けない攻撃」発覚のきっかけは外部からの指摘、通信の監視が有用

侵入した標的型サイバー攻撃に早い段階で気づき、迅速な対処につなげるために、侵入した遠隔操作ツールの存在を可視化することや、ゲートウェイもしくは内部のルータのポイントでネットワーク内から外への通信とネットワーク内部での通信の双方を監視することなど、「内部対策」標的型サイバー攻撃においては重要としています。

③ 「業務の都合」が被害につながる、事前の準備がリスクを低減

実際の業務遂行上の都合とセキュリティポリシーの乖離から、ポリシーが守られず形骸化してしまうことはどの組織においても起こりがちだとして、業務の実態を把握し、運用可能なポリシーと継続的な監査体制を構築することや、インシデント発生時の対応を文書化するなどして徹底させることが必要としています。

④ 最終的な被害は個人情報、企業規模や業種を問わず広がる標的型サイバー攻撃手法

企業の規模や業種に関わらず狙われ、標的となった場合の損害は大きく、事業継続にも大きな影響を与えるとして、自社のシステム内には重要な情報がないため標的型サイバー攻撃の標的にはならないと言った考えを戒めています。そして、標的型サイバー攻撃の脅威は、既にすべての組織にとって他人事ではなく、事業継続性を維持する上での最重要対策事項となっているしています。

(トレンドマイクロ セキュリティブログ http://blog.trendmicro.co.jp/archives/11682 より)

3 IPA独立行政法人情報処理推進機構

今回の事件とは関係がありませんが、少々古いIPA独立行政法人情報処理推進機構の資料では、標的型攻撃メールの見分け方について次のように示しています。

〇 標的型攻撃メールの見分け方

  • 普段メールをやりとりしていない人から、添付ファイル付きのメールが届いた
  • そのメールを何故自分に送ってきたのか心当たりがない
  • ファイル拡張子が exe のような実行形式(圧縮ファイルの場合は、その中身)
  • ファイル名が文字化けしている

〇標的型攻撃メールが届いた場合の対応

・電話番号案内(104)やウェブから、メール送信者の連絡先を調べ、そのメールを送ったか直接確認する。

・メール送信者がなりすましと判明した場合、組織内の情報システム部門などセキュリティ対策部門に報告し、指示を仰ぐ。

・組織内のセキュリティ対策部門は、当該メールにウイルス感染の仕掛けがあるか調べるとともに、同様の攻撃メールが他の人に届いていないか調査し、注意喚起する。

cyberattack_004_R

(IPA独立行政法人情報処理推進機構「標的型攻撃/新しいタイプの攻撃の実態と対策」より)

 

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です