2014.2 Vol.02 11 のルールで APT 攻 撃 を 防 止 せよ
APT 攻 撃 の 現 状 と 対 策 11 のルールで APT 攻 撃 を 防 止 せよ インターネットで 繋 がる 世 界 は 網 の 目 のように 絡 み 合 いながら 益 々 複 雑 になっている このような 環 境 はマルウェアが 生 息 増 殖 するに 最 適 な 条 件 でもある 新 年 のご 挨 拶 や 結 婚 式 の 招 待 状 履 歴 書 さえも 電 子 メールやSNSを 使 って 送 付 することが 日 常 となって いる 今 日 思 わず 開 いたメールや 常 に 使 用 していたSNSにマルウェアが 潜 んでいるとしたら インターネット 環 境 が 発 達 しユーザーが 増 えるほど 脆 弱 性 の 隙 を 狙 うマルウェアもより 巧 妙 になっていく さらに 不 特 定 多 数 では なく 特 定 の 企 業 や 組 織 インフラ 施 設 等 が 標 的 となり ポイントアタックによる 破 壊 力 も 想 像 を 超 える 今 やセキュリティを 知 る 人 ならばしばしば 目 にする 単 語 APT 2014 年 進 化 したAPTによる 対 策 の 変 化 について 確 認 する 必 要 があるだろう APT の 定 義 2004 年 6 月 韓 国 政 府 や 企 業 の 一 線 でPeepViewerというトロイの 木 馬 に 感 染 するケースがあった 韓 国 の 情 報 筋 によると6つの 公 共 機 関 でPC64 台 と 民 間 企 業 のPC52 台 が 感 染 されたという 手 口 としては 電 子 メールで ワークショップの 概 要 とスケジュール MDB という 添 付 ファイルを 送 信 しマルウェア 感 染 を 試 みたという これは 機 密 情 報 を 奪 取 するために 政 府 と 民 間 企 業 を 攻 撃 した 韓 国 初 のAPT 攻 撃 事 例 として 挙 げられている 以 来 再 び 大 規 模 なAPT 攻 撃 が 発 生 したのは2011 年 からだった 代 表 的 なインシデントには 同 年 4 月 に 発 生 した 農 協 のネットワークダウンがある 外 部 からの 攻 撃 によって 農 協 のネットワークシステムがダメージを 被 り すべての 業 務 がストップしてしまった 本 件 はアウトソーシングスタッフの ノートパソコンがまずマルウェアに 感 染 し 感 染 PCを 介 して 内 部 システムに 侵 入 する 手 法 を 使 用 した 攻 撃 者 はP2Pプログラムにマルウェアを 配 布 し 7ヶ 月 に 渡 ってモニタリングを 続 けながら 攻 撃 のタイミングを 図 っていたことが 分 かった 図 1 スタックスネット 感 染 と 動 作 メカニズム 2
続 いてわずか3ヶ 月 後 7 月 には 韓 国 の 大 手 IT 企 業 SKコミュニケーションズで3500 万 人 ものユーザー 情 報 が 流 出 された 事 件 が 起 こった この 時 は 無 料 のソフトウェアアップデートサーバをハッキングして 通 常 ファイルをマルウェアで 改 ざんした 後 に 拡 散 させる 方 法 を 用 いた 攻 撃 者 はたった8 日 でDBの 管 理 者 権 限 を 取 得 し データを 分 割 圧 縮 して 外 部 に 流 出 している その 他 代 表 的 なインシデントとしては 2010 年 に 発 生 したイラン 原 子 力 発 電 所 のシステム 破 壊 を 目 的 としたスタックスネット(Stuxnet)がある 攻 撃 者 はWindows OSに 存 在 する 既 知 の 脆 弱 性 とゼロデイ 脆 弱 性 を 悪 用 してマルウェアを 配 布 した 2011 年 に 報 告 されたDuquと2012 年 に 発 見 さ れたFlameも すべてイランの 原 子 力 発 電 所 の 情 報 収 集 を 目 的 にして 起 こった 標 的 型 攻 撃 だった 2010 年 1 月 にはGoogleの 機 密 データを 奪 取 するためのオペレーションAuroraが 発 生 し Googleのほか 最 先 端 のIT 企 業 34 社 も 攻 撃 を 受 けている こ こでもMicrosoft IEのゼロデイ 脆 弱 性 が 悪 用 され メールやメッセンジャーで 悪 意 あるWebサイトに 接 続 するリンクが 配 布 された 図 2 IT 企 業 を 攻 撃 したオペレーションオーロラ 2011 年 3 月 にはEMC/RSAのOTP(One Time Password) 製 品 の 機 密 情 報 を 奪 取 しようとする 試 みがあった 標 的 を 選 定 するため ソーシャルネッ トワークを 使 って 従 業 員 の 個 人 情 報 を 確 保 した 点 から 本 格 的 なAPTとして 知 られている Adobe Flash Playerのゼロデイ 脆 弱 性 を 悪 用 した 添 付 ファ イルをメールで 送 信 し 社 会 工 学 的 手 法 で 従 業 員 のマルウェア 感 染 を 誘 導 した 図 3 EMC/ RSAで 発 生 したインシデント 過 程 3
2012 年 2 月 CNNは シリア 政 府 が 反 政 府 人 物 を 監 視 する 目 的 でマルウェアを 配 布 したと 暴 露 した アンダーグラウンドに 公 開 されたDarkComet RA Tでマルウェアを 作 成 し メールの 添 付 ファイル 偽 のYoutube skypeからマルウェアを 配 布 したことが 分 かった このマルウェアには 主 にシリア イスラエル サウジアラビア レバノンなどのPCが 感 染 した 2013 年 はAPT 攻 撃 がさらに 猛 威 をふるい 1 月 オペレーション Red October が 東 ヨーロッパと 中 央 アジアの 国 家 機 関 をハッキングする 事 件 が 発 生 した このマルウェアは 政 府 や 研 究 機 関 などを 標 的 に 高 度 な 攻 撃 を 仕 掛 けたという さらに2 月 にはニューヨーク タイムズ ウォール ストリ ート ジャーナルなど 米 国 の 主 要 メディアが 以 前 ハッキングの 試 みがあったと 発 表 し その 黒 幕 を 中 国 の APT1 と 報 道 して 話 題 になった 3 月 に はインドのハッカー 集 団 オペレーションhangoverが 近 隣 諸 国 の 政 府 機 関 をハッキングする 事 件 が 発 生 したり 韓 国 では 放 送 局 や 金 融 機 関 など6 社 の ネットワークがダウンするサイバーテロが 発 生 していた 4 月 国 際 ハッカー 集 団 Winnti が 韓 国 を 始 めとするアメリカ 日 本 など30カ 国 以 上 のオンラインゲーム 会 社 を 攻 撃 し 6 月 にはNetTravelerが 世 界 40カ 国 350の 機 関 を 攻 撃 したことが 分 かった 続 いて9 月 には 小 規 模 なサイバー 傭 兵 隊 Icefog と 中 国 に 拠 点 を 置 くハッカー 集 団 Hidden Ly nx が 韓 国 と 日 本 の 政 府 機 関 や 企 業 を 対 象 に 攻 撃 を 仕 掛 け その 実 体 が 明 るみに 出 た 12 月 にはG20 首 脳 会 談 の 直 前 中 国 のハッカー 集 団 Ke3ch ang が 欧 州 5カ 国 の 外 交 部 長 官 のコンピュータをハッキングした 事 件 が 報 道 されたこともあった 図 4 2013 年 の 主 なAPT 攻 撃 ケース APT 攻 撃 の 様 相 攻 撃 対 象 の 拡 大 コンピュータの 使 用 環 境 が 発 達 することにより 政 府 機 関 や 各 企 業 では 業 務 の 自 動 化 システムを 導 入 している ほとんどの 業 務 はもちろんのこと 機 密 書 類 でさえも 電 子 文 書 などのデータ 形 式 でファイルサーバに 保 存 することが 一 般 的 である これは 標 的 型 攻 撃 が 増 加 しやすい 環 境 なのだ かつては 主 に 政 府 や 軍 事 機 関 のみ 攻 撃 対 象 と 見 なされていたが 今 は 経 済 的 に 付 加 価 値 の 高 いデータを 保 有 しているハイテク 企 業 を 含 む 民 間 企 業 にま で 攻 撃 対 象 が 拡 大 した 特 に 韓 国 と 日 本 は 金 融 放 送 オンラインゲーム 会 社 なども 攻 撃 の 対 象 となっている 4
図 5 標 的 型 攻 撃 の 増 加 傾 向 ( 参 考 資 料 :シマンテック) 対 象 目 的 政 府 機 関 - 政 府 機 関 の 機 密 文 書 を 奪 取 - 軍 事 機 密 文 書 を 奪 取 インフラ 産 業 施 設 - サイバーテロ 活 動 - 産 業 インフラ 動 作 不 能 情 報 通 信 業 者 - 最 先 端 の 技 術 資 産 を 奪 取 - オリジナル 技 術 の 機 密 情 報 を 奪 取 メーカー - 企 業 の 知 的 資 産 を 奪 取 - 企 業 の 営 業 秘 密 を 奪 取 金 融 業 者 - 社 会 金 融 システムの 動 作 不 能 - 企 業 の 金 融 資 産 情 報 を 奪 取 高 度 化 された 攻 撃 手 法 Webやソーシャルネットワークの 発 達 は 標 的 の 個 人 情 報 を 容 易 に 収 集 できるようにした 収 集 された 個 人 情 報 をベースに 標 的 にカスタマイズさ れた 社 会 工 学 的 手 法 を 開 発 し 攻 略 の 成 功 率 を 高 めているのである EMC/RSAインシデントも 内 部 の 従 業 員 に 採 用 情 報 の 関 連 メールを 装 って 送 信 したことから 起 こった 5
さらにマルウェアの 作 成 と 脆 弱 性 開 発 技 術 の 発 展 は セキュリティ 製 品 の 検 知 バイパスとAPT 攻 撃 の 成 功 率 を 高 めることに 貢 献 した マルウェアはセルフアップデートやセキュリティ 製 品 の 無 力 化 など 多 数 の 機 能 を 持 つファイルを 組 み 合 わせることもある 脆 弱 性 に 関 しては 一 般 的 なソフトウェアの 様 々な 脆 弱 性 やゼロデイ 脆 弱 性 を 悪 用 している これまでAPT 攻 撃 の 主 な 手 法 は 電 子 メールの 添 付 ファイルを 利 用 していた 以 前 は 添 付 ファイルが 実 行 可 能 ファイル 形 式 であったが 最 近 は 電 子 文 書 の 形 式 に 変 化 しつつある 韓 国 の 場 合 は 無 料 ソフトウェアの 自 動 更 新 機 能 とファイル 共 有 プログラムを 悪 用 するケースが 増 加 している APT 攻 撃 対 応 策 攻 撃 手 法 APT 攻 撃 はまず 標 的 を 定 義 することから 始 まる 標 的 が 決 まると 対 象 に 合 わせてマルウェアを 作 成 及 び 購 入 する 以 降 は 標 的 について 研 究 しながら 内 部 からの 感 染 を 試 みると 同 時 に 社 会 工 学 的 手 法 を 駆 使 した 標 的 型 攻 撃 が 実 行 される 一 旦 内 部 感 染 に 成 功 すると 拠 点 を 確 保 したも 同 然 で 攻 撃 者 は 感 染 対 象 を 踏 み 台 してC&Cサーバーと 接 続 する 接 続 後 はC&Cサーバーを 介 してリモートコントロールや 攻 撃 命 令 を 指 示 することができる これ により 内 部 データを 奪 取 し 潜 入 の 痕 跡 を 消 してから 密 かに 標 的 から 離 脱 するのである 図 6 APT 攻 撃 のライフサイクル 6
図 7 APT 攻 撃 のタイムライン APTの 総 合 的 な 対 応 策 セキュリティ 上 の 脅 威 に 対 応 するためには 危 機 管 理 ベースのセキュリティポリシーを 策 定 することが 必 要 だ またセキュリティホールを 可 能 な 限 り 縮 小 し 攻 撃 を 効 率 的 に 検 知 するために 深 層 対 応 (Defense in Depth) 戦 略 を 打 ち 立 て 新 たな 脅 威 が 出 現 した 際 迅 速 に 対 応 するためセキュリティ インテリジェンス(Security Intelligence)を 確 保 すべきだ 脅 威 の 発 信 ポイントは 内 部 の 従 業 員 である 場 合 が 多 いので 定 期 的 なセキュリティ 教 育 も 非 常 に 重 要 といえる 図 8 APT 攻 撃 に 対 応 するためのセキュリティ 戦 略 7
APT 攻 撃 を 事 前 に 予 防 するためには 以 下 の 事 項 を 遵 守 しなければならない <APT 攻 撃 を 予 防 するためのシステム 強 化 > 1. すべてのOSとWebアプリケーション 及 び 関 連 サーバーは 最 新 バージョンを 維 持 し セキュリティパッチを 適 用 する 2. WSUS(Windows Server Update Services)で 最 新 セキュリティパッチをインストールする 3. すべてのシステムはアンチウイルスソフトウェアをインストールし ウイルス 対 策 管 理 サーバーでモニタリングする 4. すべてのOSから 使 用 しないユーザーアカウントを 無 効 にするか 削 除 する 5. HSM(Host Security Monitoring) 適 用 後 モニタリングすると 共 に 定 期 的 に 分 析 する 6. ターミナルサーバーでは 共 用 アカウントを 削 除 し 保 存 されたアカウント 情 報 とパスワードをすべて 削 除 する 7. ターミナルサーバーでは 業 務 目 的 別 にアカウントを 作 成 し ログイン 記 録 を 作 成 管 理 する 8. データベースのxp_cmdshell Procedureを 削 除 し 関 連 ファイルxplog70.dllを 削 除 する 9. データベース 情 報 は 暗 号 化 して 管 理 し Webサーバーで 暗 号 化 してデータベースに 送 信 する 10. WebサーバーはSSL(Secure Socket Layer)をアクティブにする 11. WindowsのイベントログおよびIISのWebログは 統 合 し ログ 管 理 サーバーで 管 理 する <APT 攻 撃 検 知 のためのネットワーク 制 御 > 1. バックボーンスイッチでは ホワイトリストとブラックリストを 二 重 ポリシーに 設 定 管 理 する 2. 企 業 の 外 部 ネットワークから 内 部 にアクセスする 際 IPSec VPNまたはSSL VPNを 使 用 する 3. IPSec VPN またはSSL VPNに 接 続 するたびに 発 生 するすべてのVPNログを 別 途 管 理 する 4. VPNアカウントは 業 務 目 的 別 に 作 成 し 権 限 も 区 分 して 適 用 する 5. 企 業 内 部 のアウトバウンドパケットに 対 するフィルタを 適 用 する 6. 企 業 内 部 のHTTP 通 信 は すべてWebプロキシを 通 過 するように 運 営 管 理 する 7. 企 業 内 ではファイル 共 有 サービスではなく SFTPまたはSCP(Secure Copy)のみ 使 用 する 8. NIDS 同 様 のNSM(Network Security Monitoring)をフルタイムで 運 営 管 理 する 9. NIDSイベントおよびセッション 全 体 のデータとパケット 全 体 を 保 存 分 析 する 10. 業 務 領 域 別 にネットワークを 分 離 し それぞれの 業 務 領 域 ごとにファイアウォールをインストールして 管 理 する 11. システム ネットワーク 及 びデータベースなどのIT 管 理 部 門 は 一 般 的 な 業 務 領 域 と 別 途 区 分 する 8
http://www.ahnlab.co.jp http://global.ahnlab.com http://www.ahnlab.com アンラボとは 株 式 会 社 アンラボは 業 界 をリードする 情 報 セキュリティソリューションの 開 発 会 社 です 1995 年 から 弊 社 では 情 報 セキュリティ 分 野 におけるイノベーターとして 最 先 端 技 術 と 高 品 質 のサービスをご 提 供 できるように 努 力 を 傾 けてま いりました 今 後 もお 客 様 のビジネス 継 続 性 をお 守 りし 安 心 できるIT 環 境 づくりに 貢 献 しながらセキュリティ 業 界 の 先 駆 者 になれるよう 邁 進 してまいります アンラボはデスクトップおよびサーバー 携 帯 電 話 オンライントランザクション ネットワークアプライアンスなど 多 岐 にわたる 総 合 セキ ュリティ 製 品 のラインナップを 揃 えております どの 製 品 も 世 界 トップクラスのセキュリティレベルを 誇 り グローバル 向 けコンサルタント サービスを 含 む 包 括 的 なセキュリティサービスをお 届 け 致 します 101-002 東 京 都 千 代 田 区 外 神 田 4-14-1 秋 葉 原 UDX 8 階 北 Tel : 03-5209-8610 ( 代 ) 2014 AhnLab, Inc. All rights reserved.