- 2017/12/25
- セキュリティ
アンチウイルスソフトウェアが効果の高いルートキットして機能する理由
Post by : ROSS RUSTICI
これまで何度となく証明されてきたように、サイバーセキュリティ製品は、ネットワークにサイバー攻撃を仕掛ける手段として絶大な効果を発揮します。製品の性質そのものが、このソリューションを高機能のRATs(Rough Auditing Tool for Security、静的コード解析セキュリティツール)にしています。しかも、最高のアクセス権限をもつRATsとなることが珍しくありません。したがって、アンチウイルスソフトウェアは二重スパイの役割を演じさせられることがあります。その理由は、次のようなアンチウイルスソフトウェアの特徴にあります。
–環境内のあらゆるマシン上で動作する
–通常、ルートレベルのアクセス権限を持たせる
–日々、あるいは少なくとも周期的にアップデートされる
–ユーザーに知られず、情報のスキャンや検索を実行できる
–ほとんどのケースにおいて、事後の検査、分析用にファイルを抽出できる
アンチウイルスソフトウェアでは、これらが、製品の機能として提供されているのです。すべてが想定でどおりに機能すれば、アンチウイルスプログラムは強固な防御能力を発揮し、しかもタイムリーに動作します。ただし、ここ最近急激に増加している侵害行為から明らかなように、この機能はホストに侵入し、情報を盗み出す上で理想的な手段で、特に国家レベルの攻撃グループはこれらを悪用することを考え始めています。
2017年 9月には、「Ccleaner」というツールが中国系の APT 攻撃グループに悪用された事件がメディアを賑わせました。この攻撃グループはセキュリティツールをマルウェア配布の手段として悪用し、きわめて特殊なネットワークに的を絞ってその探索を行い、攻撃の第二段階では、見つけたネットワークに仕掛けを埋め込み、それを使ってやり取りをしていました。
さらに 2017年10月の同じ週には、別のセキュリティ侵害のニュースが報じられました。 アンチウイルスベンダー2社のアンチウイルスソフトウェアが国家レベルの攻撃者に悪用されたといいます。2017年10月10日付けのニューヨーク・タイムズ紙は、米国の機密プログラムに関する情報を見つけ出そうと活動しているロシアの諜報機関から「Kaspersky社」がハッキングを受けたと報じています。イスラエルの情報部員がKaspersky社のネットワークにハッキングを行った際に、この侵害に気付いたとされます。これが事実なら、公になっているだけで3度、Kaspersky社は国家レベルの攻撃者からハッキングを受けたことになります。別の1件は、Kaspersky社自身が 2015年6月に明らかにしたもので、同社によれば、ネットワーク内にイクエーション・グループ(ハッカー集団)による攻撃の存在を認め、接続先は米国(関連記事)になっていたとされています。
さらに、10月11日付けのウォール・ストリート・ジャーナルの記事によれば、北朝鮮が韓国のソフトウェア企業Hauri社にサイバー攻撃を仕掛け、同社のディストリビューションを悪用して韓国軍の機密ネットワークにアクセスしたといいます。国家レベルで大がかりなサイバー攻撃に従事している国の中で唯一この手の攻撃活動を行っていないのはイランであると思われます。ただそれも、これまでは単にそういう試みがなされなかっただけなのかもしれません。
このような侵害の影響を受け、サイバーセキュリティ業界の分裂を引き起こす新たな要求が生じています。米国全土におけるKaspersky製品の排除と入れ替えの動きは、政治が市場を歪曲しているまさに最新の例といえるでしょう。このように地域ごとに製品の分布が分かれると、セキュリティ企業を狙った攻撃に攻撃者を駆り立てることになります。また、米国の例にみられるような、セキュリティに対する国の要請に市場が屈することが多くなればなるほど、あらゆる環境が脆弱なまま放置される結果を招きます。
現在は、それぞれの国、地域ごとに、アンチウイルスソフトウェアのトップシェア企業が異なります。ロシアでのトップシェア企業はKaspersky社です。米国では、2 位のMcAfee社が僅差でSymantec社を追っています。一方、東欧ではESET社のユーザーが大多数を占めます。さらに、中国の場合はQihoo360 社が、そして、日本の場合はTrend Micro社がトップの座にあります。どの国や地域でも、そこでトップシェアにあるベンダーの製品を支持します。
ほかの製品には不安を感じるためです。このような状況では、コンプライアンスの順守において企業に負担を強いる攻撃者の攻撃能力に制限がかかる可能性がある一方で、攻撃者にとっては、優先して攻撃すべき標的が 1 つに絞られることになります。中国でできるだけ多くのコンピュータに侵入しようとするのであれば、まずは、Qihoo360社にサイバー攻撃を仕掛けることになります。一方、米国で民間部門に攻撃を仕掛けるならば、はじめに、Symantec社を狙うことになるでしょう。
政府関係機関のコンピュータが攻撃対象であれば、最初の標的はMcAfee社です。このように、ある地域で利用されるセキュリティソリューションが特定の企業の製品に限られてしまうと、攻撃者の興味をそそる標的を作り出してしまうばかりでなく、製品の信頼性と機能性が確実に低下します。
ソフトウェアは意図する機能に関係なく、それが普及し、さまざまな状況で使用されるようになるほど、機能が強化され、信頼性が高まるのが一般的です。しかし、コードや機能を利用し、それらに目を向ける人の数が増えればそれだけ、欠陥の発見とその修復が実現する可能性が高まります。各国政府は政治的な判断で市場シェアに制限をかけることで、そうしない場合と比べ、頼りにしているセキュリティ製品のセキュリティ能力を実は弱めているのです。
それでは、企業や一般のユーザーは、このリスクをどうやって軽減すればよいのでしょうか。攻撃者がその能力を存分に発揮できるような格好の標的を政府が制度を操作して作り出している状況にあって、どんなことができる見込みがあるというのでしょうか。少なくとも、米国におけるコンプライアンスの基準から判断すれば、アンチウイルスソフトをネットワークからすべて排除するといった措置はいくらなんでも不可能であり、そのような対応は勧められません。
それでは一体、どうしたらよいのでしょうか。実際のところ、まず、はじめに取り組むべきは、現在直面しているリスクの内容を把握することです。アンチウイルスソフトウェアは、ユーザーにもシステムにも知られずに第2段階の仕掛けを組み込むことができますが、そこからさらに、ラテラルムーブメント(侵入したマルウェアが制御するPCを増やす感染拡大フェーズ)を行うことはできません。この時点であれば、攻撃者がネットワーク内を動き回る機会を得る前に、徹底した防御と、攻撃のライフサイクルの把握により、不正な活動を捉えることができます。
また、オーバーヘッドは増えるものの、特にアンチウイルスソフトウェアの場合は、ネットワークのセグメント別にソリューションのプロバイダーを分ける方法を使うことができます。この方法なら、攻撃に対する耐性を強化できます。あるプロバイダーの製品が攻撃の犠牲になったとしても、ネットワークの一部が侵害を受けたに過ぎません。
そして、最後に、リスクには許容できる一定のレベルがあることについて触れておきましょう。ここで述べたような攻撃が無くなることはおそらくないでしょう。アンチウイルスソフトウェアの利用者が攻撃の犠牲になる状況は続くことが予想されます。この点を理解した上で、階層化された防御システム、偽装手法を導入します。そして、アンチウイルスソフトウェアを足掛かりに攻撃が拡散されたときに、攻撃の速度にブレーキをかけ、攻撃を捕捉するのです。このような特殊な戦いに勝利するか否かの、ここが勝負の分かれ目です。攻撃の初期段階における攻撃者の侵入は避けられないとして受け入れた上で、被害の可能性を減らすような対応策を練ることが、この種の脅威が増殖する力を効果的に弱める唯一の方法なのです。
ホワイトペーパー「次世代アンチウイルス(NGAV)とEDRが高度な脅威に対処」を公開中
EDRとNGAVの組み合わせの優位性をご紹介するホワイトペーパーを公開しております。ぜひご活用ください。
https://www.cybereason.co.jp/product-documents/white-paper/1826/
