- 2020/04/23
- サイバー攻撃
海外支社への侵入を足掛かりに本社の重要情報を狙う巧妙な標的型攻撃
Post by : Yukimi Sohta
日本企業の海外支社を足掛かりにした攻撃の手口
今年に入り、日本企業を狙った標的型攻撃の報道が相次ぎました。中でも特に最近目立つのが中国系のAPTグループによる攻撃です。このグループがよく用いる手口に、日本企業の海外支社にまず侵入し、そこを足掛かりに本社や開発拠点へ侵入して機密情報を持ち去るというものがあります。過去に大企業を狙った標的型攻撃による被害が相次いだことで、多くの大企業はかなり堅牢なセキュリティ対策を行うようになりました。その結果、攻撃者側から見ると、大企業への直接侵入はだんだん難しくなってきました。
そこで彼らが目を付けたのが、まだ比較的セキュリティ対策が手薄なグループ企業や海外支社、地方の小規模な事務所などです。大企業のシステムへ侵入するための足掛かりとして、まずはそうしたサプライチェーンの末端のネットワークに侵入し、そこから本社や他拠点へと少しずつ横展開を進めていきます。中には、半年間もかけてこうした横展開を少しずつ進め、ついには本社の開発拠点への侵入を果たして、貴重な技術情報を窃取した例もあります。
サイバーリーズンのSOCでも、過去にそうした攻撃手法を検知しています。この攻撃では、攻撃者はマイクロソフトが提供する開発ツールや、Windowsが備えるコマンドツールを悪用して攻撃を行っています。どちらも正規のツールを使っているため、「正常な動作」と「怪しい挙動」とを見分けるのがとても難しくなっています。ほかにも検知を困難にさせるための手口を複数組み合わせており、一般的なセキュリティツールではなかなか検知できないようになっています。
こうした手口の組合せや手順、採用している技術、攻撃全体の戦術などは、攻撃グループごとに特徴があります。今回観測した攻撃は、その特徴から中国を起源とするAPTグループによるものではないかと推測されます。オリンピックイヤーを迎え、このグループによる攻撃がこれから激化する可能性も十分に考えられますから、今後もその動向を注視していく必要があると思われます。
巧妙なAPT攻撃(高度標的型攻撃)を防ぐためにやっておきたいこと
では、こうした攻撃グループの手によるAPT攻撃(高度標的型攻撃)から身を守るには、一体どんな対策を講じておけばいいのでしょうか。100%確実に侵入や被害を防げる方法は残念ながら存在しませんが、リスクを少しでも減らすためには、以下に挙げるような対策を講じておく必要があるでしょう。
- 不要なポートとプロトコルをすべて無効化する
- 外部に公開している機器へのパッチの適用((重要かつ深刻な脆弱性へのパッチ適用に焦点をあてる)
- 自社データのバックアップが最新のものであり、組織のネットワークからアクセスできない場所に保存されていることを確認する(破壊型攻撃およびランサムウェアに備えるため)
- ネットワークおよび電子メール通信の監視強化
- Systemフォルダ以外にコピー・リネームされたPowerShellの実行防止の検討
- マクロの無効化
- 実行形式ファイルの実行権限に制約を設ける
以上で挙げた対策は、どれも標的型攻撃対策としては基本的なものばかりですが、こうした対策を積み上げていくことで侵害の可能性を少しずつ減らしていくことが基本となります。これらの対策によって、攻撃そのものをネットワークの入口で跳ね返せればベストですが、前項でも紹介した通り、最近の標的型攻撃は手口が極めて巧妙化しており、もはやマルウェアの侵入を100%完ぺきに防ぐのは不可能だと言われています。そのため、万が一侵入を許してしまった場合の「次善の策」も講じておく必要があります。
そのために現時点で最適なソリューションだと言われているのが、「EDR(Endpoint Detection and Response)」です。EDRは、PCやサーバなどエンドポイント端末上であらゆるプログラムの動きを常時監視し、もし不審な動きを検知したら即座にその旨を管理者に通知してくれます。この仕組みを導入しておくことで、もし巧妙なAPT攻撃を受けてマルウェアの侵入を許してしまったとしても、深刻な被害を受ける前に検知・除去できます。
弊社でもEDR製品「Cybereason EDR」を提供しており、世界中の多くの企業・団体で使われています。その多くのケースでは、単に製品を導入・利用するだけに留まらず、弊社が提供するMSS(マネージドセキュリティサービス)も併せて利用しています。MSSは、お客さまに代わって弊社の専門チームがCybereason EDRを使った脅威の監視や検知を行い、もし脅威を検知した場合はその対処策もあわせてアドバイスします。
今回紹介したような巧妙な手口を使ったAPT攻撃は、その検知や対策に高度なノウハウを要します。自社内にそうしたノウハウや体制を有していない場合は、ぜひ弊社のMSSのようなサービスの利用を検討することもお勧めします。
「次世代エンドポイント(EDR)のメリット」とは? Cybereasonの関連情報を公開中
CybereasonのEDR(Endpoint Detection and Response)プラットフォームが提供する7つのユニークな機能をご紹介するホワイトペーパーを公開しております。ぜひご活用ください。
https://www.cybereason.co.jp/product-documents/input/?post_id=1033
