- 2018/01/09
- サイバー攻撃
攻撃者によって継続して使用されている攻撃手法と経路とは
Post by : Lior Div
攻撃者および危険性を再認識いただけるように、ここ数か月で実際に頻繁に使用されている主要な攻撃手法・経路を紹介。
現在、防御する側は、絶えず新たな攻撃手段を考え出している巧妙な攻撃者に直面しています。皆さんが直面している攻撃者がどのような攻撃を仕掛けてくるのか把握できるように、ここ数か月で頻繁に使用されている攻撃手法・経路をいくつかご紹介します。これらの手法のいくつか(ファイルレスマルウェア攻撃やランサムウェア)は、セキュリティの専門家にはよく知られているものです。しかし、それで危険性が全く無くなるわけではありません。攻撃者は、実戦でそれら手法が有効であることを知ることから、未だに使用し続けています。
メモリ常駐型マルウェア
このマルウェアは、それ自身のプログラムを永久メモリにロードします。メモリ常駐型マルウェアは、一過性感染としても知られています。動作主体は、従来の検知機能から逃れる方法として、ファイルレス侵入とメモリ常駐型マルウェアをますます結合するようになっています。ディスクに書き込まないということは、リブートされたマシンにアクセスできなくなるという固有のリスクが伴います。しかし、いくつかの高度な脅威は、ほとんどの企業ネットワークの常時ネットワーク接続を利用して、秘密の通信チャネルと内部ネットワークのスキャンにより永続性を維持し、シャットダウンまたはリブートしたマシンに再感染します。
これは新しい手法ではありませんが、多くのインシデント対応計画およびフォレンジック調査は標準的な手順にメモリダンプを組み込んでいないため、感染が検知されたとしても、多くの場合、フォレンジック的証拠は侵入を調査しているチームによって削除されることから、使われることが多くなっています。
ファイルレスマルウェア
この手法は、OSの内蔵ツールおよび機能を利用して、悪意のあるアクティビティを実行します。この手法の最も一般的な例は、MicrosoftのWMIおよびPowershellの不正利用です。これは、実行する際に追加のツールや機能を必要としないため、ネットワークフットプリントを削減できることから、攻撃者にとって非常に強力な手法です。
Cobalt StrikeやMetasploitなどの侵入テストツールがPowershellモジュールを取り込んだことで、この手法の普及は劇的に促進されました。この機能の特徴であるポイントアンドクリックはエンドユーザーでより小さな悪意のあるフットプリントと結合することで、急激に拡散し、APTとサイバー犯罪の攻撃者の両方からこの攻撃スタイルが受け入れられました。
ランサムウェア
この脅威は新しいものではありませんが、特に医療産業および政府機関に影響を与えている脅威です。とはいえ、最近のWannaCry攻撃が実証したように、ほとんどの企業が脆弱であると言えます。しかしながら、この機能が繰り返し採用されていることは、評価に値します。ランサムウェア攻撃の影響を取り除く新しい方法が考案されましたが、従来のハッシュ法であるか、またはデータ保持/オフサイトストレージの増加のいずれかです。それに対しランサムウェア業界は、従来のアンチウィルス保護を無効化したり、クラウドサービスユーティリティを乗っ取りバックアップデータをキャプチャするなど多様なタイプの新しい機能で対応してきました。
特にランサムウェアのサブセットに関しては、ドキシウェア (Doxware) としてラベル付けされます。ランサムウェアと同様に行動しますが、アクセス可能性だけでなく、情報の機密性を損なうことでさらに攻撃を進めます。感染した企業が全額支払わなければ、攻撃者は情報をオンラインでリークします。このタイプの攻撃では医療記録のような機密情報が暴露される可能性があるため、他の業界よりもより大きな損害を受けることになります。
C&C用ソーシャルメディア
職場におけるソーシャルメディアアプリケーションの急増により、侵害されたネットワーク内で悪意のあるアクティビティのC&C用にこれらのプラットフォームを利用することが増えてきました。使用されるアプリケーションと方法は、攻撃者ごと、および犠牲になるネットワークごとに異なりますが、全体的な傾向としては、悪意のあるアクティビティを隠すためにこれらの機能を利用します。Twitterアカウントで投稿やコマンドを使用することは非常に簡単ですが、ネットワークのログを監査して見つけることは恐ろしく困難です。
コミュニケーションチャネル自体は、安全と思われがちです。アクティビティがある程度ランダム化されている限りは、ニュースをチェックしたり、仕事中に時間を潰す一般ユーザーとして紛れ込む可能性があります。ハッカーはツールキットに益々磨きを掛けて、ネットワークノイズに溶け込ませたりしていましたが、今後もアクティビティを隠すためにこのような公共のWebサイトやサービスを利用し続けるでしょう。
流出経路としてのクラウドストレージ
攻撃者がクラウドストレージプロバイダーを使用して、大量のデータを気づかれずに盗み出すケースが増えています。攻撃者が一旦足場を固めると、どのクラウドプロバイダーが使用されているかを頻繁にスキャンして、信頼関係を利用して必要な情報を盗み出します。同じサービスを利用することで、既存のプロセスやネットワーク通信を乗っ取り、同じプロバイダーでデータを盗み出し、別のアカウントに移すことができます。
さらに巧妙な攻撃者は、侵入したアカウントからクラウドに送信する特定のファイルや1回で処理するファイルの平均サイズを算出して、その動作をまねできるようにし、ターゲットの環境に完全に溶け込もうとします。ホストからクラウドストレージプロバイダーへのファイルの転送時の暗号化通信により、悪意のある転送をネットワークから検知することはほとんど不可能です。攻撃者が時間を掛けて自分のアクティビティを環境に合わせてカスタマイズしている場合はなおさら困難です。
企業は何をすれば良いのか
あらゆる脅威から企業を守る魔法のようなソリューションはありません。防御が提供できるのは、ある一定の保護だけであると考えられます。敵となる創造的で意欲的な攻撃者は、どのようなファイアウォール、アンチウィルスプログラム、その他のセキュリティ対策を導入したとしても、最終的には侵入する方法を見つけるでしょう。
逆に、攻撃者が入り込むことを予測し、受けて立つのです。ネットワーク、特にエンドポイントで何が行われているかを把握します。そこには攻撃者が狙っているデータが存在しているからです。インシデント対応計画を開発し、テストして修正します。危機的状況のさなかでそれに慣れてしまってはいけません。最後に、インシデントは企業のセキュリティ計画について話し合い、必要に応じて改善するチャンスと考えます。ウィンストン・チャーチルは、「危機を無駄にしてはいけない」と言っておりました。
Lior Div(リオ・ディヴ)は、Cybereason Inc.CEOであり、共同創立者です。フォレンジック、ハッキング、リバースエンジニアリング、および暗号化を専門とするイスラエル軍の優秀なサイバーセキュリティユニットのリーダーでもあります。
