世間の注目を集めている各種のサイバー攻撃は、単純で脆弱な公開Webサーバーが原因

世間の注目を集めている各種のサイバー攻撃は、単純で脆弱な公開Webサーバーが原因で、アプリケーションのユーザーに損害を与え、その結果として企業や組織の評判を大きく低下させる可能性があること、そして一部のケースでは、そのようなWebサーバーが原因で当該組織の内部ネットワークにおける攻撃が開始されてしまう可能性があることを証明しています。

従来型のセキュリティツールは、このような脅威の検知に関しては役に立ちません。しかし、EDRソリューションは、このような検知問題を解決するための新しいアプローチを提供します。

なぜ攻撃者はWebサーバーをハッキングするのか

ところで、なぜ攻撃者はWebサーバーのハッキングに興味を持つのでしょうか?それは、公開Webサーバーの標準アーキテクチャが、攻撃者にとって有利であることが分かっているからです。公開Webサーバーは本質的にインターネット経由で送られている要求を処理するものであり、次のような2つのネットワークインターフェイスを備えています。

  1. 外部からDMZ(Webサーバー)へのインターフェイス
    未知のWebサイト/ユーザーからの要求を受信します。
  2. DMZ(Webサーバー)から内部へのインターフェイス
    データを内部リソースに配信し、内部ユーザー向けにWebサーバーを管理します。

攻撃者がWebサーバーのハッキングに力を注ぐ理由としては、Webサーバーのハッキングに成功すると攻撃作戦全体をリモートから実行できるようになること、およびWebサーバーには通常機密データが格納されていることが挙げられます。このような中間層サーバーに侵入することは、組織の内部ネットワークに侵入するための最も容易な方法となる場合があります。

サーバーをハッキングした後、攻撃者は、正規のネットワークチャネルや接続されたリソース(データベース、ユーザー管理インターフェイス、その他のWebアプリケーションなど)を使用してクエリを実施し、内部ネットワークへとより深く侵入できるようになります。

ハッキングされた公開Webサーバーとサイバー攻撃ライフサイクル

ハッキングされた公開Webサーバーがサイバー攻撃のライフサイクルとどのように適合するかを下記の図に示します。

サイバー攻撃ライフサイクル

■外部偵察

すべての公開されているWebサーバーをリモートからマッピングしスキャンします。

■侵入

Webサーバーを悪用することで企業や組織のネットワークに侵入します。

■コマンド&コントロール(C&C)

HTTP要求または新しく作成されたチャネルを使用して、インターネット経由でリモートWebサーバーを制御します。

■足場確立

最高権限ユーザーのクレデンシャル情報を入手し、永続性を確立することで、当該リモートWebサーバーに関する完全な制御を確保します。多くの場合、Webサーバーは、攻撃の最後の段階で、たとえば簡単に復帰できるバックドアを作成するための標的となります。

■内部偵察

ハッキング済みのWebサーバーを使用して、内部ネットワークやその機密資産に関する情報を取得します。

■ラテラルムーブメント(水平展開)

社内ネットワークの中を動き回ることで、他の内部エンドポイントやサーバーから攻撃を継続して実施します。

これらの手順はすべて、リモートから実行されます。

アタックサーフェス(攻撃対象となり得る領域)が非常に広いため、多くの種類の手法を使うことで完全に同じ結果に到達できます。

つまり、ハッキングされたWebサーバーは、その後、ネットワークのハッキングのために利用されます。Webサーバーをハッキングするために利用される手法としては、次のものが挙げられます。

  1. Webアプリケーション攻撃(RFI/LFIやXXEなどのインジェクション手法を含む)
  2. Webシェル
  3. 特定のフレームワークにおける既知の(およびいずれ既知となる)脆弱性を突いた攻撃やゼロデイ攻撃。例としては、ShellShock(CGIベースのWebサーバー脆弱性)、Apache Struts、 JAVA Spring(詳細についてはTushar Adhikaryによるブログ記事を参照)が挙げられます。
  4. 設定の弱点を含む公開されている管理者インターフェイス。これにより悪意あるファイルをWebサーバーにアップロードできるようになるほか、場合によってはサーバーのOSと直接対話することも可能となります。

Webアプリケーション攻撃を阻止するソリューション

この問題を解決するために、Webアプリケーションの悪用を阻止することを目的とするソリューションを完備したセキュリティサブドメイン全体が登場しています。

Accentureの調査によれば、2017年にWebベースの攻撃が企業にもたらしたコストは200万ドルに及んでいます。Webアプリケーション攻撃が引き起こす損害はセキュリティコミュニティにとって目新しいものではなく、セキュリティコミュニティはそのような攻撃ベクトルをWebの黎明期より調査しています。

Webアプリケーション攻撃に対処しようとする多くのセキュリティソリューションの中には、Webアプリケーションファイル、脆弱性スキャナー、静的コード分析、Web隔離などが含まれています。攻撃を回避しようとするソリューションもあれば、セキュリティ侵害が検知された後に役立つソリューションもあります。

しかし、残念なことに、これらのソリューションのどれも、攻撃のすべてのオプションをカバーするために十分な汎用性を備えていません。これらのソリューションは主にシグネチャや文字列のマッチングに基づいているため、未知または一般的でない攻撃ベクトルに対しては効果的ではありません。

また、これらのソリューションは、熟練した攻撃者が実行する洗練された標的型攻撃を検知できません。そのような攻撃者が持つ、組織をハッキングする能力は、ゼロデイ攻撃やその他の攻撃手法の発見と共に常に改良されています。言い換えれば、既存のソリューションは無効なのです。

行動分析を利用してハッキングされたWEBサーバーを検知

このような急速な進化を遂げつつある脅威状況は、洗練された攻撃を検知するという課題をより重要なものにしています。

検知が困難なWeb攻撃手法の例としてWebシェルが挙げられます。既知のWebシェルは改変や難読化が容易に行えるため、アンチウイルス、YARAルール、および既知のインジケーターを利用するその他のツールを容易にすり抜けることができます。

ここでは、わずかに改変されたWebシェルが攻撃で利用される例を示します。Ciscoのインシデント対応チームであるTalos氏は、2017年にウクライナの複数の組織に対して実施された大規模なランサムウェア攻撃であるNyetyaに関する詳細な技術的な記事を発表しました。

Talos氏によれば、攻撃者は「オープンソースのPHP用WebシェルであるPASのわずかに改変されたバージョン」をバックドアとして使用してWebサーバーをハッキングすることで、悪意あるアクティビティを実行したとのことです。

Webサーバーの脆弱性は常に発見されています。たとえば、2017年にApache Strutsで発見された脆弱性は、攻撃者がWebサーバー上でプログラムをリモートから実行することを可能にしました。

Apacheはパッチを公開しましたが、実務サーバーにパッチを適用することは多くの企業や組織にとって複雑でかつコストのかかる作業です。Equifaxによるデータ漏洩の調査は、パッチによるアップデート手順が常に容易に配備できるとは限らないことを示しています。

サイバーリーズンのEDRプラットフォームは、行動分析および機械学習を利用することで、使われている攻撃ベクトルやツールにかかわらず、ハッキングされたWebサーバーを検知します。

Cybereasonは複数のエンドポイントとサーバーからリアルタイムでデータを収集し、インメモリグラフを使用してこのデータをクロス相関させることで悪意あるアクティビティを検知します。容易に改変できるシグネチャを使用する代わりに、Cybereasonは攻撃の振る舞いに注目します。

ホワイトペーパー「サイバー攻撃に関する5つの誤った通説」

サイバー攻撃は減少するどころか、むしろ標的とする組織、業種を拡大してきています。複雑なサイバー攻撃を防御するには、これまでの正しいとされていた常識、通説を考え直す必要があります。本書で、5つの誤った通説と推奨されるアプローチについて学ぶことができます。
https://www.cybereason.co.jp/product-documents/input/?post_id=609

ホワイトペーパー「サイバー攻撃に関する5つの誤った通説」