サイバー攻撃のアトリビューション(攻撃の特定)はこれまで、攻撃された環境で見つかったテクニカルな指標を脅威アクターへと関連付けることに依拠していました。しかし、最近の調査では、データやメタデータの上書きのような反フォレンジクス手法により、サイバー攻撃の特定が容易ではなくなっていることが示されています。

この数年間で、ポリモーフィックな設計、過剰なパッキング、動的なドメイン/C2インフラストラクチャおよびその他の手法を含むコモディティマルウェアの進化により、サイバーセキュリティコミュニティの多くの人が脅威の分析や特定を行う方法に関する基本的理念が損なわれてきました。

また、最近では、脅威アクターが他のハッキンググループの指標を研究し模倣することで特定を誤らせており、このような指標は完全に時代遅れのものとなっていることが確認されています。

セキュリティコミュニティはその機能をいかにして低下させたか

2000年代の初期から中期において、サイバーセキュリティは、唯一の現実的な影響を及ぼす標的への攻撃であるような、脅威アクターと防御者間のゲームへと変化しました。ただし、ほとんどの場合、防御者はゲームに敗れ、あらゆる関与が攻撃者に何事かを教えました。

ネットワーク防御者が採用したすべての防御、アクション、成功は、攻撃の作戦がどのように露呈したかを攻撃者に伝えました。このことは、セキュリティ企業が、クライアントのネットワークへの侵入をいかにして追跡し、捕捉し、根絶したかに関する情報を広く開示するようになった2010年台に多くなりました。

このような報告は、対戦するフットボールチームに、自分のチームの守りの作戦を試合の1ヶ月前に手渡すようなものでした。しかし、優れた能力を証明し世間の評判を高めるため、コミュニティはこのような報告のペースを速めました。

脅威アクターの検知と特定に使用される主な方法は多く出回り十分に理解されているため、レベルの低いアクターでさえも「高度な」反検知手法を作成できるほどです。

IOC(Indicators of Compromise)の死

2010年台の初期から、脅威アクターは、IOC(Indicators of Compromise)の価値をゆっくりと低下させています。我々は、静的なハードコーディングされたIPアドレスを使ってコマンドや制御を実行するものから、ソーシャルメディア・アプリケーションを動的に活用して正規のトラフィックストリーム内でコマンドおよび制御メッセージを送信するものに至るまで、マルウェアの進化を目の当たりにしてきました。

ホストベースのアーチファクトも急速に廃止されており、ポリモーフィックなマルウェアやファイルレス侵入方式の利用の増加により、ハッシュやホワイトリストの陳腐化がますます進んでいます。

我々は、高度なアクターがコモディティマルウェアを使用して標準的なSOCと調和することにより、高度な攻撃が月並みなマルウェア感染のように見えることを確認しています。

実際、すぐに利用できるツールや機能のレベルは非常に高くなっており、多くの場合、ユニークで高度な機能は、運用の助けになるどころか邪魔になります。

今や防御者は、多くの場合インシデント対応で完全に発見される前に役に立たないようなIOCを採用するか、それとも非常に一般的であるために、さらなるリサーチや特定では意味がないIOCを採用するかというジレンマに直面しています。

敵になりすます作戦:秘密工作の世界はもはや存在しない

サイバースペースは、サイバーツールを積極的に制御できません。サイバーツールがいったん使用されると、それは発見可能となり、再目的化が可能となります。

「なりすまし犯」による国家のTTP(Tactics, Techniques and Procedure)の利用は、一般に、被害者となる国家と攻撃者と見られる人物との間の緊張を高めるために使用されます。

このような試みの有効性は、1) なりすまし犯が自分の利用しているツールをどれほどよく理解しているか、2) なりすまし犯が行動へと煽り立てようとしている国のことをどれだけよく理解しているかに基づいています。

最近の調査によれば、別の国に責任を転嫁するのではなく、諜報活動が特定されるリスクを減らすことを目的として設計されたプログラムが見つかっています。

これはダイナミックに大きく変化させます。なぜなら、新たな目標は、捕まるのを防ぐことではなく、別の敵対者の指標、インフラストラクチャ、ツールをできるだけ模倣するからです。

これを行う部隊の能力は、同部隊が模倣しようとする脅威アクターに関する情報の収集能力に基づきます。

技術的な観点からは、必要な情報の収集は困難ですが、最も高度なアクターであれば実施できます。これが、攻撃者の特定を、実用的な科学よりも、仮面舞踏会で出席者の身元を推測することに近づけています。

より優れた、より強力で、より迅速なコミュニティの構築

サイバーセキュリティコミュニティの一部における過剰な熱意が、非常にインテリジェントな脅威アクターと組み合わさることで、サイバー特定を2000年代初期のレベルにまで退行させています。

あらゆるアクターが、現在の業界標準方式に基づいて、特定されることを回避するために自由に使えるツールを十分すぎるほどに保持しています。

残念ながら、コミュニティが失ってしまった勢いを回復させるためのテクノロジーに基づいた解決策は存在しません。

より迅速で、より正確なテクニカル分析は、最も高度な侵入がネットワークで見つかる前に、TTPやインフラストラクチャがしばしば消滅するという事実を未だに回避できません。

その代わりに、業界は、我々が侵入と脅威アクターグループを分析する方法に関して大転換を経験する必要があります。

特定を取り戻すためには、我々は、テクニカルな情報ではなく、アクターに注目する必要があります。IOCではなく行動が、より忠実度の高い成果をもたらすことでしょう。

しかし、最も重要なことは、我々はより堅牢な新しい手法を開発する際に、我々が使用する特定の手法に関する情報を共有する方法についてより慎重になる必要があるということです。サイバー犯罪を巡るイタチごっこでは、あらゆる情報が貴重となります。

我々が防御や特定の編成方法を開示することは、我々を打ち負かす方法を敵対者に教えることに等しい行為です。

我々が敵対者と再び対等になりたいと望むならば、我々のコミュニティは、進化的な飛躍を遂げる必要があり、このような情報を保護することに専心すると同時に悪意あるサイバーアクターを混乱させるような多くのコミュニティを創り出す必要があります。

「次世代エンドポイント(EDR)のメリット」とは? Cybereasonの関連情報を公開中

CybereasonのEDR(Endpoint Detection and Response)プラットフォームが提供する7つのユニークな機能をご紹介するホワイトペーパーを公開しております。ぜひご活用ください。
https://www.cybereason.co.jp/product-documents/white-paper/1033/

ホワイトペーパー:次世代エンドポイントのメリット