- 2020/02/10
- サイバー攻撃
もはや感染を防ぎきれないエクスプロイトキット、どうやって被害を防ぐ?
Post by : Yukimi Sohta
相変わらず後を絶たないエクスプロイトキット攻撃
近年、サイバー攻撃の手口は高度化・巧妙化の一途を辿っています。その代表例とも言えるのが、エクスプロイトキットを応用した新たな攻撃手法です。エクスプロイトキット自体はかなり以前から存在するサイバー攻撃のツールの一種で、「エクスプロイト」と呼ばれるマルウェアを複数揃えて1つのパッケージにまとめたものです。
なおエクスプロイトとは、コンピュータのOSやアプリケーションの脆弱性を突いて攻撃を行うマルウェアのことで、例えばWindowsやInternet Explorer、Adobe Flash Playerといった大半のPCにインストールされているメジャーなソフトウェアのプログラム不具合に起因する脆弱性を悪用し、マルウェアをターゲットのPCに送り込みます。
エクスプロイトキットは、このエクスプロイトを複数集めてセットにしたものです。ソフトウェアの脆弱性は世の中にそれこそ無数に存在しますから、ターゲットのPCにどのような脆弱性が存在し、またどの脆弱性が対処済みかは、実際にそのPCの環境を調べてみないと分かりません。そこで、あらかじめ代表的なエクスプロイトを一通り揃えておき、標的のPCの脆弱性をスキャンした結果を基に適切なエクスプロイトを選ぶことで、少しでも攻撃成功の確率を上げようというのが、エクスプロイトキットがとる戦略です。
こうした攻撃手法の効果は極めて高いため、次から次へと新たなエクスプロイトキットが開発されてはダークウェブで活発に取引されています。弊社でもお客様の環境を日々監視する中で、エクスプロイトキットによる攻撃が疑われる事象を何度も目にしています。例えば、とあるお客様の環境では「GrandSoft」と呼ばれるエクスプロイトキットによる攻撃が検出されました。
弊社でこの攻撃を検知した時点ではまだ未知の攻撃でしたが、分析の結果、最終的にバンキングトロージャンが侵入していることを突き止めました。もちろん、このお客様は被害を未然に防ぐことができましたが、世間一般ではその後も新たなエクスプロイトキットによる攻撃の検知が後を絶ちません。
エクスプロイトキットによる感染をEDRでいち早く検知・対処
近年、このエクスプロイトキット攻撃の手口がより高度化・巧妙化しています。エクスプロイトキットの代表的な感染経路は、Webサイト経由によるものです。ユーザーに詐欺メールを送り付け、その中に不正サイトのURLを埋め込んでおきます。ユーザーがそのURLをクリックすると不正サイトに誘導され、そこに仕掛けられたエクスプロイトキットによってPCの脆弱性を突く攻撃が自動的に仕掛けられるという仕組みです。
このような手口による被害を防ぐために、従来は「不審なメールは開かないようにしましょう」「怪しいURLはクリックしないようにしましょう」といった啓蒙がユーザーに対して行われ、一定の効果を上げてきました。しかし近年では不正サイトだけではなく、正規のサイトに攻撃者が侵入し、その中にエクスプロイトキットを仕込んでしまう手口が出てきました。ユーザーがいつも通り正規サイトにアクセスすると、その裏に仕込まれていたエクスプロイトキットが起動し、脆弱性を悪用するコードが自動的にダウンロードされてしまうのです。
このような手口が使われてしまうと、どれだけ「不審なメール」「怪しげなURL」に気を付けていても、否応なく感染してしまいます。しかも最近では、正規サイトにアクセスしてきた「特定の組織に属するユーザー」だけを狙い撃ちする攻撃も現れています。
そのサイトにアクセスするすべてのユーザーを感染させると、あっという間に被害が拡大して手口がばれてしまいます。そこで、ターゲットとする企業・組織のドメインに属するユーザーだけに限定してエクスプロイトキット攻撃を仕掛けるわけです。いわゆる「水飲み場攻撃」と言われる標的型攻撃の一種で、気付かれることなく水面下で密かに標的の企業・組織の内部にマルウェアを送り込みます。
ここまで巧妙な手口を使われては、いくら従業員にセキュリティ教育を施したとしても、もはや100%感染を防ぐのは不可能だと言わざるを得ません。そこで次にやるべきは、感染をいち早く検知して、実害が発生する前にその元凶を取り除くことです。そのために現時点で最も有効な手段と言われているのが、弊社が提供する「Cybereason EDR」に代表されるEDR(Endpoint Detection and Response)製品です。EDRは、PCやサーバなどのログを収集し、その内容をリアルタイムに分析することで、エンドポイント上の不審な動きや予兆を即座に検知します。
従来のファイアウォールやIPS/IDS、サンドボックスなどのセキュリティ製品は、いったん社内ネットワークへの侵入を許してしまった脅威の存在を検知することはできませんでしたが、EDRならPCやサーバ上での怪しい挙動を検知し、水際で攻撃を食い止めることが可能です。近年ますます巧妙化するエクスプロイトキット攻撃による被害を防ぐには、現段階では最も効果的なセキュリティソリューションだと言えるでしょう。
ホワイトペーパー「MITRE ATT&CKを使用してクローズドループ式のセキュリティプロセスを作成する5つの段階」
このホワイトペーパーでは、MITER ATT&CKを使用してクローズドループの戦術的なセキュリティ対策を実施するために参考にすべき、重要な5つの段階について説明します。
https://www.cybereason.co.jp/product-documents/white-paper/3259/