マルウェア(malware)とは、コンピュータウイルス、トロイの木馬、ボット、ランサムウェアなど、利用者の意図に反する不正な振る舞い(情報収集・侵入・妨害・破損など)をするように作られたプログラムやスクリプトなどをいう。ここではマルウェアの攻撃について、その仕組みと対策を解説する。
2.9.1 マルウェアの種類
マルウェアには、次のような種類がある。これらについて、それぞれの動作や対策を解説する。
- コンピュータウイルス
- ワーム
- トロイの木馬
- 悪意のあるモバイルコード
- スパイウェア
- ボット
- ランサムウェア
- ドロッパ
なお、マルウェアのような悪質さはないものの、適切とは言い難く、多くのユーザーにとっては不要なアプリケーションのことをPUA(Potentially Unwanted Application:潜在的に迷惑なアプリケーション)と呼ぶ。PUAに該当するものとして、次のようなものがある。
- アドウェア
- リモート管理ツール
- 脆弱性検査ツール
2.9.2 コンピュータウイルス、ワーム
コンピュータウイルスとは、自己伝染機能、潜伏機能、発病機能のいずれか一つ以上を持ち、意図的にデータの消去、改竄などを行うように作られた悪質なプログラムである。狭義ではWord/Excelなど、何らかの宿主(感染対象となるプログラムなど)に感染して動作するものを指す。
また、ワームとは、コンピュータウイルスの一種であるが、宿主を必要とせず、感染したコンピュータ上で自己増殖してデータの破壊、改竄、他コンピュータの攻撃などを行う悪質なプログラムである。
2.9.3 マルウェアへの対策
マルウェアへの対策には様々な種類があるが、大別すると通信経路上でおおなうものと、PCなどのエンドポイント環境で行うものとがあり、それらを組み合わせる必要がある。また、マルウェアの侵入・初期感染を防ぐ対策(いわゆる「入り口対策」)に偏ることなく、侵入・感染したマルウェアがインターネット上のC&Cサーバ(Command and Control sever:指令サーバ)などにコールバックしたり、感染を広げて情報流出を引き起こしたりするのを防ぐ対策(いわゆる「出口対策」)を行うことも重要である。1.5.2項で解説したように禁煙はマルウェア対策としてVDIを導入するケースも多い。
仮想ブラウザと各種セキュア対策製品等を組み合わせたマルウェア対策の実施例を図に示す。
VDIとセキュリティ対策製品を組み合わせたマルウェア対策実施例 |
---|
経路上での対策
- ファイアウォールで不要なアドレス/ポートへのアクセスを双方向で遮断する
- IPSで不審な通信を双方向で検知し、遮断する
- メール検査型のアンチウイルス(AV)/アンチスパムツールでメールに添付されたマルウェアやスパムメールを遮断する
- メール検査型のサンドボックス製品を用いて、メールに添付された不審なファイルや本文中のリンクからマルウェアを検知し遮断する。
- URLフィルタリングツールやWeb検査型のAVツールを用いて、有害/不適切なWebサイトへのアクセスや不審なコード/ファイルなどのダウンロードを防ぐ
- 認証機能やアクセス制御機能を備えたプロキシサーバにより、不審なWebアクセスを遮断する
- Web検査型のサンドボックス製品を用いてマルウェアを検知する
- 仮想ブラウザを導入し、Webアクセスにより感染したマルウェアの被害がPCに及ぶのを防ぐ
- 仮想ブラウザを用いてメール利用環境とWeb利用環境を分離することでメールから感染したマルウェアのコールバックや不正なリンク先へのアクセスを防ぐ
エンドポイントでの対策
- 全てのコンピュータにAVツールを導入し、ウイルス定義ファイルを毎日更新するとともに、h流まいや検知型のACツールも併用する
- OSや使用しているソフトウェアを最新のバージョンにするとともに、最新のバッチを適用する
- 市販のパーソナルファイアウォールを導入し、インターネットとの通信を許可するプログラムや、当該端末が通信可能なアドレス/ポートなどを制限する
- EDR製品によりエンドポイント環境でのマルウェアの活動を検知し、対処する
- ファイル検査型のサンドボックス製品をもちちてファイルサーバを定期的に巡回し、ファイルに感染したマルウェアを検知・駆除する
- 業務と無関係なソフトの導入/使用を禁止する
- 外部より入手したフィアるや共有するファイルは検査後に使用する
- メールやWeb、記憶媒体などファイルを送る場合は事前に検査する
その他
- マルウェア県知事の連絡体制、対応手順などを明確にして関係者に周知するなど、マネジエント面の対策を実施する
トロイの木馬
トロイの木馬とは、一見すると正常動作しているように見えながら、実際には裏で侵入者のバックドア(裏口)として機能したりユーザーのパスワードを記憶したりするなど不正な振る舞いをするよう巧妙に作り替えられたプログラムである。感染応力や増殖機能はなく、通常仕掛けられたコンピュータ内でのみ密かに動作し続ける。
バックドアとして機能するトロイの木馬はRAT(Remote Access Troja / RemoteAdministration Tool)と呼ばれることもある。RATはターゲットとなるホストに密かに侵入したり、攻撃者の遠隔操作によって任意のコマンドを実行したり、プログラムやデータをアップロード/ダウンロード/実行/削除したりするため、非常に大きな脅威となる。
また、最近では攻撃者が利用者のPCに通信を監視/改竄するとトロイの木馬型のマルウェアを侵入させ、次のような手口でインターネットバンキングサービスのパスワードを盗んだり、不正送金を行なったりする攻撃による被害が拡大しており、大きな問題となっている。
- サービス利用時の通信を盗聴してパスワードを盗む
- 偽のポップアップ画面を表示し、第二パスワードなどを全て入力させて盗む
- ブラウザの動作に介入し、送金愛用を勝手に書き換えて不正な送金を行う
3はMan-in-the-Browser(MITB)、DLLインジェクションなどと呼ばれる攻撃手法である。トロイの木馬は利用者のPC内で密かに動作しているため対策が難しく、被害を受けたとしても利用者がそれに気づきにくい。
● トロイの木馬への対策
トロイの木馬を発見するには基本的なマルウェア対策のほか、既知の不正プログラムのハッシュ値(メッセージダイジェスト)と稼働中のプログラムのハッシュ値を比較することにより、発見する方法などがある。
また、RATのように他のホストと通信を行うタイプのトロイの木馬についてはファイアウォール、プロキシサーバなどのログや、専用のログ収集機器を用いて収集したログを分析することによってその存在を突き止め、対処するのも有効である。
なお、MITBへの有効な対策として、トランザクション署名がある。トランザクション署名とは、送金時にトークン(携帯認証装置)を用いて署名情報を生成し、口座番号、金額とともに送信することで、取引内容が通信途中で改竄されていないことを検証する技術である。
トロイの木馬が発見されたシステムについては、他のプログラムにも同様の改変が行われている可能性があるため、ハードディスクを初期化し、クリーンインストールを行なってシステムを再構築するのが望ましい。
2.9.5 悪意のあるモバイルコード
モバイルコードとはJavaアブレット、ActiveXコントロール、javascriptのようにWebブラウジングによってサーバからクライアントに動的にダウンロードして実行されるプログラムやスクリプトなどの総称であり、本来Webコンテンツの表現力や機能を高める目的使用される。
しかし、OSやアプリケーションプログラムの脆弱性をついたり、機能を悪用したりするなどクライアントPC上で不正な振る舞いをするものもあり、これらを「悪意ある」モバイルコードと読んでいる。2.8.2項のXSSの脆弱性をついてクッキーを盗み出すスクリプトなどものその一種である。
● 悪意のあるモバイルコードへの対策
ブラウザの設定やパーソナルファイアウォールによるクライアント上での対策のほかIPS・URLフィルタリングツールなどで遮断する。
2.9.6 スパイウェア
スパイウェアとは、一般ユーザのPC上で動作し、本人の知らない間に趣味や嗜好、個人情報などを取集し、印田ネット上で特定のサイトに送るプログラムである。外国製のフリーウェアやアドウェア(広告を表示する代わりに無料で使えるツール)、シェアウェアなどに多く含まれている。また、プラグインソフトとしてインストールされるものもある。
スパイウェアの多くは、ウイルスのように他のコンピュータに感染したり、データを破損するというような派手な振る舞いをすることはなく、ひたすた個人情報を収集し続ける。最近ではキーロガーとして動作し、ユーザーが入力したパスワードやクレジットカード番号などを盗み出すタイプのスパイウェアが出現し、社会問題となっている。
● スパイウェアへの対策
- パターンマッチング型、振る舞い検知型のAVツールで駆除する
- URLフィルタリングツールやWeb検査型のACツールを導入し、不審なWebサイトへのアクセスや不正ふなファイルのダウンロードを防ぐ
2.9.7 ボット
ボット(bot)とはワームの一種で、コンピュータに感染するだけではなく、攻撃者によって遠隔地から操作ができ、機能雨拡張なども行うように作られた悪質なプログラムである。その振る舞いがロボットに似ていることから「Robot」の「bot」をとってボットと呼ばれている。一部のソースコードが公開されているため、模倣した変種や新種が続々に誕生している。
● ボットへの感染方法
ボットは、無謀な状態でインターネットにブロードバンド接続している一般家庭のPCに感染するケースが多い。次のような感染方法がある。
- ウイルス付きのメールの添付ファイルの実行による感染
- 不正な(ウイルスの埋め込まれた)Webページの参照による感染
- メールで示されたリンクのクリックにより不正なサイトに導かれて感染
- ネットワークを通じた不正アクセスによる感染(ネットワーク感染型ワームと同様)
- 他のウイルスに感染した際に設定されるバックドアを通じてネットワークから感染
- ファイル交換(P2P)ソフトの利用による感染
- IM(インスタントメッセンジャ)サービスの利用による感染
ボットは利用者に気づかれないように次のような手法を用いる。
- hostsファイルに主なAVソフトベンダやソフトウェアベンダのURLの偽の名前解決情報(全て127.0.0.1(localhost)に名前解決するなど)を登録しmアクセスを妨害する
- AVソフトを停止する
- システム本来のプロセスと区別がつきにくい名称を使って発見されにくくする
● ボット感染後の動作
ボットに感染すると、ネットワークを通じてみずらの外部のC&Cサーバにアクセスし、指示を受けて次のような活動を行う。ボットのコントロールにはIRC(Internet Relay Chat)などが使われる。
- スパムメールの送信
- Dos攻撃
- 感染対象となる脆弱なコンピュータの調査
- 他のコンピュータへのネットワークを通じた感染
- 自分自身をバージョンアップ(機能追加など)
- 感染したコンプtー亜内でのスパイ活動(スパイウェアと同様)
同一の指令サーバの配下にある無数(数千〜数万台に及ぶ場合もある)のボットは、指令サーバから一斉にコントロールできる巨大なネットワークを形成する。これをボットネットワークあるいはボットネットと呼ぶ。ボットネットはスパムメールの大量配信やDDoS攻撃などに悪用されており、インターネットの正常な利用を阻害する大きな脅威となっている。
ボットネットの脅威 |
---|
● ボットへの対策
ボットへの対策はウイルスやワームへの対策と同様である。したがって、2.9.2項のマルウェア対策と同様であるが、特に次のような基本的な対策を確実に行う必要がある。
通信経路上での対策
- ファイアウォールを用いてIRC、IM、P2Pなど、不要なサービスやポートへのアクセスを遮断する
クライアント環境での対策
- IRCやIM、P2Pなど、業務に無関係なソフトウェアの使用を禁止する
- OSのファイアウォール機能や市販のパーソナルファイアウォールで不正な接続を拒否する
2.9.8 ランサムウェア
ランサムウェアとは、感染したコンピュータのファイルやハードディスクを勝手に暗号化するなどして正常に利用できない状態にした後、それを解除するための身代金の支払いを要求するタイプのマルウェアである。近年国内でも被害が急増しており、IPAなどが注意喚起している。ランサムウェアとは身代金の意味で、被害を受けると仮想コインであるビットコインで支払うよう要求されるケースが多い。
● ランサムウェアによる攻撃・感染の仕組み
ランサムウェアの典型的な攻撃・感染の仕組みを次に示す。
①請求書などに偽装したランサムウェアを添付した不審なメールが送られてくる その他、メール本文のリンクをクリックさせて不正なWebサイトに誘導して感染させるケース、Webサイトに不正な広告を表示もしくはクリックさせることによって感染させるケース、OSやミドルウェアの脆弱性を攻撃して感染させるケースなどがある。
②メール受信者が不用意に添付ファイルを開くことで感染する この時、実行されたランサムウェアは最初にインターネットのC&Cサーバなどと通信し、暗号化に使用する鍵をダウンロードする。
③感染したPCのファイルが次々に暗号化され、暗号化されたファイルの拡張子を特定の文字列(vvv、lockyなど)に変更する
④暗号化が完了すると、PCの画面上にポップアップ表示、あるいはPCの壁紙を変更するなどして、全てのファイルを暗号化したこととそれを解除するための身代金の支払い方法などを表示する。
ランサムウェア感染による影響
- 感染したPC内に保存されているファイルだけではなく、感染したPCからアクセス可能な共有サーバ上のファイルなども全て暗号化してしまう可能性があるため、業務が正常に行えなくなる。
- ファイルのバックアップを取っていたとしてもそのバックアプファイルが感染したPCからアクセス可能な場所(ネットワークドライブ、USB接続した外部記憶媒体など)にあれば、同様に被害を受け、ファイルが復元できなくなる可能性がある。
- 要求に従って金銭を支払ったとしても元に戻せる保証なく、むしろ攻撃者に資金提供し、より攻撃を増加させることにつながる。
攻撃が活性化している背景
- アンダーグランドのブラックマーケットで商品として販売され、作成者によって機能追加なども行われているランサムウェアが存在する
- 感染被害者に表示される支払いページがアフェリエイトにより攻撃者に収益が分配される仕組み(ビジネスモデル)が確立しており、攻撃者が手っ取り早く収入を得ることができる
● ランサムウェアへの対策
ランサムウェアに感染しないための対策は2.9.3項のマルウェアへの対策と同様であるが、それに加えて、感染したとしてもファイルが復元できるy硫黄に下記のような対策を施しておくことが重要である。
- PCやサーバに保存されたファイルを定期的(できるだけ頻繁に)バックアップする
- バックアプしたファイルはPCやサーバからアクセス可能な場所に置かない(同時被害を避ける)
- バックアップから正常に復元できるかどうかを事前に確認しておく
なお、前述のように、ファイルが復元d型ない場合であっても安易に攻撃者に金銭を支払ってはならない。ランサムウェアの種類によってはセキュリティベンダなどから既に復元方法が公開、あるいは復元ツールの提供がされている場合がある。従って、そうした情報を収集するとともに、セキュリティ関連機関、ベンダなどに相談すべきである。
2.9.9 ドロッパ
● ドロッパの特徴
ドロッパとは、内部に不正なプログラムを内包しており、コンピュターに侵入した後に不正プログラムを投下(ドロップ)して活動するタイプのマルウェアである。格納されている不正プログラムには暗号化や難読化、パッキングなどが施されており、容易に不正プログラムとして検出されないようになっている。
マルウェアによる典型的な攻撃手口は、まずドロッパを送り込み、侵入に成功した後、インターネット上のC&Cサーバにコールバックして通信を確立後、目的を達成するためのマルウェア本体を送り込む、というものである。
また感染したコンピュータからインターネット上の悪意のあるWebサイトに接続し、別のマルウェアをダウンロードして被害を拡大させるタイプのマルウェアをダウンローダと呼び、その手法をドライブバイダウンロード(drive-by-download)と呼ぶ。
なお、前述のように、ドロッパはパッカー(Packer)によるパッキングが施されていることが多い。パッカーとは、本来の実行ファイル(マルウェア)を回答と同時に実行できる形式で圧縮したものであり、多くの種類がある。元々はデータ量の削減を目的とした圧縮ツールだが、圧縮対象とするファイルの構造を大きく変化させるため、難読かの手法の1つとして悪用されている。
● ドロッパへの対策
ドロッパへの対策は2.9.3項のマルウェアへの対策と同様である。既知のマルウェア大技術で検出されにくくするために、難読化を施すだけではなく、デバッガ検知機能、サンドボックス/仮想環境検知機能なども備えているため、一般的なマルウェア対策ツールなどで発見したり、その挙動を分析したりするのは容易ではない。そのため、タイン部からインターネットへの通信や、各エンドポイント環境で起動するプロセスなどを監視することも重要である。
2.9.10 Gumblar
Gumblarとは、特定のマルウェアの呼称ではなく、Webサイトの改竄、改竄されたWebサイトを閲覧したPCへの感染、完成たPCからFTPアカウントの取集、といったっこウイルスをしぼり返すことによって、連鎖的に感染を拡大させてく一連の攻撃手法である。
Gumblarによる攻撃・感染の仕組みを次に示す。
Gumblarによる攻撃・感染の仕組み |
---|
①攻撃によって改竄され、javaスクリプトによる不正なリクセウト命令が難読刺されて埋め込まれたWebコンテンツにユーザーがアクセスする
②リダイレクト命令が実行され、ユーザーがマルウェアを配布する攻撃者のサーバに誘導される。
③AdobeReader、FlashPlayer、InternetExplorerなどの脆弱性を悪用するなどマルウェアがダウンロード&実行された後、別な複数のマルウェアが次々にダウンロードされユーザーPCに感染する
④ユーザーPCに感染したマルウェアは、PC内に保存されているFTPのアカウント情報を探すとともに、PCの通信を監視し、同情報を盗もうとする
⑤マルウェアがFTPのアカウント情報を盗むことに成功すると、盗んだFTPアカウント情報をアカウント情報取集用の攻撃者サーバに送信する
⑥盗んだFTPアカウントでWebサーバにログインし、Webコンテンツに難読化されたjavascriptによる不正なリダイレクト命令を埋め込む
⑦他のPCが⑥で改竄されたWebコンテンツにアクセスする(②以降が繰り返される)
● Gumblarへの対策
Gumblarへの対策としては、クライアントPCなどエンドポイントで実施するもの、Webサイトで実施するもの、クライアントPCが接続するサイトのネットワーク環境で実施するものがある。
エンドポイントで実施する対策
エンドポイントで実施する対策は、一般的なウイルスやワームへの対策と同様に、下記を確実に行うことである。
- 全てのコンピュータにACツールをインストールし、ウイルス定義ファイルを毎日更新する
- OSや使用しているソフトウェアを最新のバージョンにするとともに最新のバッチを適用する
Webサイトでの実施する対策
Webサイトの管理者が行うべき対策として、下記がある。
- Webサーバに対するFTPアクセスを制限する
- Webコンテンツを定期的にチェックし、改竄を検知する
その他の対策
上記の千咲に加え、クライアントPCが接続しているネットワーク環境で実施すべき次の対策がある
- URLフィルタアンドを用いて不審なWebサイトへの接続をフィルタリングする
2.9.11 標的型攻撃
● 標的型攻撃の特徴
標的型攻撃とは、特定の組織や団体などをターゲットとして、その取引先や関係者、公的機関などを装ってマルウェアや不正なリンクが埋め込まれたメール(標的型攻撃メール)を送信することで相手を騙し、情報を盗もうとする手法である。
一般的に標的型攻撃メールには次のような特徴がある。
- 受信者の業務に関係がありそうな件名と本文
- 祖神社は公的機関、組織内の管理部門など(本文末尾に組織名や個人名を含む署名がある)
- 本文の内容に沿った添付ファイル名
- 会社情勢や動向を反映した内容(イベント、ニュース、注意喚起、報告書など)
- 文書ファイルなどを装ったマルウェアを添付(形式はzip(exe)、pdf、docxなど)
- 添付ファイルではなく不正なリンクを用いる場合もある
標的型攻撃メールは対象者の組織などを特定しており、その攻撃のために作成された新種のマルウェアや既知のマルウェアの亜種が用いられるケースが多い。そのため、パターンマッチング化型のAVソフトを導入していたとしても検知されず、マルウェアの侵入を防ぐのが困難である。また、攻撃者がターゲットとなる組織で使用しているAVソフトを事前に調査した上で、当該ソフトでは検知されないことが確実なマルウェアを使用する場合もある。
さらに、標的型攻撃の被害の発生する範囲が限定されているため、送り込まれた新種のマルウェアの情報がAVソフトの提供ベンダにまで伝わらず、ウイルス定義ファイルに登録さないという問題もある。
近年、特定の組織を標的として様々な既存攻撃を組み合わせ、長期間に渡って気づかれないように、功名に繰り返される執拗なサイバー攻撃によって組織の機密情報や個人情報を密かに盗み出されるというインシデンtおが発生し、大きな問題となっている。海外ではこのような好模様な攻撃の一部をAPT(Advanced Persistent Threats)などと呼んでいる。一方、独立行政法人 情報処理推進機構(IPA)では、このような攻撃を「新しいタイプの攻撃」と呼んでいる。
● 標的型攻撃などで使われるファイル偽装の手口
メール受信者に実行形式のファイルを開かせるために、あたかも別の形式のファイルである可能ように偽装する手口として次のようなものがある。
アイコンを偽装する
・実行形式でありながら、文書ファイルやテキストファイル、PDFのようなアイコンで表示する。
→実行機式のファイルは作成者がアイコンを自由にせってできるため注意が必要である
ファイル名を偽装する
・本来の拡張子の前に空白文字を並べることにより、あたかも別の拡張子であるかのように偽装する
例 議事録.docx .exe
・Unicodeの制御文字であるRLOにより、拡張子を偽装する。RLOとはファイル名の文字列の並びを右から左に向かって読むように変更する制御文字であり、通常はアラビア語などを表示する。
例 議事録.exe.docx ↓ 実際には 議事録[RLO]xcod.exe
こうした手口は標的型に限らず、受信者を騙してマルウェアを開かせるために使われる。騙されないようにするためには、次のようなてんに留意する必要がある。
- ファイルの拡張子を必ず表示するように設定しておく
- 可能であればファイルの送信者に直接内容を確認する
- ファイルのアイコンだけ判断せず、拡張子や属性(プロパティ)を確認する
- 添付ファイルを開く際は、直接クリックせずにいったん別の場所に保存して書く要請や属性を確認する
- 圧縮ファイルを解答する際は、解答ソフトのアイコンにドラックアンドドロップして開く
● やりとり型の標的型攻撃
やりとり型の標的型攻撃とは、最初に問い合わせなどを装った無害なメールを送った後で、回答者と何度かやろちりした後、マルウェア付きのメールを送りつけるという手口である。最初の問い合わせメールは、その内容を確認したり、返信したりせざる得ない外部向け窓口部門のアドレス宛に送られてくる。メールの受信者が問い合わせメールに返信すると、攻撃者は執拗かつ功名に辻褄のあった会話を続けながら、添付したマルウェアを開かせ、受信者のPCに感染させようと試みる。
● 水飲み場攻撃
水飲み場攻撃とは、攻撃者がターゲットとなる組織の社員/職員などが日頃頻繁に利用しているWebサイト(水飲み場)を改竄することで、同組織のPCをマルウェアに感染させる手口である。非常に雇用な誘導型の標的攻撃であり、標的型攻撃メールやフィッシング詐欺に対する知識や対応力があってもこの攻撃を免れることは困難である。
● ビジネスメール詐欺
ビジネスメール詐欺は取引先や上司を装った巧妙なメールのやり取りにより、企業などの担当者を騙し、攻撃者の口座へ不正に送金させる詐欺行為である。海外では以前から多くの被害事例が報告されていたが、禁煙国内においても逮捕者が出るなど、脅威が高まっている。
IPA発行の「ビジネスメール詐欺『BEC』に関する事例と注意喚起レポート」によれば、ビジネスメール詐欺は次に示すタイプに分類される。
- 取引先との請求書の偽装
例:取引のメールの最中に割り込み、偽の請求書を送る - 経営者などへのなりすまし
例:経営者を騙り、偽の振込先へ振り込ませる - 窃取メールアカウントの悪用
例:メールアカウントをのっとり、取引先に対して詐欺を行う - 社内の権威ある第三者へなりすまし
社長から指示を受けた弁護士といった人物になりすまし、振り込ませる - 詐欺の準備行為と思われる情報の窃取
例:経営層や人事部になりすまし、今後の詐欺に利用するため、社内の従業員情報を窃取する
攻撃者は、企業などの担当者を欺くため、本来のメルアドレスの一部の文字を入れ替える、追加・削除するなどした偽のメールアドレスを使用することが多い。このような攻撃は技術的な対策で防ぐことが難しいため、メール利用者が攻撃の手口を理解し、怪しさを見抜くことが重要である。
● サプライチェーン攻撃
サプライチェーン攻撃とは、標的とする企業の子会社や取引先企業などにサイバー攻撃を仕掛けて踏み台にし、その後本来の標的企業へサイバー攻撃を仕掛けるという手口である。
一般的に、本来の標的となりやすい企業(大企業など)に比べ子会社や小規模な取引先企業などのセキュリティ対策は遅れていることが多いまた、子会社と親会社間のアクセス制限などが十宇文に行われていない場合もある。そのためより脆弱なところから先に攻略し、その後本来の標的を狙うのである。
サプライチェーン攻撃によって取引先や子会社のメールを窃取して情報収集し、その後ビジネスメール詐欺に移行するケースもある。
また、企業がWebサイトで提供している正規のソフトウェアの更新プログラムが改竄され、その結果同ソフトウェアを使用している多くの企業にマルウェアがばらまかれたケースなどもあり、これもサプラチェーン攻撃の一種である。
● 標的型攻撃への対策
標的型攻撃への対策としては、人的対策を中心とした運用管理面での対策と、技術面での対策がある。
運用管理面での対策
標的型攻撃に対する従業員の意識やリテラシーの向上 標的型攻撃への運用管理面での対策としては、第一に従業員の意識やリテラシを向上させ、標的型メールへの体勢や対抗力を要請することである。
標的型攻撃の迅速な情報集約と対応指示ができる体制やルールの整備 標的型攻撃の疑いのあるメールを実際に従業員が受診した場合に、その事実を情報システム部門や危機管理部門などに集約し、注意喚起や対処方法の通達などが迅速かつ適切に行える体制やルールを整備することである。これにより標的型攻撃による被害を防止もしくは極小化できる可能性がある。
技術面での対策
入り口対策の実施 入り口対策は、前述の通り、マルウェアの侵入。初期感染を防ぐ対策でもあり、エンドポイントでの対策などが該当する。しかし、標的型攻撃では新種のマルウェアなどが用いられるケースが多いため、入り口対策が十分に効力を発揮できるとは限らない。
出口対策の実施 出口対策は、侵入・感染したマルウェアがコールバックしたり、感染を広げて情報流出を引き起こしたりするのを防ぐ対策である。仮想ブラウザ、仮想メールクライアントなどによってインターネット利用環境と機密情報/個人情報を扱う環境とを分離し、マルウェア感染による影響を極小化するのが有効な対策となる。分離することができない場合には、ネットワーク構成や設定、脅威の特定などを踏まえ、次のような対策を複合的に実施する必要がある。
クライアントPCからインターネットへの通信は全てプロキサーバ経由とする
- プロキシを返さないアウトバウンド通信をファイアウォールで遮断
- パーソナルファイアウォールでインターネットとの通信を許可するプログラムや、通信可能なアドレス・ポートなどを制限する
- ファイアウォールの遮断ログ分析によってマルウェアのば開くドア通信を発見し、感染端末を特定
- RATによる内部プロキシへの通信を検知し、遮断
- VLANなどにより、重要サーバが直接インターネットへの通信を行わないよう設計
- 認証サーバ(Active Directoryなど)自体、およびどうサーバを管理するセグメントの防護
- ファイアウォール、スイッチなど(L2/L3)によるネットワークセグメント間のアクセス制御
- ファイルサーバやルータのシステム負荷およびログ容量などの異常を監視
- その他不要な通信の排除
2.9.12 ファイルレス攻撃
● ファイルレス攻撃の手口
近年「ファイルレス攻撃」あるいは「ファイルレスマルウェア」などと呼ばれる攻撃が新たな脅威となっている。次のような手口が確認されている。
- メールに実行形式(exeなど)のマルウェア本体は添付せず、代わりに”.lnk”ファイルを添付し送りつける
- 受信者が".lnk"ファイルを実行すると、Windowsに標準装備されているPowerShellを悪用し、不正な命令を実行する。その後”.lnk”ファイルは自動的に削除される
- PowerShellによって外部のC&Cサーバなどから不正なプログラムをダウンロードし、実行する。
- 不正なプログラムは、ウイルス対策ソフトによる検知を困難にするため、ファイルとして保存されず、レジストリを更新することで自身を保存する。
- 攻撃者はその後もC&Cサーバを通じてPowerShellを悪用し、別なマルウェアをダウンロードさせたり、不正な命令を実行させたりする
PowerShellはWindowsが搭載されたシステムを効率的に官吏すつためのコマンドラインインターフェイスおよびスクリプト言語であり、コマンドやスクリプトによって当該システムを自在にコントロールすることが可能である。また、同様の手口として、Windows Management Instrumentation(WMI)が悪用される場合もある。WMIは、システムの全てのリソースに関する情報を収集したり、ファイルやレジストリを更新したりする機能を提供しており、PowerShellと同様にWindowsに標準装備されている。
● ファイルレス攻撃への対策
PowerShellについては、次のような設定を行うことにより、実行を制限したり、実行内容をログに記録したりすることが可能である。またWMIについても設定によって無効にすることが可能である。ただし、そうした設定を行うことにより、正当なシステム管理業務に支障をきたす可能性もある。
- Windows Remote Manager(WinRM)を無効に設定し、ネットワークを介してPowerShellが実行されるのを防ぐ
- PowerShellスクリプトファイル(.ps1)の実行ポリシをRestrictedに設定する
- AppLockerによるアプリケーション制御ポリ氏で”PowerShell.exe”の実行を禁止する
- PowerShellで十国したコマンドやスクリプトをイベントログに出力するように設定する
2.9.13 仮想通貨マイニングとクリプトジャッキング
仮想通貨とは、インターネット上で用いられるデジタル通貨の一種であり、中央銀行などの公的な発行主体や管理者が存在せず、取引所などを介して購入し、エンヤドルなどの通過と交換できる。仮想通貨は「ブロックチェーン」と呼ばれる技術によって実現されているブロックチェーンとはハッシュ関数の技術を用いて、取引記録を複数のコンピュータ間で相互に共有・検証しながら鎖のように連結していく仕組みである。
● 仮想通貨マイニング
仮想通貨マイニング(採掘)とは、取引所を介さずに仮想通貨を入手する方法であり、代表的な仮想通貨であるビットコインを例にすると、コンピュータで膨大な計算を繰り返して、ナンス(Number used once:一度だけ使われる数値)と呼ばれる32ビットの値を探し出すことである。
ナンスはハッシュ関数に代入した場合に、その結果がある値よりも小さくなる小おtが確認された値である。ナンスによってブロックチェーンに新たな部録を連結することが可能となり、発見者はその報酬として仮想通貨を獲得できる。
ナンスを探し出すのは容易ではなく、膨大な量の計算が必要となるため、近年、他人のコンピュータリソースを無断で使用する仮想通貨マイニングウェアなども爆発的に増加しており、新たな脅威となっている。
● クリプトジャッキング
クリプトジャッキングとは一行程度のスクリプト(javascript)をwebページに追加することで、当該Webサイト閲覧者のコンピュータリソースを使って仮想通貨マイニングを行うことである。
仮想通貨マイニングウェアやクリプトジャッキングはPCだけではなく、スマートフォンやラブレット端末などWeb閲覧機能を備えた様々な機器が対象となり、処理速度の低下やバッテリの急速な消耗などの影響が出る可能性がある。またクラウド環境のシステムがターゲットとなった場合にはEDoS攻撃となる可能性もある。
2.9.14 マルウェアを検出する手法
● ウイルス対策ソフトに実装されている主な検出方法
コンピュータウイルスやワームをはじめとするマルウェアを検出する手法には様々なものがある。
マルウェアの検出手法 |
---|
これらの中では、パターンマッチング法が代表的だが、この手法ではパターンファイルに登録されていないものは検出できないため、亜種が次々に作られるタイプやポリモーフィック型のウイルス、未知のウイルスなどを検出するのは困難である。
ポリモーフィック型ウイルスとは、感染するごとに小tなる暗号鍵を用いて自身を暗号化することによってコードを変化させ、パターンマッチング方式のAVソフトで検知されないようにするタイプのウイルス
既知のウイルスの亜種や、未知のウイルスなどの検出には、ユーリスティック法やビヘイビア法が有効である。これらの検出技術は近年研究うが盛んに行われており、最新のAVツールなどに実装されている。
また、上記のほか、不審なファイルなどを実環境から隔離された仮想環境上(サンドボックス)で実行し、その振る舞いからマルウェアを検出する製品もある。サンドボックスについては後日記載する。
● EDR(Endpoint Detection & Response)
近年普及しつつあるのがPCサーバなどのエンドポイント環境で発生している様々な事象を分析することによってマルウェアの侵入うやその後の振る舞いをなどを検知し、対処する技術である。これを実現するんがEDR製品であり、ここのエンドポイント環境でエージェントソフトウェアを常時動作させる。製品によっては、収集した情報を統合ログ管理システムなどの管理サーバに集約するものがある。
製品によっては異なるが、一例として、エンドポイント環境で発生している次のような事象を記録することでマルウェアの活動を検知することが可能となる。
- プロセス生成
- ファイル操作
- レジストリ更新
- ネットワーク接続 など
またEDR製品は脅威の発生を検知するだけではなく、管理サーバを通じてエージェントプログラムに指令を送ることによって、エンドポイント環境を防護する機能などもある。これも製品によって仕組みが異なるが、一例として、特定のエンドポイント環境における特定のプロセスを強制停止したり、脅威となっているプロセスを該当するエンドポイント上で一斉に強制停止したりすることも可能である。
EDR製品と結合ログ管理システムを組み合わせた運用イメージ |
---|
近年、PCなどに侵入したマルウェアが外部のC&Cサーバなどとやりとりをする際に、SSL/TLSを用いて通信愛用を秘匿化するケースが多くなってきている。マルウェアの通信が秘匿化されると、プロキシサーバ、IDS/IPS、サンドボックスなど通信経路上で不審な通信を検知・遮断するための対策が無効となってしまう可能性が高く、大きな脅威となっている。
この問題への対策法として、エンドポイント環境でマルウェアの活動を検知し、防護するEDRの必要性が高まっている。
● ダークネット
いわゆる「ダークネット」を流れるパケットを観測することにより、マルウェアの活動傾向を把握するシステムなども運用されている。ダークネットとは、インターネット上では到達可能であり、かつ特定のホストに割り当てられていない(未使用)IPアドレス空間のことである。通常ダークネットに対してパケットが流れることがないが、マルウェアが感染対象を捜査するパケットや、感染対象の脆弱性を攻撃するためのパケット、IPアドレスを詐称したDDoS攻撃を被っているホストからの応答パケットなどが流れる。ダークネット上にセンサを設置してそれらを観測することでマルウェアの存在やサイバー攻撃の被害状況などを把握することが可能となる。
確認問題1
ソーシャルエンジニアリング手法を利用した標的型攻撃メールの特徴はどれか
ア 件名に”未承諾広告”と記載されている。
イ 件名や本文に、受信者の業務に関係のあるそうな内容が記述されている。
ウ 支払う必要のない料金を振り込ませるために、債権回収会社などを装い無差別に送信される。
エ ニセホームページにアクセスさせるために、金融機関などを装い無差別に送信させる。
一般的に攻撃か型メールには次のような特徴がある。 - 受信者の業務に関係のありそうな件名と本文 - 送信者は公的機関、組織、管理部門など - 本文おないように沿った添付ファイル名 - 社会情勢や動向を反映した内容(ニュース、注意喚起、イベント、報告書など) - 文書ファイルなどを装ったマルウェアを添付 - 添付ファイルではなく不正なリンクを用いる場合もある したがってイが正解
確認問題2
APT(Advanced Persistent Threads)の説明はどれか
ア 攻撃者はDoS攻撃およびDDoS攻撃を繰り返し組み合わせて、長期期間渡って特定の組織の業務を妨害する。
イ 攻撃者は興味本位で場当たり的に、公開されている攻撃ツールや脆弱性検査ツールを悪用した攻撃を繰り返す。
ウ 攻撃者は特定の目的を持ち特定の組織を標的に複数の手法を組み合わせて気づかれないように執拗に攻撃を繰り返す。
エ 攻撃者は不特定多数へ感染を目的として、複数の攻撃方法を組み合わせたマルウェアを継続的ばらまく。
攻撃者が特定の目的を持ち特定の組織を標的として複数の既存攻撃を組み合わせ、気づかれないように功名に繰り返される必要なサイバー攻撃を海外ではAPTと呼んでいる。なお、独立行政法人情報処理推進機構ではこのような攻撃を「新しいタイプの攻撃」と呼んでいる。したがって「ウ」が正解
確認問題3
内部ネットワークのPCがダウンロード型マルウェアに感染したとき、そのマルウェアがインターネット経由で他のマルウェアをダウンロードすることを防ぐ方策として、最も有効なのはどれか
ア インtーネットから内部ネットワークに向けた要求パケットによる不正侵入後期をIPSで破棄する。
イ インターネット上の危険なWebサイトの情報を保持するURLフィルタを用いて、危険なウェウbサイトとの接続を遮断する。
ウ スパムメール対策サーバでインターネットからスパムメールを拒否する。
エ メールフィルタリングでインターネット上の他サイトへの不正な電子メールの発信を遮断する。
PCに感染したダウンロード型ウイルスは、インターネット上の悪意のあるWebサイトなどにアクセスし、他のウイルスをダウンロードする。これを防ぐ対策として有効なのは、URLフィルタを用いってインターネット上の不正なサイトへの接続を遮断することである。したがって「イ」が正解。
確認問題4
ウイルスの検出手法であるビヘイビア法の説明をしたものはどれか
ア あらかじめ特徴的なコードをパターンとして登録したウイルス定義ファイルを用いてウイルス検査対象と比較し、同じパターンであれば感染を検出する。
イ ウイルスに感染していないことを保証する情報をあらかじめ検査対象に付加しておき、検査時に不整合があれば感染を検出する。
ウ ウイルス感染が疑わしい検査対象を安全あ場所に冠されている原本と比較し、異なっていれば感染を検出する。
エ ウイルスの感染や発病によって生じるデータ書き込みの異常や通信量の異常増加などの変化を監視して感染を検出する。
ビヘイビア法は、ウイルスの実際の感染・発病動作を監視して検出するとともに、感染・発病動作によって起こる環境の様々な変化を監視することによってウイルスを検知する手法である。したがって「エ」が正解。 ア パターンマッチング法の説明である。
イ チェックサム法/インテグリティチェック法の説明である。
ウ コンベア法の説明である。
確認問題5
ポリモーフィック型ウイルスの説明として適切なものはどれか。
ア インターネットを介して、攻撃者がPCを遠隔操作する。
イ 感染ごとにウイルスのコードと異なる鍵で暗号化し、コード自身を変化させることによって同一パターンで検知されないようにする。
ウ 複数のOSで利用できるプログラム言語でウイルスを作成することによって、複数のOS上でウイルスを動作させる。
エ ルーキットを利用してウイルス感染していないように見せかけることによって、ウイルスを隠蔽する。
ポリモーフィック型ウイルスとは、感染するごとに小tなる暗号鍵を用いて自身を暗号化することによってコードを変化させ、パターンマッチング方式のAVソフトで検知されないようにするタイプのウイルスのことを指す。したがって「イ」が正解。
確認問題6
インターネットバンキングの利用時に被害をもたらすMITB攻撃に有効な対策はどれか。
ア インターネットバンキングでの送金時にWebブラウザでの利用者が入力した情報と、金融機関が受信した情報と差異がないことを検証できるように、トランザクション署名を利用する。
イ インターネットバンキングで送金時に接続するWebサイトの正統性を確認できるよう、EV SSLサーバ証明書を採用する。
ウ インターネットバンキングでのログイン証明において、一定時間ごとに自動的に新しいパスワードに変更されるワンタイムパスワードを用意する。
エ インターネットバンキング利用時の通信をSSLではなくTLSを利用して暗号化する。
MITB(Man-in-the-Browser)攻撃は、ブラウザの動作に介入し、インターネットバンキングの送金内容を勝手に書き換えて不正な送金を行う手法である。MITBへの有効な対策として、トランザクション署名がある。トランザクション署名とは送金時にトークン(携帯承認装置)を用いて署名情報を生成し、口座番号、金額とともに送信することで、取引内容が通信の途中で改竄されていないことを検証する技術である。したがって「ア」が正解。