「外はパリパリ、中はもちもち」というフレーズは、キャンディー、クッキー、あるいはタコスの宣伝でも企業に使用されています。このフレーズは、McAfee Labs 2014予測レポートに記されている一部の予測と特に関連性があります。
具体的に言うと、「パリパリ/もちもち」(つまり「外は硬く中はソフト」、ここでは「外壁はセキュリティが施され頑丈だが内部はセキュリティが施されていないため頑丈でない」いう意味で使用されています)モデルは、潜伏型攻撃に対するMcAfee Labsの見通しを論じた予測を分かりやすく表しています。2014年に大幅に増加すると考えられる潜伏型攻撃の1つのクラスは、高度な回避技法(AET)を基盤としています。AET攻撃では、犯人は攻撃転送メカニズムの設計および構築に、少なくとも攻撃自体またはペイロードの設計および構築と同じほどの時間を費やします。AETベース攻撃の目的は、標的ネットワークの境界防御を欺いて、外見的には関連性のない転送データセットに含まれているのが良性のデータであると信じ込ませることです。しかし実際には、悪質なウイルス、データを盗み出すトロイの木馬、あるいは標的デバイスの物理的な誤作動を引き起こすように設計されたプログラムが含まれています。
エンドポイントデバイスを標的とする潜伏型攻撃の2つ目のクラスは、ROP(Return-Oriented Programming)と呼ばれています。この攻撃では、エクスプロイトが既知の良性のアプリケーションの実行スタックに自身を挿入します。この攻撃はここから悪事を開始します。信頼されるアプリケーションに「隠されている」ため、このマルウェアはオペレーティングシステムにも大半のアプリケーション層のセキュリティ防御にも全く検知されずに動作できます。ペイロードは、発見しうる最も重要なデータを利用するために動作するまで、数週間から数ヶ月メモリに休眠状態で潜んでいることもあります。ROP攻撃については別途ブログで紹介することにして、今日はネットワークインフラストラクチャとセキュリティ対策を標的とするAETに焦点を当てます。
標準的なAETベースの攻撃では、ペイロードまたはエクスプロイトは侵入ロジックの「シェル」で覆われています。このシェルのおかげで、ファイアウォール、侵入検知システム、さらには最新の実行可能ファイルサンドボックステクノロジにも完全に「良性」に見えるのです。AETシェルは、企業ネットワークの頑丈な外壁を破壊するために特別に設計されています。ほとんどのセキュリティ対策は、この外壁に施されています。以前なら、あるネットワークが偵察攻撃の標的にされた場合、この攻撃はその特定のネットワークに侵入するためだけに設計されたものでした。
ネットワークを侵害するこのすべての取り組みが目指しているのは、すべての非常に貴重なもの(データとデバイス)が配置されている企業のソフトな「内部」に居座ることです。ネットワーク内に侵入すると、AETはできる限り検知を逃れるために自身の形跡を隠し続けます。一般的には、自身をメモリの隅にインストールした後、システムのストレージサブシステムの自身の形跡を削除する自己消去型マルウェアなどの技法が使用されています。
サイバー犯罪者の視点で見ると、AETのアプローチにはいくつかの明らかなメリットがあります。まず、侵入テクノロジに投資することで、成功を収めるエクスプロイトを開発できる可能性が飛躍的に高まります。McAfee Labsは、2013年12月の時点で450を超える異なる回避技法を特定しています。
AETのアプローチがもたらす2つ目のメリットは、個々の回避技法を組み合わせることで、現在の検知技法では検知できないまったく新しい回避技法を生み出せる可能性があることです。個別の回避技法を自由に組み合わせることはできませんが、標的ネットワークとその防御方法を熟知していれば、犯人は標的の防御を崩すことを目的とする、回避技法を組み合わせた新しい“包装(された脅威)”を作成できるでしょう。
また、AETのアプローチでは、犯人はエクスプロイトのペイロードに費やす費用を削減できます。一度侵入に成功しさえすれば、未保護のシステムやパッチが適用されていないシステムは以前のエクスプロイトで十分に悪用できるからです。もちろん、皆さんのネットワークにはパッチが適用されていないシステムはないですよね。それともありますか? メンテナンス期間中にしかパッチを適用できない、あるいは旧式であるためにパッチをまったく適用できないオペレーティングシステムを実行している産業制御システムはどうなるでしょうか?
McAfee Labsが予測する潜伏型攻撃の襲来に直面したとき、経験豊富で信頼できるセキュリティ担当者はどのような行動に出ると思いますか?
まず、このような高度な攻撃の犯人のように考えることから始めます。自社のネットワークをハッキングするとしたら、あなたならどこから攻撃しますか?現在のセキュリティ体制で3~4箇所の既知の弱点を特定できるなら、悪質な人物たちも同じように特定できるはずです。新しい脆弱性や攻撃対象を特定するための「攻撃役チーム」ドリルを定期的に実施していない場合は、今すぐ始めてください。
次に、インフラストラクチャの保護とデータの保護は、異なるセキュリティポリシー、手順、テクノロジが必要な別々の活動になる場合があることを認識してください。たとえば、企業の中核の知的財産の保護に使用するポリシー、活動、テクノロジには、最先端の暗号化と組み合わせた非常に強力なアクセスおよび認証が関係する場合があります。一方、製造工場のスマートデバイスの保護には、非常に厳格なアプリケーション制御と、企業ネットワークの他の部分とは「エアーギャップ」された独立した内部ネットワークが必要になることがあります。
最後に、AETベースの攻撃を特定して隔離するために特別に設計されたマカフィー製品を紹介します。
- McAfee Next Generation Firewallは、回避防止セキュリティとエンタープライズクラスの可用性機能、そしてセキュリティ体制の進化に合わせて機能を追加できるモジュール型セキュリティエンジンを組み合わせた唯一の次世代ファイアウォールソリューションです。
- McAfee Network Security Platformは、侵入を試みる潜伏型攻撃を特定するために、1秒あたり60ギガバイトのデータトラフィックをスキャニングできます。
- McAfee Advanced Threat Defenseは、境界防御を突破するマルウェアを捕獲、分解、分析し、企業ネットワークの「ソフトな(セキュリティが施されていない)」内部を標的とするマルウェアを特定します。
(AETの詳細については、自動回避テストツールMcAfee Evader(英語ページ)をダウンロードし、Evaderを使用してSANSが実施したことに関するレポート(英語ページ)をお読みください)。
関連情報
- ネットワーク不正侵入対策システム(IPS)McAfee Network Security Platform
※本ページの内容はMcAfee Blogの抄訳です。
原文:Stealth Attacks: Why Hackers Love Networks That Are ‘Crunchy on the Outside and Chewy on the Inside’
