マカフィーは、過去5年間に渡って、世界の70以上の企業、政府機関および非営利団体を標的にした不正侵入攻撃「Operation Shady RAT」について、攻撃手法と動機の分析を行った、「Operation Shady RATの全貌 ~世界の70以上の企業、政府機関、非営利団体に対する標的型不正侵入の過去5年間の調査結果~」レポートを発表しました。これらの標的型攻撃では、リモート・アクセス・ツール(remote access tool: RAT)やスピアフィッシングといった、既知の攻撃要素が組み合わされて使用されていました。今回は、この種の攻撃を緩和し、組織を守るためのフレームワークについて紹介します。
まず認識いただきたいことは、組み込むだけでスピアフィッシングを停止させ、機密データを保護し、マルウェアを阻止することが可能な、単独の製品は存在しないということです。Operation Shady RATのような、高度な標的型攻撃から組織を守るためには、エンドポイント、ネットワーク、データセキュリティおよびセキュリティ管理といった分野で、接続フレームワークにおいて使用できるソリューションを組み合わせることによって、相互に補強し合い、リスクを軽減し、ROIを改善し、インシデントの検出、予防、応答の効率を高める必要があります。
以下に、標的型攻撃を防ぐ際に必要と思われるセキュリティを分野ごとに紹介します。
エンドポイント
エンドポイント制御は、最も直感的で、一般によく知られているソリューションです。エンドポイントセキュリティでは、ブラックリスティングやダイナミックホワイトリスティングといった技術を組み合わせることで、既知および未知のマルウェアを阻止し、さらにはそのインストールを禁止することもできます。ホワイトリスティングでは、明確に許可されていないソフトウェアのインストールを禁止することができるので、未知の脅威に対しても有効です。また、悪意あるプログラムを間違えてダウンロードした場合も、それらを検出して阻止することが可能です。多くのエンドポイント制御は、TCP/IPスタックやシステム内部を行き来するネットワーク活動を監視し、その情報を相関させて、C&C(コマンド & コントロール)サーバーが存在することを示す、不正なシステム活動やネットワーク活動がないか判定することができます。
Shady RAT対策でエンドポイントセキュリティはなぜ重要なのでしょうか。エンドポイントは基本中の基本です。攻撃ベクトル、被害者、盗まれるデータの種類を問わず、Shady RATの最初の目標は、エンドポイントに不正侵入することなのです。1台のエンドポイントがハッキングされると、それを利用してネットワーク上の他のエンドポイントもハッキングされます。エンドポイントセキュリティをしっかりと適用することにより、エンドポイントにおける脆弱性の悪用やマルウェアのインストールを防ぐだけでなく、不正侵入されるシステム数も軽減することができます。
ネットワーク
標的型攻撃はときにAPT攻撃とも呼ばれますが、これに対処するための特有のアルゴリズムがいくつかあり、ファイアウォールとIPS(不正侵入防止)ソリューションの両方で利用することができます。これらのアルゴリズムは、インバウンドとアウトバウンドの活動に基づいて攻撃の兆候を検出するものです。さらに、メールやウェブ経由で発生する一般的なセキュリティ侵害に対しても、プロアクティブなスキャンを利用した専用のマルウェア対策エンジンによって、難読化されたコードをブロックすることが可能です。高度なマルウェアの多くは、難読化が施された状態でメールやウェブといったルートを通過します。
ネットワークセキュリティは、RAT活動などの悪意ある振る舞いを検出するだけでなく、C&Cチャンネルに多い、トラフィックの難読化を解除して、解析を可能にする目的でも使用可能です。また、これらのソリューションを脅威インテリジェンス情報で強化すると、脅威がネットワークに到達する前にその存在を検知できるため、フィルタリングやリダイレクトなどを使用してセキュリティリスクを緩和することができます。更には、悪意あるビットの処理で手一杯になっていたアセットを解放し、ネットワークやシステムの性能にプラスの効果をもたらします。
Shady RAT対策で、ネットワークセキュリティはなぜ重要なのでしょうか。そもそも、Shady RATがどのようにしてエンドポイントに到達するのかというと、インターネットや内部ネットワークを通ってやってきます。従って、多層化された、脅威インテリジェンス情報で強化されたネットワークセキュリティを配備することによって、攻撃がエンドポイントに到達する前に緩和することが可能になります。Shady RATは、ソーシャルエンジニアリングを好んで利用するため、IPSやファイアウォールに加えて、悪意あるコードを検出およびフィルタリングすることができる、メールセキュリティやウェブセキュリティが必要です。
データセキュリティ
Shady RAT対策として、エンドポイントセキュリティとネットワークセキュリティは必要ですが、同時に、攻撃の対象であるデータに焦点を絞ったセキュリティが必要です。そして、機密データの漏えいを防止し、犯罪立証に必要な情報を取得するための最善の方法は、DLPが不可欠です。DLPには、暗号化ソリューションとDAM (データベースアクティビティ監査)のような、データベースの構造化データを保護するソリューションが必要です。DAMは、一部のネットワークセキュリティが見逃しがちな、データベースを主たるターゲットにした攻撃への対策として有用です。DAMは、ホスト型DLPやネットワーク型DLPとともに用いることにより、保存データ、移行中のデータおよび使用中のデータを相乗的に保護することができます。
Shady RAT対策で、データセキュリティはなぜ重要なのでしょうか。理由は非常に単純で、データこそがShady RATが狙っている対象だからです。エンドポイントが侵害され、Shady RATが様々なネットワークセキュリティを回避したとしても、DLPによって実現されるデータセキュリティによって機密データを暗号化し、機密データがネットワークや格納されているホストから外に出ることを拒絶することによって、データの不正使用を防ぎます。
セキュリティ管理
エンドポイントセキュリティ、ネットワークセキュリティおよびデータセキュリティによって、強力なリスク緩和が実現されるとしても、それぞれのセキュリティが個別に存在するのであれば、余り有効ではありません。各分野のセキュリティが能力を発揮するためには、複数の製品、サービス、パートナーシップを統合して、一元化された効率的かつ効果的なフレームワークが必要です。単独のソリューションではShady RATのような攻撃に対処できませんが、その対策を可能にするフレームワークは存在します。
効果的な セキュリティフレームワークには、既知の悪質なIP、URL、メール、ファイルなどを特定し、組織のシステムに侵入する前に阻止できるようにする、レピュテーション情報が不可欠です。また、システムやデータといったアセットのディスカバリー、自環境の脆弱性の把握、導入済みの対策の理解、すべてのセキュリティ制御にわたって管理、分析、応答および報告を中央でコントロールするための一元化されたコンソールが必要です。
まとめ
エンドポイント、ネットワーク、データを対象とした各ソリューションは、この中央一元化されたフレームワークによって強化されるため、インシデントが発生した場合にも、個別にセキュリティが配備された場合と比較して、より迅速かつ簡単にインシデントを特定して対処することができます。また、総合的な事後分析とレポーティングによって対処するべき弱点を見つけ出し、将来の攻撃を阻止することも可能です。
中央一元化されたフレームワークによって、Shady RATによる不正侵入を許してしまう可能性のあるアセットを特定することができます。エンドポイント、ネットワーク、データにまたがるセキュリティを、1か所のコンソールから管理することにより、多重構造のセキュリティが実現されます。ソリューションは、レピュテーション情報やマルウェアデータなどの脅威インテリジェンスによって強化されるため、各分野のセキュリティはより効果的にShady RATの活動を抑制し、組織内で拡散することを防ぎます。脅威インテリジェンスは、世界中に配備された何百万ものセンサーや数百人もの専任研究者の能力により、常に変化する脅威の現状をリアルタイムに把握することを可能にします。脅威インテリジェンスは、各分野のセキュリティから実用的な情報を提供し、Shady Ratや同種の攻撃に対するプロアクティブな保護を実現します。
レポートについて
「Operation Shady RATの全貌 ~世界の70以上の企業、政府機関、非営利団体に対する標的型不正侵入の過去5年間の調査結果~」は、こちらからダウンロードできます。
http://www.mcafee.com/japan/security/rp_OperationShadyRAT.asp
関連記事
- [2011/08/09] 世界14カ国、72組織をターゲットにしたOperation Shady RAT
※本ページの内容はMcAfee Blogの抄訳です。
原文:Building a Better Shady RAT Trap: Security Connected Framework