Comments
Description
Transcript
サイバー攻撃の最前線 - ITU-AJ
スポットライト サイバー攻撃の最前線 情報通信研究機構 ネットワークセキュリティ研究所 研究主管 KDDI株式会社 情報セキュリティフェロー なか お こう じ 中尾 康二 概要 本稿では、最近のサイバー攻撃事例として、ボットに代表 されるマルウェア攻撃、高度な攻撃スキルを用いてターゲッ ボットとは 指令者からの遠隔操作により多岐にわたる活動を行うマルウェア ボットネットと呼ばれるオーバレイネットワークを形成(数百∼1千万台 規模) 初期のボット (Sdbot、Agobot、Rbotなど) は感染形態としてはワーム 指令者は膨大な数のボットを一斉遠隔操作可能 トを限定して情報窃取を行うAPT攻撃などについて概観す 攻撃者からの命令コマンド(C&C) る。これらのサイバー攻撃に対抗するための対策として、主 に総務省プロジェクトに関連するサイバー攻撃対策活動を紹 介する。さらに、NICT(情報通信研究機構)におけるサイ 例:スキャン開始、 DoS攻撃開始、スパム送信 指令者 (ハーダ) 感染拡大 DDoS攻撃 スパム送信etc. 指令サーバ バー攻撃対策の研究内容について解説する。なお、本稿は、 2013年11月25日に開催されたITU研究会で著者が講演した 「サイバー攻撃の最前線」の要約である。 ボットネット 図1.ボットネットの概要 1.最近のセキュリティ脅威(攻撃)の紹介 多くの組織や個人にとって、セキュリティ上の脅威は多く それを「ボットネット」と呼んでいる。規模の大きなボット の事象を含んでいる。例えば、会社パソコンの自宅利用によ ネットの場合は、数万規模のボット感染PCによってそのネッ る情報漏えい、パソコンの盗難による情報漏えいなど、単純 トワークが構成されている。 にサイバー攻撃と直結しないセキュリティ事故・事件も多発 ここ数年の間、ボットネットには悪のビジネス環境が出来 している。本稿では、これらのセキュリティ脅威(=サイバ 上がりつつある。それは、マルウェアとしてのボットを作成 ー攻撃)の中で、特に技術的に注目すべき、 「マルウェア」 するもの、ボットネットを保有するもの、ボットを利用する に起因するものを取り上げる。 (借りる)もの等といったボットネットに関連する役割分担が 明確になったことである。具体的な例としては、ボットネッ 1.1 これまでの脅威(ボットネット中心) 総称的に使用される「マルウェア(広義にウイルスと言う こともある) 」には、ファイルやプログラムに寄生する「ウイ トを保有するものが、それを時間貸しすることにより、その 利用者に有料でDoS攻撃サービス(1日3000円程度)を提供 する(ブラックマーケットにおいて)などである。 ルス(狭義) 」 、他への感染を多く実行する「ワーム」 、及び さらに、ボットネットによる実際の活動を観察することも 指令サーバを介して遠隔的な攻撃命令により動作する「ボッ 可能となる。情報通信研究機構(以下、NICT)では、21万 ト」が主に存在する。しかし、マルウェアもその用途によっ のダークネットアドレス空間を用いて、ボットが打ってくる ては、PC/サーバの情報を抜き取る「スパイウェア」 、広告と スキャン攻撃を実時間に観察している。ここで「ダークネッ 関係して悪事を働く「アドウェア」 、利用者を脅して身代金 トアドレス」とは、組織の中でアドレスの割当てはされてい を搾取する「ランサムウェア」 、さらに利用者に虚偽の情報 るが未使用のアドレスのことを指す。図2にあるように、多く を与える「スケアウェア」などに分類できる。 の国に存在するマルウェア(特にボット)からの大量なスキ 特に、2004年頃から大きな脅威として認識されているの ャンが観察できる。なお、スキャンを示す「ロケット」の色 が、 「ボット」である。ボットは遠隔に存在する指令サーバ は、TCP/UDP/ICMPなどのプロトコル種別を指している。 (C&Cサーバ)により攻撃命令を受け、その命令に従ってそ このことで、ボットネットは今も健在で、多くの攻撃に加担 のボットに感染しているPCが攻撃(スパム、DoSなど)を行 うことを特徴としている。図1に示すように、ボットに感染し ているPC群は、同じボットとしてネットワーク化しており、 20 ITUジャーナル Vol. 44 No. 3(2014, 3) する潜在能力を秘めていると言えよう。 上記のようなボットの感染の仕方には幾つかの方法があ る。図2で観察されたものは、遠隔からネットワークを介して を呼び掛けている。 具体的な本マルウェアの攻撃方法については、図3に示す とおりである。本マルウェアに感染した利用者が、通常と同 じ方法で銀行のインターネットバンキングサイトにアクセス を行うものの、本マルウェアがその情報のやり取りの途中に 入り込み、不正なポップアップを出すことにより、利用者を だます手口である。この特徴から、本マルウェアは「マンイ ンザブラウザー攻撃」とも言われる。2013年の本マルウェア に関連する被害は世界的に見ても膨大となっており、継続的 な注意啓発、及びマルウェア駆除の対策が必要とされる。 1.3 APTによる脅威(重要インフラへの脅威と関連して) 図2.ダークネットによるボットのスキャン攻撃の観察(NICT) 上述したセキュリティ脅威に加え、最近最も注目されてい 感染してくるもので、一番初めの攻撃挙動として「スキャン」 るものが「APTによる攻撃(脅威) 」である。APTによる攻 を捉えたものである。そのほかに、利用者が悪性のWebサイ 撃には多くの定義があるが、一般的に「特定の相手に狙いを トを閲覧することにより、マルウェアに感染する場合、また、 定め、その相手に適合した方法・手段を適宜用いて侵入・ メール本文のURLやメール添付を閲覧することにより感染す 潜伏し、数か月から数年にわたって継続するサイバー攻撃の る場合など様々である。特に、後述するAPTによる攻撃はメ こと」と考えられている。ボットなどの通常の攻撃と比較す ールを用いた攻撃である場合が多い。 ると、スパイ行為が主目的、攻撃拠点は組織の内部、攻撃 ツールが変幻自在(手動も含む) 、攻撃痕跡の消去などが特 1.2 不正ポップアップマルウェア 徴であり、これまで日本においても三菱重工業、衆議院、参 2012年にセキュリティ脅威として、日本においても注目さ れた攻撃にインターネットバンキングを攻撃対象とした「不 議院など多くのAPTに関連するセキュリティ事故・事件が確 認されている。 正ポップアップマルウェア」がある。利用者に対して、銀行 さらに、本攻撃タイプは、重要インフラへの攻撃にも活用 が提供する情報と錯覚するポップアップを表示することによ されるもので、具体的には、2013年3月に発生した韓国での銀 り、不正に利用者のアカウントなどの情報を搾取するもので 行・放送局へのサイバー攻撃が記憶に新しい。韓国における ある。図3(図中の右上)にあるように、多くの銀行は、本 攻撃分析によると、幾つかのソフトウェアアップデート用のサ マルウェアの脅威に対し、利用者への啓蒙活動を行い、注意 ーバへの侵入、及びマルウェアの混入が確認されており、そこ 不正ポップアップマルウェアとは ① マルウェア感染PCが正規サイトにアクセス ② 正規コンテンツにマルウェアが不正なHTMLを追記 ③ ユーザの画面上に不正なポップアップが表示される ④ ユーザが入力を完了すると外部サーバに情報送付 銀行による注意喚起例 出典:三菱東京UFJ銀行 ③ Pop-up Window ① Online Banking Server 出典:三井住友銀行 ② ④ Malicious HTML (red parts) User PC Malicious Server 出典:セキュアブレイン「インターネットバンキング利用者を狙ったマルウェアの挙動を解析」2012-11-08 図3.不正ポップアップマルウェアとは ITUジャーナル Vol. 44 No. 3(2014, 3) 21 スポットライト から銀行、放送局などの関連サーバへマルウェアが配信され、 4は、ITU-Tで規格化された仕組みを説明する(英語)もの 起動されたものである。利用されたマルウェアは、重要イン である。 フラ攻撃で既に中東諸国で利用された「W32.Disttrack CCCプロジェクトは、その成果が多くの国に評価され、欧 (Shamoon) 」と酷似しており、北朝鮮の改変履歴が確認さ 州ISP団体(ECO) 、台湾、韓国、豪州にてほぼそのままの れている。本マルウェアのため、韓国では幾つかの大手銀行 形で採用されており、それらの活動は継続されている。 と放送局がサイバー攻撃を受け、サイトの停止、オンライン 口座の利用不可などの障害があった。 (2)PRACTICEプロジェクト(2011年∼2015年) PRACTICEは、 「国際連携によるサイバー攻撃の予知技術 の研究開発」と命名された総務省プロジェクトである。主な 2.脅威に対抗するための対策の動向 目的としては、サイバー攻撃(マルウェアの感染活動、DDoS 第1章において、ボット、不正ポップアップ、APTなどの 攻撃等)に関する情報収集ネットワーク及び連携体制を国 マルウェアに起因する最近の攻撃を概観したが、本章では、 際的に構築し、ISP、大学等と協力して、サイバー攻撃に対 概観したセキュリティ脅威にどのように対抗しているのかと 抗するための研究開発を実施し、日本におけるサイバー攻撃 いった対策の動向について触れる。 等から受けるリスクを軽減することにある。国際的なサイバ ー攻撃への速やかな対処を行うためには、その脅威を正確か 2.1 ボットネット対策 つ速やかに察知することが必要不可欠であり、本プロジェク トでは、国際連携により各地のサイバー攻撃情報(スキャン (1)サイバークリーンセンタ(CCC)プロジェクト 2006年∼2010年にかけて、日本ではサイバークリーンセン やシェルコード等の攻撃パケット情報、Web型も含めたマル タ(CCC)と呼ばれるプロジェクトが総務省、経済産業省の ウェア感染活動情報等)を収集し、それを実時間で分析す 連携プロジェクトとして生起した。本プロジェクトは、日本 ることにより、サイバー攻撃の脅威を速やかに把握する技術 に存在するボットに感染したPCを減らすこと(ボット駆除) 及び高度分析による将来のサイバー攻撃状況の推移を予測 を目標としていた。本プロジェクトによる施策は、日本にお する基盤技術の確立を目指すものである。 けるボット感染PC数を2.6%(2005年)から0.6%(2010年) 現在、本プロジェクトは、スキャン観測量やマルウェア捕 に削減したという成果が上がっており、その仕組みは、国際 獲量を用いたデータマイニング手法により、早期のマルウェ 標準化ITU-Tにおいて、標準文書の補遺として成立した。図 ア活動を検知すること、及び観測点において把握できるマル ISP ・・ ・・ (4)Requesting for identification of infected PCs (6)Sendinge-mail to alert the use of the infection and urge the removal of bots (5)Identifying infected PCs Cyber Clean Center Bot-infected PCs (Users of participating ISPs) !! ・ ・ Analysis Internet Honeypots (1)Infection activities (2)Detection of infection activities Capture of bot analysts (7)Accessing the countermeasures website (8)Downloading the bot bremoval tools Bot-infected PCs (General users) Accessing the disclosure website Countermeasures website Disclosure website ・・ (3)Preparation of bot removal tools Downloading the bot removal tools 図4.サイバークリーンセンタ(CCC)におけるボット駆除の仕組み 22 ITUジャーナル Vol. 44 No. 3(2014, 3) Analysts and related information ウェア挙動から、攻撃の早期検知に結びつく情報分析を進 APTによる攻撃は、スパイ活動の成果として組織から抜き取 めている段階である。 った情報を外部のサーバに転送することが必要となる。した がって、通常起こり得ない外部サーバへの情報転送を監視す るなどの対策も考えられている。この場合も、攻撃者はその (3)ACTIVEプロジェクト(2013年∼2017年) ACTIVEは、 「Advanced Cyber Threats response InitiatiVE」 ような通信を通常の通信に偽装したり、監視システムを迂回 と命名された総務省プロジェクトであり、2013年11月に開始 したりすることがなされるため、対策として一定の効果はあ されたものである。本プロジェクトの目的は、マルウェア感 るものの、完全なものとは言えない。 染の削減等により安心・安全なインターネットの実現を目指 現在、本APTによる攻撃の解析(具体的な手口の解明等) すことにあり、初年度は、a)ネットワーク感染型マルウェア やその対策の研究開発が進められているが、多くの手法は、 における感染ユーザの発見と駆除、b)Web感染型マルウェア 組織や企業の通常なシステム/ネットワークの状態(健康な の感染防止を主に実施する予定としている。図5にACTIVE 企業システムの状態)を的確に把握し、そこに異常性を検知 プロジェクトにおいて、初年度開始を目指している二つの施 した場合は、その原因究明やシステム/ネットワークの解析 策の概要を示す。具体的な成果に当たるデータを含めた内容 を行い、被害を極力抑える方法が最善策と考えられている (次章の研究の一部はこのために活用が可能である) 。 は、今後提供される予定である。 2.3 NICTの研究と今後 2.2 APTによる攻撃への対策 APTによる攻撃は、多種多様な攻撃ツールや手口により構 NICTでは、サイバー攻撃に対する技術的な対策の導出を 成され、さらに標的とされる組織も様々である。前述したよ 目的とした研究開発を進めており、主に、1)インシデント うに、国家機関、重要インフラ、国家プロジェクトに関係す 対策センター(NICTER) 、2)対サイバー攻撃アラートシス る大手企業などが主な標的となる。このような状況において、 テム(DAEDALUS) 、及び3)ネットワークリアルタイム可 なかなかAPTによる攻撃に対する有効な対策の導出ができて 視化システム(NIRVANA)の研究を進めている。 いないのが現状である。 APTによる攻撃は多くの場合、メールを介して初期挙動を (1)インシデント分析センター(NICTER) 行うマルウェアが組織に感染する。そのため、いかに不審な NICTでは、ネットワークインシデント対策センター メールのURLや添付を開かないかといった利用者に向けた訓 (NICTER:Network Incident analysis Center for Tactical 練を実施する企業も多い。しかしながら、組織の中で一人の Emergency Response)プロジェクトを立ち上げ、ネットワ 従業員がその不審なメールを開いた場合でも侵入されるた ークに悪影響を及ぼすインシデント(セキュリティ事故・事 め、十分な対策として効果的とは認識されていない。さらに、 件)の発生を早期に検出し、迅速かつ実効的な対策を導き マルウェア感染防止の取組 ②注意喚起 (利用者) マルウェア駆除の取組 ③注意喚起 (サイト管理者) ①検知 ①URL情報収集 ① マルウェア配布サイト等のURL情 報をリスト化 ② マルウェア配布サイト等にアクセス しようとする利用者に注意喚起 ③ マルウェア配布サイト等の管理者 に対しても適切な対策を執るように 注意喚起 ③駆除 ②注意喚起 ① マルウェアに感染した利用者のPCを 特定 ② 利用者に適切な対策を取るように注 意喚起 ③ 注意喚起の内容に従い、PCからマル ウェアを駆除 図5.ACTIVEプロジェクトにおける二つの施策概要 ITUジャーナル Vol. 44 No. 3(2014, 3) 23 スポットライト 出すための研究を進めている。特徴としては、図2で示した たは外部のネットワークをスキャンする活動を行う。一般的 ように、国内外に設置された21万のダークネットアドレス空 に、スキャンの活動はダークネット空間も含めたスキャンが 間を用いて、そこに飛来されるスキャン情報、DDoS攻撃の 行われるため、マルウェアによるダークネットへのスキャンを 跳ね返り(バックスキャッター)などの攻撃情報を観測し、 実時間で検知し、その結果をアラートすることが 多様な解析エンジンを並列に動かすことにより、ダークネッ DAEDALUSのコアコンセプトである。 ト観測で見える攻撃の状況を実時間で解析している。また、 マルウェアの感染だけでなく、組織のライブネット上のホ NICTの保有するハニーポット(マルウェアを捕獲するための ストがDDoSの対象となり、DDoS攻撃を受ける場合は、受 ツール)を用いて、ネットワークを介して感染するタイプ、 けたDDoS攻撃の跳ね返りがダークネットにも飛来するため、 及びWebを媒体として感染するタイプのマルウェアを収集し 該DDoS攻撃を瞬時に見つけることも可能となる。このよう ており、それらマルウェアの実時間解析も進めている。結果 なDAEDALUSの動作を可視化したものを図7に示す。この 的には、上記のスキャン情報の解析結果、及びマルウェアの 例では、感染したホストが組織内のネットワーク(ダークネ 解析結果の突合分析を行うことにより、現在飛来しているス ットを含む)をスキャンしている状況をダークネットで観測 キャン攻撃に起因するマルウェアを特定する技術についても し、アラート(警)が飛んでいる状況である。 研究を進めている。図6に本突合分析の結果の例を示す(日 本からのスキャンの例) 。 Internal Malware Infection (2)対サイバー攻撃アラートシステム(DAEDALUS) 上記のNICTERとは別に、ダークネットの利活用法とし て、組織内部のネットワークに存在する不正ホスト(マルウ ェアに感染しているPC等)を検知し、管理者に対し実時間 An organization: 14,000 addr for livenet and 2,500 addr for darknet At around 18:00 on July 10, 2012: five continued alerts (the yellow ones) one new alert (the red one) Many tracks of packets from a certain host to the internal darknet でアラート通知を行うDAEDALUSの研究開発を行っている。 DAEDALUSでは、対象となる組織にダークネットを設置し、 組織内のダークネット、及びNICTの保有するダークネット を用いて不正ホストの活動を観測する。 具体的には、上記の組織におけるライブネット(利用して いるネットワーク)上のホスト(PC)にマルウェアが感染し たとする。多くのマルウェアは、組織内のネットワーク、ま 図7.DAEDALUSの動作例の可視化 NICTERの突合分析技術を用いて、 ダークネットへのスキャン攻撃を行ったホスト (PC) に感染しているマルウェアをリアルタイムで特定(結果:w32.downadup.c) 図6.NICTERにおける本突合分析の例 24 ITUジャーナル Vol. 44 No. 3(2014, 3) 図8.NIRVANAを活用したライブネットワーク可視化の例 (3)ネットワークリアルタイム可視化システム(NIRVANA) ィ分析機能を追加するとともに、侵入検知システムなどの各 NIRVANAとは、NICTERで開発したダークネットに飛来 種セキュリティアプライアンスからの警告を集約・可視化す するスキャンの可視化機能を拡張し、ライブネット(実際に ることで、組織内ネットワークで進行するサイバー攻撃の統 使っているネットワーク)のトラヒックの見える化(可視化) 合的かつ迅速な観測・分析を可能にする。 を行うことにより、ネットワーク管理者の作業負荷を軽減 (輻輳・切断等の障害、設定ミス等を瞬時に発見可能)し、 そのための管理コストの軽減(管理の迅速化・効率化)を 目的とするものである。 3.おわりに 最近のサイバー攻撃によるセキュリティ脅威、及び近年推 ライブネット上のトラヒックの可視化方法には、トラヒッ 進されているサイバー攻撃対策を幾つか紹介した。冒頭にも クをパケット単位に描画し、プロトコルやポート番号ごとに 述べたように、セキュリティに関連する事故・事件はサイバ パケット色を変更可能な「パケットモード」と、トラヒック ー攻撃に起因するだけではなく、多くは人的ミスやマネジメ 量に着目し、流量の高低などからトラヒックフローを表現す ント(管理的)ミスが原因していることが多い。しかしなが る「フローモード」がある。 ら、技術に基づくセキュリティ対策を無視するわけにはいか 図8ではイベント会場のネットワークをパケット単位に描画 したときの事例を示す。 本NIRVANAを改良し、APTによる攻撃の検知につなげる べく、研究開発を現在進めているところである。本改良 (NIRVANA改と呼称)では、NIRVANAに新たなセキュリテ ない。多種多様なマルウェアの観測、活動把握、脅威分析、 影響分析、動的対策導出など、技術的なセキュリティ対策 に関連する研究開発、システム構築は不可欠であり、今後 の大きな飛躍が期待されるところである。 (2013年11月25日 第501回 ITU-T研究会より) ITUジャーナル Vol. 44 No. 3(2014, 3) 25