Embed Size (px)
Citation preview
PFU Tech. Rev., 27, 1,pp.33-40 (10,2016) 33
高度標的型サイバー攻撃検知技術 ~ Malicious Intrusion Process Scan ~Technology Detecting Advanced Targeted Cyber Attacks - Malicious Intrusion Process Scan -
寺田成吾 *Seigo Terada
小林 峻 *Takashi Kobayashi
羽藤逸文 *Itsufumi Hato
瀬戸口武研 *Mugen Setoguchi
* セキュリティビジネスユニット セキュリティプロダクト事業部 技術部
近年の高度化する標的型サイバー攻撃を検知する純国産の技術として,PFU は新たな脅威検知技術 Malicious
Intrusion Process Scan を開発し,2016 年 1 月よりこの技術を利用した標的型サイバー攻撃対策支援サービ
スの提供を開始した.この技術は,攻撃者が組織内部へ侵入してくることを前提に考え,攻撃者の行動プロセスに
着目して組織内部に潜む感染端末を見つけ出すことを特徴とする.この技術の有効性を評価するために,疑似マル
ウェアを用いた試験や複数組織の協力を得て実証実験を行った.
We have developed the "Malicious Intrusion Process Scan" which is a new technology that
detects threats. This technology that was developed in Japan detects targeted cyber attacks
that have recently been enhanced. From January 2016, We started to provide an assistance
service against targeted cyber attacks with the use of this technology. This technology, which is
created based on the scenario that an attacker intrudes into an organization's system, detects
infected terminals within an organization by focusing on the attacker's behavioral process.
To assess the effectiveness of this technology, we conducted tests using pseudo malware and
carried out substantiative experiments with the cooperation of multiple organizations.
1 まえがき
昨今,政府機関や企業が持つ機密情報や個人情報の窃
取を目的としたサイバー攻撃が日々高度化し,拡大して
いる.昨年度には,特定の組織を狙った標的型サイバー
攻撃により 100 万件を超える個人情報の流出事件が報
道で大きく取り上げられた.NPO 法人日本ネットワー
クセキュリティ協会(JNSA)から発表された「2015
セキュリティ十大ニュース」では,第 1 位と第 8 位に
標的型サイバー攻撃に関するニュースが選ばれ,昨年
度の標的型サイバー攻撃への注目度の高さが伺える参1).
標的型サイバー攻撃による相次ぐ被害を鑑みてか,経済
産業省は 2015 年 12 月に「サイバーセキュリティ経
営ガイドライン Ver 1.0」を公表し,「サイバーセキュ
リティは経営問題」と表明した参2).そして,避けられ
ないリスクとなったサイバー攻撃への対策として,セ
キュリティ投資を経営者がリーダーシップをとって推進
する必要があることを求めている.
このように年々,サイバー攻撃対策への注目が高まり,
各組織がサイバー攻撃対策に注力している一方で,次々
と標的型サイバー攻撃による情報流出が疑われる事件が
起きている.この理由として以下の 2 点が考えられる.
1) 従来の UTM(Unified Threat Management,
統合脅威管理)注1)やサンドボックスなどの組織ネッ
トワークの入口で攻撃を防ぐ対策(以降,入口対策)
からの検知を回避し,攻撃者が組織内へ侵入して
注1) ファイアウォールやゲートウェイ型アンチウイルス,Webフィルタリングなど複数のセキュリティ機能を一つに統合した製品のこと.詳細は,富士通株式会社の「統合セキュリティ対策 UTM 入門」のページを参照されたい.
http://www.fujitsu.com/jp/products/network/security-bandwidth-control-load-balancer/ipcom/material/data/4/index.html
34
高度標的型サイバー攻撃検知技術~MaliciousIntrusionProcessScan ~
PFU Tech. Rev., 27, 1, (10,2016)
くる
2) 攻撃者が組織内へ侵入した後の攻撃行動に被害
組織が気付かない
つまり,従来の入口対策の目的は,組織内部への侵
入を防ぐことであるため,一度攻撃者が内部への侵入
に成功してしまうと目的を達成するまで気付かないと
いう課題がある.そのため,近年のセキュリティ対策で
は,攻撃者による組織内への侵入を前提に,情報システ
ムへの侵害拡大を早期に検知し,防御することが求めら
れる参3).そこで PFU では,攻撃者が組織内へ侵入
してくることを前提に考え,攻撃行動に見られる共通
の特徴から組織内に潜む感染端末を見つけ出す技術
「Malicious Intrusion Process Scan」(以降,本技
術)を開発した.本稿では,まず 2 章で既存技術の特
徴と課題を整理し,多層防御の観点から本技術の適応範
囲を説明する.そして,3 章で本技術の検知手法につい
て述べ,4 章で有効性の評価結果について説明する.
2 既存技術の特徴と課題
標的型サイバー攻撃は,特定の企業に狙いを定め,各
組織が導入している既存のセキュリティ製品からの検知
を逃れる様々な手口を利用しているため,攻撃者に侵入
されていることに気付きにくい.ファイア・アイ社によ
る調査では,組織がセキュリティ侵害を受けていること
に気付いたきっかけの 69% が外部組織の指摘によるも
のである参4).この数字からも組織が導入している現状
のセキュリティ対策のみでは,高度なサイバー攻撃に気
付きにくいことが伺える.本章では,既存セキュリティ
技術の特徴と課題について述べ,近年注目されている「多
層防御」の考え方と本技術の適応範囲について説明する.
2.1 シグネチャー型マルウェア検知技術シグネチャー型の検知技術は,既に発見され,解析
されたマルウェアのハッシュ値注2)やファイル内の特徴
的な文字列など変化することのない静的な情報(シグネ
チャー)を基にマルウェアを検知する技術である.この
技術は,既にマルウェアと判断されたファイルを永続的
かつ確実に検知することが可能である.しかし,未知の
マルウェアを検知することができない.そのため,標
的型サイバー攻撃のように,標的組織のためだけにマル
注2) メッセージ・ダイジェストやフィンガープリント(指紋)とも呼ばれ,対象のデータやファイルを基に計算される 16 進数の値.1 ビットでもデータが異なれば,異なるハッシュ値が出力されるため,データの完全性検証などで利用される.
ウェアを作成して送り込んでくる場合,検知することが
できないという課題がある.
2.2 サンドボックス型マルウェア検知技術サンドボックス型の検知技術は,仮想環境上でソフ
トウェアを実際に動作させ,悪性な動作を行ったと判断
した場合,マルウェアと判定する.シグネチャーに頼ら
ない検査を行うため,未知のマルウェアに対して有効な
検知技術である.しかし,攻撃者は検知を回避するため
に,仮想環境で実行されていると判断した場合,悪性
な動作を止めて無害なソフトウェアであるように振る舞
う.その他に,マルウェアを送り込む際に難読化や暗号
化を施し,サンドボックスがファイル検査を実施できな
いようにする手口もある.独立行政法人情報処理推進機
構(IPA)による調査では,収集した 137 通の標的型
メールに添付されていたファイルのすべてがパスワード
付きの圧縮ファイルであったと報告されている参5).パ
スワード付きの圧縮ファイルは,データが暗号化される
ため,パスワードを突き止められなければ,圧縮ファイ
ル内のデータを検査できない.このように近年の標的型
サイバー攻撃では,サンドボックス型の検知技術を回避
する手法が利用されている.
2.3 SIEM 型マルウェア検知技術SIEM(Security Information and Event
Management)型の検知技術は,組織内に導入されて
いるネットワーク機器やセキュリティ機器のログを収集
し,統合管理をする.そして,収集したログをリアルタ
イムに相関分析することで,組織内に潜むマルウェアを
検知する.課題としては,収集するログが組織内に導入
されている機器に依存するため,機器が見逃したイベン
トに関しては分析が行えないこと,検知ルールのチュー
ニングや検知されたイベントの調査に高度な知識が必要
とされることが挙げられる.
2.4 まとめ既存のセキュリティ技術には,それぞれ利点もあるが
課題も多い.また,効力を発揮できるシーンが異なるた
め,単一の技術だけですべてのサイバー攻撃を防ぐこと
はできない.そのため,複数のセキュリティ対策技術を
組み合わせ,それぞれの機能を補い合う「多層防御」と
いう考え方が普及してきている.また,1 章で述べたよ
うに,近年のセキュリティ対策では,攻撃者による組織
内への侵入を前提に考える必要がある.そのため,イン
PFU Tech. Rev., 27, 1, (10,2016) 35
高度標的型サイバー攻撃検知技術~MaliciousIntrusionProcessScan ~
ターネット境界だけでなく,組織の内部ネットワークで
のセキュリティ対策(内部対策)を実施することも多層
防御の一つの重要な観点である.
今回開発した技術は,ネットワーク上の通信を監視し,
攻撃者の侵入から目的実行までの各攻撃プロセスの行動
に関連する通信を監視する.そのため,入口対策技術が
見逃し,侵入してきた攻撃者のネットワーク内での攻撃
行動を早期に検知することで,目的実行の前段階で攻撃
者の行動に気付くことができる.こうして,本技術で標
的型サイバー攻撃における内部対策を補完することがで
きる.
3 Malicious Intrusion Process Scanについて
3.1 標的型サイバー攻撃の特徴と課題標的型サイバー攻撃の典型的な攻撃手法では,まず,
取引企業を装うメールの本文で添付ファイルやリンクを
クリックさせる巧妙な標的型メールや,標的組織がよく
閲覧する Web サイトを改ざんして待ち受ける水飲み場
型攻撃により,標的組織の端末をマルウェアに感染させ
る(図 - 1の①参照).
標的型サイバー攻撃では,Remote Access Trojan
(RAT)という種類のマルウェアが利用されることが多
い.RAT は,遠隔操作ウイルスとも呼ばれ,感染端末
を遠隔から操作できる機能を持ち,攻撃の基盤として利
用される.近年話題に上がったマルウェアでは,「Emdivi
(エムディヴィ)」や「PlugX(プラグエックス)」が
RAT の代表例である.RAT に感染し,コマンド & コ
ントロールサーバ注3)(C&C サーバ)との接続が確立さ
れると,攻撃者は感染端末をコマンド & コントロール
通信注4)(C&C 通信)で遠隔操作しながら(図 - 1の
②参照),機密情報へアクセスできる端末を探して,攻
撃基盤を構築しながら組織内部への感染拡大を行う
(図 - 1の③参照).そして,最終的に感染端末または,
社内サーバから機密情報を窃取し(図 - 1の④参照),
暗号化や圧縮処理を施して外部サーバへアップロードす
ることで,攻撃者は目的を遂行する(図 - 1の⑤参照).
以上のような標的型サイバー攻撃では,目的を達成す
るまでの間,組織内での攻撃行動が察知されないように,
様々な検知回避手法を利用している.
例えば,マルウェアの約 8 割は,C&C 通信に TCP
の 80 番ポート(HTTP)や 443 番ポート(HTTPS)
を利用し,不審な通信先に見えない国内ドメインなど
を利用して業務通信に紛れ込むように遠隔操作が行わ
れる参6).また,感染拡大をするための攻撃行動では,
OS に搭載されている正規のツールやコマンドなどが利
用される.そのため,単一のイベントを観測しただけで
は,攻撃行動が行われたかどうかの判断がつかない.
このように標的型サイバー攻撃では,巧妙な手口が利
用されているため,組織内の端末の行動を監視し,個々
の行動を関連性があるか相関分析を行い,早期に攻撃行
動に気付くことが重要である.特にネットワーク上で観
測される端末の行動を監視することには,以下の三つの
利点がある.
1) 攻撃行動をする上で必ず発生する証跡である
2) 攻撃者に悟られずに監視でき,攻撃者が検知回避
行動を取りづらい
3) 未知のマルウェアであっても,マルウェアに共通
する不審な通信の特徴がある
早期に攻撃行動に気付くことができれば,たとえ攻撃
者に侵入されたとしても,目的が実行される前に端末遮
断などを行い,被害を未然に防ぐことができる.
注3) 攻撃者が,感染端末を遠隔操作する目的で,指令と指令結果を送受信するためにインターネット上に配置している攻撃 サーバ.
注4) C&C サーバと行う通信.主に攻撃者からの指令通信や感染端末からの指令実行結果を通知する通信.
◆図 -1 標的型サイバー攻撃の流れ◆
(Fig.1-Flowoftargetedcyberattacks)
攻撃者
①標的型メールや水飲み場型攻撃によりマルウェアに感染
攻撃インフラ マルウェア配布サーバ C&Cサーバ など
③組織内で感染拡大
④機密情報へアクセス
⑤機密情報を外部へアップロード
②C&C通信
コントロール
インターネット
ファイアウォール
Webフィルタリング
標的型メール
C&C通信
感染拡大通信
アップロード通信
その他の通信
@
●●●●●●●●●●●●●●●
●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●
●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●
●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●
36
高度標的型サイバー攻撃検知技術~MaliciousIntrusionProcessScan ~
PFU Tech. Rev., 27, 1, (10,2016)
3.2 攻撃者行動遷移モデル本技術は,変化の激しいマルウェアに着目するのでは
なく,中長期的に変化していない,組織ネットワーク内
に侵入してきた攻撃者の行動に着目している.そのため,
マルウェアの変化に左右されず,未知の脅威にも対抗で
きる.
まず,本技術の核となる「攻撃者行動遷移モデル」に
ついて説明する.攻撃者行動遷移モデルは,図 - 2と
表 -1 に示すとおり,攻撃者の行動をネットワーク通信
の観点でフェーズ 1(P1)からフェーズ 8(P8)まで
の八つの行動フェーズに整理し,それぞれの行動フェー
ズから別の行動フェーズへの遷移を整理したものである
(図 - 3参照).
攻撃者により送り込まれてきたマルウェアは,正規ア
プリケーションには見られない特有の通信行動をする.
そのため,端末が行うすべての通信を監視し,攻撃行動
フェーズに該当する通信を見つけ出し,それら通信の一
連の流れに相関性があるか判定することで,マルウェア
に感染した端末を見つけられる.この相関性を見る際に
攻撃者行動遷移モデルに当てはめることで攻撃者に操ら
れるマルウェア特有の動きかどうか判定できる.この一
連の攻撃行動の検査は,以下のような 3 段階に分けて
実施している.
まず,1 段階目は,ネットワーク通信を常時監視し,
通信内容にいずれかの攻撃行動フェーズに共通する特徴
が見られる場合,通信情報を該当する攻撃行動フェーズ
に割り当てる.2 段階目では,前段階で割り当てられた
攻撃行動フェーズと過去に割り当てられている他の行動
フェーズとの相関分析を行い,遷移の有無を判定する.
最後に 3 段階目では,2 段階目の結果と過去の分析内
容から端末がマルウェアに感染している可能性を判定す
る.この可能性を表す指標として,IR 値(Infection
Ratio)を定義している.IR 値は,端末ごとに 0% ~
100% の値を取り,複数の行動遷移が見られ,マル
ウェアに感染している可能性が高いほど大きな値を取る
◆表 -1 攻撃者行動フェーズ◆
番号 行動フェーズ
P1 ソフトウェアの脆弱性を悪用し,マルウェアのダウンロードとインストールを試みる行動
P2 ネットワーク環境の探索行動.グローバル IPアドレスの確認や近隣端末の探索行動など
P3 感染可能な端末へのマルウェアのコピーやリモート実行による感染行動
P4 実行形式ファイルをダウンロードし,マルウェアの機能追加やツールの追加を行う行動
P5 遠隔操作を行うために接続可能なC&Cサーバを検索する行動
P6 C&C通信で遠隔操作が行われる行動.感染端末の生存確認を行う行動も含まれる.
P7 侵害した組織で収集した機密情報などを外部へ持ち出す行動
P8 DDoS攻撃などを行うためのボットとして,攻撃行動に参加させる行動
◆図 -3 攻撃者行動遷移モデル◆
(Fig.3-Attacker'sbehavioraltransitionmodel)
◆図 -2 行動フェーズの分類イメージ◆
(Fig.2-Classificationsofbehavioralphases)
攻撃者
攻撃者に遠隔操作される感染端末の行動フェーズ(P1~P8)感染端末
近隣端末
インターネット
脆弱性攻撃サーバ
アップロードサーバC&Cサーバマルウェア配布サーバ
他の組織の公開サーバ
感染端末を遠隔操作
P1
P2
P3 P4 P5P6
P7
P8
感染端末の通信行動
●●●●●●●●●●●●●●●
●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●
●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●
●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●
P1 P2 P3
P4
P5
P6
P7
P8
攻撃活動
侵入 探索 感染・浸潤
実行形式ファイルのダウンロード
C&C検索
C&C通信
搾取情報のアップロード
PFU Tech. Rev., 27, 1, (10,2016) 37
高度標的型サイバー攻撃検知技術~MaliciousIntrusionProcessScan ~
(図 - 4参照).また,この IR 値を閾値で White ~
Black の 5 段階に分割し,優先度付けが行えるように
している(表 - 2参照).優先度付けの判断では,ステー
タスの変化があり,IR 値が高いほどマルウェアに感染
している可能性が高く,調査が優先的に必要な端末であ
ると判断できる.
3.3 技術の特長本技術の特長をまとめると以下の 3 点になる.
1) エージェントレスでリアルタイムな検知手法
2) 攻撃者に気付かれない検知手法
3) 攻撃者行動遷移モデルによる検知精度の向上
以下,それぞれの詳細について説明する.
3.3.1 エージェントレスでリアルタイムな検知 手法
本技術は,組織の各端末内で動作を監視するエージェ
ントソフトウェアを必要としないので,組織内の端末へ
のソフトウェアのインストールやアップデートが不要で
あり,また,OS やデバイスによらない監視が可能であ
る.そのため,例えば,本技術を実装したセンサーを
基幹スイッチのミラーポートに接続し,組織内の DNS
サーバなどを設定するだけで監視を開始できるので,
ネットワークの構成変更が不要で,導入しやすい利点が
ある.また,ネットワーク通信を常時監視し,リアルタ
イムに通信内容を検査できるため,組織内に潜む攻撃者
の行動を早期に検知できる.
3.3.2 攻撃者に気付かれない検知手法標的型サイバー攻撃では,2.2 節で述べたようにセ
キュリティ対策製品からの検知を回避するために様々な
手法が利用される.また,攻撃者は侵入に失敗した場合,
失敗までに得られた情報を基に検出を回避できる攻撃手
法に切り替えて再度攻撃を試みてくる.このような攻撃
者の行動に対し,ネットワーク通信を監視する手法の場
合,攻撃者は監視されていることに気付くことができな
い.そのため,この検知手法では,攻撃者による回避行
動の影響を受けることなく感染端末を検知できる.
3.3.3 攻撃者行動遷移モデルによる検知精度の 向上
PFUで2010年以降の攻撃手法を調査した結果,ネッ
トワーク上の通信における攻撃者の行動に大きな変化は
なかった.本技術は,攻撃者行動遷移モデルによりこの
変化しにくい攻撃者の行動を検出する.そのため,ネッ
トワーク内部に侵入してきた攻撃者に操作される未知の
マルウェアも検知することができる.
また,3.2 節で述べたように単一の通信のみで攻撃行
動の断定を行わないため,正規アプリケーションによる
誤った通信やネットワーク利用者の誤操作による誤検知
を少なくすることができる.そのため,運用上,IR 値
が上昇している端末の調査を優先的に取り組むことがで
きる.
4 有効性の評価
4.1 マルウェア通信データを用いた評価PFU では,インターネット上に公開されている情報
を基に実際の攻撃通信を検知可能か評価した.本節では
その評価結果について述べる.
4.1.1 データの入手以下に示す攻撃行動に関する通信を記録したデータ
ファイルを入手した.
1) エクスプロイトキット注5)による脆弱性攻撃とマ
ルウェアのインストール行動(ドライブバイダウン
ロード攻撃)参7)
2) マルウェアの C&C 通信行動(侵入初期段階の
注5) PC やアプリケーションの様々な脆弱性を突く攻撃プログラムを用意したツールキット.PC 利用者に気付かれずにマルウェアをインストールさせる攻撃行動で攻撃者が利用する.
◆図 -4 IR値上昇のイメージ◆
(Fig.4-RiseintheIRvalue)
◆表 -2 IR値と5段階のステータス◆
ステータス
White Green Yellow Red Black
IR 値(%)
0 1~ 49 50~ 79 80~ 99 100
IR値(%)
時刻
100
80
50
0
Green
Yellow
White
P6 P6 P6
P4(P6→P4)
P3(P6→P3)
P6(P4→P6)
P6(P3→P6)
P6 P6
Black
Red
38
高度標的型サイバー攻撃検知技術~MaliciousIntrusionProcessScan ~
PFU Tech. Rev., 27, 1, (10,2016)
通信)
なお,2)に関して,公開情報から通信データが入手
できなかった場合,マルウェア検体を入手し,隔離され
た実験環境で動作させて通信データを入手した.
4.1.2 評価結果入手したデータを基にそれぞれの攻撃通信を検知可能
か評価した(表 - 3参照).
1) エクスプロイトキットに共通する脆弱性攻撃
(P1)とマルウェア本体のダウンロード通信(P4)
の特徴を監視することで,多くのエクスプロイト
キットによる通信を検知可能なことを確認できた.
これによりエクスプロイトキットを利用したドライ
ブバイダウンロード攻撃など Web ページから侵入
してくる標的型サイバー攻撃を侵入段階で見つけら
れる.
2) マルウェアによる侵入初期段階の通信を C&C
通信(P6)の可能性のある通信として検出可能な
ことを確認できた.攻撃の基点である C&C 通信
(P6)が検出できるため,感染拡大(P3)や攻撃ツー
ルのダウンロード(P4)など他の攻撃行動への遷
移を検出し,相関分析することで,攻撃者に侵入さ
れた感染端末を早期に検知できる.
4.2 疑似マルウェアを用いた評価本節では疑似マルウェアを利用した模擬実験の評価結
果について述べる.この実験では,典型的な標的型サイ
バー攻撃でみられる攻撃手順(シナリオ)に沿った攻撃
を再現し,内部ネットワーク侵入後の感染端末を検知可
能か評価した.
4.2.1 模擬実験の攻撃手順以下に攻撃手順を示す.各丸付き数字は図 - 5の番号
と対応している.
① PC1が標的型メールに添付されたマルウェアを
実行し,RAT に感染
② RAT が C&C 通信を開始し,PC1 を遠隔操作
③ PC1 の端末情報を調査し,近隣端末である
PC2を発見.Windows注6)で利用される正規ツー
ルの PsExec を利用し,PC2 へ感染拡大
④ 新たに感染した PC2 が C&C 通信を開始
⑤ PC2で発見した機密情報ファイルを外部持ち出
しのために PC1 へコピー
⑥ PC1 から機密情報を外部へアップロード
4.2.2 評価結果4.2.1 項で説明した模擬実験の場合,機密情報が外
部へアップロードされる(図 - 5の⑥)前に,RAT に
感染した PC1 と PC2 を検知可能なことを確認できた.
記録されたログから感染端末の IR 値の変化をグラフ
注6) Windows は,米国 Microsoft Corporation の,米国,日本お よびその他の国における登録商標または商標である.
◆表 -3 検知できた攻撃通信◆
検知できた通信の種類 代表的な攻撃ツール
1)エクスプロイトキット(ExploitKit:EK)
AnglerEKMagnitudeEKNuclearEKNeutrinoEKなど
2)- 1C&C通信(RAT)
EmdiviPlugXPoisonIVYSimdaなど
2)- 2C&C通信(ランサムウェア※1)
AlphaCryptCerberCryptXXXLockyなど
※1 感染した端末を操作不能にしたり,ファイルを暗号化したりし,復旧することと引き換えに金銭(身代金)を要求するマルウェア.身代金ウイルス,身代金要求ウイルスとも呼ばれる.
◆図 -5 模擬標的型サイバー攻撃シナリオ◆
(Fig.5-Scenariosimulatedwithtargetedcyber
attacks)
攻撃者
⑤機密情報をコピー
⑥機密情報をアップロード
④C&C通信
③近隣端末へ 感染拡大
②C&C通信
PC2
PC1
標的型メール
@●●●●●●
●●●●●●●●●
●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●
●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●
●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●
●●●●●●●●●●●●●●●
●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●
●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●
●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●
●●●●●●●●●●●●●●●
●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●
●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●
●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●
ファイアウォール
Webフィルタリング
攻撃インフラ マルウェア配布サーバ C&Cサーバ など
コントロール
インターネット
①標的型メールでマルウェアに感染
C&C通信
感染拡大通信
アップロード通信
その他の通信
PFU Tech. Rev., 27, 1, (10,2016) 39
高度標的型サイバー攻撃検知技術~MaliciousIntrusionProcessScan ~
化した(図 - 6参照).まず,PC1 がマルウェアに感染
した直後に開始した C&C 通信(P6)を検知し,IR 値
が上昇している(図 - 6の②).次に,PC1 から PC2
への感染拡大(P3)を検知し,P6 から P3 への非常
に怪しい行動遷移を検知し,PC1 の IR 値を 100% と
して Black 判定をしている(図 - 6の③ -1).同時に
感染した可能性があるため,PC2 の IR 値が上昇して
いる(図 - 6の③ -2).そして,PC2 への感染後,最
初の C&C 通信を検知して,感染行動との相関性から
PC2 の IR 値が 100% になり(図 - 6の④),PC2
はここで Black 判定となっている.よって,PC1 と
PC2 は攻撃者からの攻撃行動を受けている可能性が高
く,隔離作業や端末調査が必要な端末として検出できる
ことを確認できた.
4.3 協力組織における評価複数の組織の協力のもと,ウイルス対策ソフトウェア
など一般的なセキュリティ対策を導入している実際の業
務環境(のべ約 100,000 端末)にて約 2 か月間の実
証実験を行った.この実証実験により,実環境での本技
術の有効性を評価した.
4.3.1 センサーの設置環境各組織の基幹スイッチのミラーポートに監視センサー
を接続し,上下方向のパケット通信を監視した(図 - 7参照).本センサーは,端末を IP アドレスで識別する
ため,プロキシサーバの下位に設置する.
4.3.2 評価結果実証実験期間中の 2 か月間で,計 324 件のマルウェ
ア感染端末を検出した.標的型サイバー攻撃のおそれが
あるエクスプロイトキットによるドライブバイダウン
ロード攻撃や,情報漏えいにつながるおそれのあるマル
ウェアがインストールされている端末を検出でき,実環
境における本技術の有効性を確認できた.また,IR 値
の低い端末を確認したところ,標的型サイバー攻撃だけ
でなく,不正な広告を表示するアドウェアや組織内の情
報を外部へ漏えいするおそれのあるリスクウェアなどが
インストールされた端末も検出することができた.これ
は,アドウェアやリスクウェアが「実行形式ファイルの
ダウンロード」や「定期的な C&C 通信」を行うため,
攻撃者行動遷移モデルの遷移条件に一致し,不審な通信
行動として検知されたためである.アドウェアやリスク
ウェアは,利用者の意図しない情報流出へつながるリス
クがあり,組織内で許可していないアプリケーションを
利用している場合もあるため,リスクウェアを利用して
いる端末の存在を早期に確認しておくことが望ましい.
また,ユーザ端末のウイルス対策ソフトウェアの通信な
どが一部怪しい通信として誤検知されたが,ウイルス対
策ソフトウェアの通信を除外する設定ファイルを作成す
るなど環境ごとの個別設定の対処を実施した.
この実証実験では,本技術が標的型サイバー攻撃以外
のセキュリティリスクも検出可能なことが確認でき,標
的型サイバー攻撃だけではなく,より広いセキュリティ
対策として利用できる可能性を確認できた.
5 むすび
PFU は,高度化する標的型サイバー攻撃によるネッ
トワーク内部での攻撃行動を早期に検知できる純国産の
技術を開発し,実証実験を含む評価でその有効性を確認
◆図 -6 感染端末の IR値◆
(Fig.6-IRvaluesofinfectedterminals)
◆図 -7 センサーの設置位置◆
(Fig.7-Locationofthesensor)
IR値(%)
時刻
100 ③‐1
③‐2 PC1
PC2②
④80
60
40
20
0
11:05:17
11:12:29
11:19:41
11:26:53
インターネット
部内端末
部署A 部署B
通信監視
監視センサー
プロキシサーバ
ファイアウォール
基幹スイッチ
感染端末
40
高度標的型サイバー攻撃検知技術~MaliciousIntrusionProcessScan ~
PFU Tech. Rev., 27, 1, (10,2016)
した.本技術により,既存の入口対策をすり抜け,侵入
してきた未知の脅威を攻撃者が目的を実行する前段階で
検知することが可能になる.
2016 年 1 月より PFU は,本技術をアプライアン
ス専用ハードウェアに実装し(図 - 8参照),装置に
よる感染端末の検知と,SOC(Service Operation
Center)注7)による監視サービス,そして,感染端末の
デジタル・フォレンジック注8)作業を行うセキュリティ
運用サービスとして,「標的型サイバー攻撃対策支援サー
ビス」の提供を開始した参8).また,2016 年 6 月より,
当社製品の iNetSec Smart Finder と連携することに
より,感染端末を自動遮断するサービスの提供を開始し
ている.
今後は,本技術の開発と活用で得た知見を活かし,さ
らに進化したセキュリティ技術を開発していく.
注7) ネットワークログや社内端末を常時監視し,サイバー攻撃の検出や分析を行う組織.
注8) HDD のような記憶媒体や通信機器のログなどのデジタルデータの証拠保全を行い,残された情報を基に情報漏えい有無などの調査や分析を実施する手段.
参考文献参1) 特定非営利活動法人 日本ネットワークセキュリティ協
会 :JNSA 2015 セキュリティ十大ニュース ~セキュリティデバイド広がる懸念~
http://www.jnsa.org/active/news10/
参2) 経済産業省,独立行政法人 情報処理推進機構 : サイバーセキュリティ経営ガイドライン Ver 1.0
http://www.meti.go.jp/press/2015/12/20151228002/ 20151228002-2.pdf
参3) 独立行政法人 情報処理推進機構 セキュリティセンター :「高度標的型攻撃」対策に向けたシステム設計ガイド~入口突破されても攻略されない内部対策を施す~
https://www.ipa.go.jp/files/000046236.pdf
参4) ファイア・アイ株式会社 :M-Trends2015: セキュリティ最前線からの視点
https://www2.fireeye.com/WEB-2150RPTJAM-Trends20 15.html
参5) 独立行政法人 情報処理推進機構 セキュリティセンター : サイバーレスキュー隊(J-CRAT)分析レポート 2015
https://www.ipa.go.jp/files/000053445.pdf
参6) トレンドマイクロ株式会社:国内標的型サイバー攻撃分析レポート 2016 年版~状況と目的に応じて攻撃を変化させる攻撃者~
http://www.go-tm.jp/apt2016
参7) 寺田成吾,小林峻,小出和弘,羽藤逸文,瀬戸口武研,道根慶治,山下康一:ネットワーク通信の相関性に基づく Drive-by Download 攻撃検知手法,コンピュータセキュリティシンポジウム 2015 論文集 ,2015,3,pp.1-7(2015)
http://www.iwsec.org/mws/2015/pdf/IPSJCSS2015001.pdf
参8) 標的型サイバー攻撃対策支援サービス紹介ホームページ
https://www.pfu.fujitsu.com/inetsec/services/pmss/
◆図 -8 サービスで利用される筐体イメージ◆
(Fig.8-Chassisusedwiththeservice)
