「脅威レポート」: マルウェア、The Dukes、システムはどのようにして侵害されるか

エフセキュアラボの2015年版「脅威レポート」。昨年一年間のセキュリティ脅威のハイライトや、主要なセキュリティ関連事件を紐解くことで、新しいセキュリティ分析ツールとして現代のサイバー脅威がどれほどセキュリティを侵害しているかを理解するための一助としたい。

著者: F-Secure Business Security Insider
日付: 2016年06月21日
読了時間: 2 分

ダウンロード

*リンク先は、英文のみの閲覧となります

F-Secure Labs*は、2015年の「脅威レポート」を公開した。このレポートは、広範囲に渡るサイバーセキュリティの諸問題について論じたものであり、また、2015年を通してエフセキュアが収集したデータを用いて、攻撃者が人々と企業のセキュリティを侵害するために使用した、そして使用し続けているリソースについての分析も行っている。

レポートの前半は、主に全体的な脅威についての概観を記述しており、後半では、この1年で目立つようになった脅威のいくつか(ランサムウェアやエクスプロイトキットなど)が、どのようにして攻撃の一部分でしかなくなったのかについて分析を行っている。一部の人々が思っているのとは異なり、サイバー攻撃というのは、コンピューターウイルスだけに関してのものではない。今日のハッカーは、複数のフェーズに分かれる攻撃ごとに異なるリソースを用いているため、それぞれのフェーズで、攻撃者がターゲットのシステムおよびネットワークの奥へ奥へと入り込むことが可能になっている。

FSreport01

「脅威レポート」では、CoC(Chain of Compromise:脅威の連鎖)と呼ばれる、ユーザー中心モデルをとりあげ、攻撃を異なるフェーズに分け、それぞれのフェーズがどのように潜在的なターゲットを襲うのかについて説明している。このCoCモデルは、それぞれのフェーズが特定の種類の攻撃にも、特定の種類の被害者にも結び付けられない点において、個々の脅威を分析するのに広く用いられているモデルとは異なっている。

この点がCoCの大きな強みである。潜在的なターゲットである誰もが、CoCを使うことで、サイバー脅威がどのようにセキュリティインシデントを引き起こすのか、そのインシデントがワーム感染であれデータ漏洩であれ、理解しやすくなるはずだ。このレポートには、CoCを使った分析の具体例がいくつか示されている。たとえば、サイバー諜報活動を行うAPTグループ、The Dukes*のケースは、彼らがどのようにして、スピアフィッシングを用いて、ターゲットを彼らの攻撃に曝されるようにしむけるかについてCoCを用いて説明したものだ。

この動画では、The Dukesがスピアフィッシングを用いて攻撃を開始し、システムに侵入して、ターゲットをCosmicDuke*インフォスティーラーに感染させる模様が示されている。

エフセキュアのサイバーセキュリティアドバイザーを務めるエルーカ・コイフヴネン*によると、「擬餌を与えるところから攻撃は始まる」

この例では、まず、ターゲットがなりすましメールを受け取る(ちなみに、これはサイバー犯罪でよく使われる手口*である)。差出人欄に表示される情報を偽ることで、実際は別の誰かが送ったものであるのに、ある人からのメールだ、と簡単にターゲットは思わされてしまう。

これはThe Dukesのような攻撃者が、攻撃のInception(開始)フェーズを成功させる方法の一例である。受取人はメールを開く(餌に食らいつく)と、すでに自身を脅威に曝してしまっている。これが、脅威の連鎖の第1段階である。こうなると、後は攻撃者が受取人に招き入れられるようにしむけるだけのことだ。

「おとりは注意を引き付けるように作られる」とエルーカは述べる

 

 

 

 

メールには、特にターゲットとなる受取人の気を引くような内容のドキュメントファイルが添付されている。この場合、添付ファイルの内容は、真の目的から注意をそらし、誤解を導くために作ったおとりである。ドキュメントの真の目的は、ターゲットのシステム上で悪意のあるコードを実行させることにある。

スピアフィッシングメールを用いる攻撃者は、一定のターゲットを頭に思い浮かべている。ターゲットの趣味や仕事など、よりターゲットの気を引きやすい事柄に合わせた内容のファイルを作りやすいからである。これがソーシャルエンジニアリングの鍵であり、攻撃者はターゲットがそれらにぴたりとはまることを狙っている。デジタルマーケターや広告主たちが、顧客にオンライン広告をクリックしてもらいやすいようなメッセージを書こうとするのと同じである。

この様子が動画に収められている。メールの件名と添付ドキュメントの冒頭部はいずれも、内容がウクライナをめぐってのEUによるロシアへの制裁に関するものであることを示している。このような情報は、政治や国際情勢に関わる仕事をしている人々にとっては重要なものであり、The Dukesがターゲットとしているのはまさにこのような人々である。このようなやり口は、よりコモディティ化された攻撃において何度も目にしてきた。

機密情報だと主張することで(添付ファイルの右上に注目)、まずは冒頭部以外が表示されていない理由、そして全体を表示するにはマクロを有効化する必要がある理由が、すっかり筋の通ったものになる。おまけに、普段、そうした機密情報に触れる機会がないかもしれない受取人にとっては、機密情報が見られるという思いは、抗しがたい誘惑となる。

エクスプロイトおよびマクロ型トロイの木馬の仕組み(詳細は「脅威レポート」を参照)に不案内な方は、この操作こそが、攻撃者がシステムを侵害するために必要なことなのだ、ということが理解しづらいかもしれない。動画で示されていたように、マクロを有効化することで、文書の残りの部分が読めるようになるだけではない。The Dukesが受取人のシステムにアクセスできるようになるのである(.tmpというプロセスが開始されていることに注目)。ドキュメントに隠されていた悪意のあるコードが実行されることにより、攻撃者は脅威の連鎖のIntrusion(侵入)フェーズを完了することになる。後は、思うようにInfection(感染)フェーズへと進むことが可能だ。

エルーカによれば、「エクスプロイトが開始されたら、基本的にはゲームオーバー」

受取人が脅威に曝された状態になり、攻撃者がシステムへ首尾よくアクセスすると、CosmicDukeの感染は定着したことになる。動画で示されているように、ユーザーがドキュメントを読んでいる間に「.tmpプロセス」の実行が開始される。CosmicDukeは本質的にはインフォスティーラーだが、追加機能を持つ他のコンポーネントが付属している。CosmicDukeは、キー入力の記録や、スクリーンショット、復号鍵のエクスポートなど、さまざまな方法で情報を盗み出せるようになる。

Infection(感染)フェーズが完了すると、攻撃者は侵害をさらに悪化させる体制を整える(これについては動画では示されていない)。CosmicDukeには、システムに存続し続けることを可能にする永続化コンポーネントがあり、攻撃者によって新しい機能が追加され、システムのさらに奥への侵入を可能にしたり、ネットワークを通じて増殖したりもする。

それでは、ターゲットはどうなってしまうのだろうか?

「何か対処をしなければ、面倒な事になる」とエルーカは述べる。

 

 

 

 

こうした問題についての認識は会社全体で共有しておくことが必要である。企業はスピアフィッシングキャンペーンの格好のターゲットであるため、IT管理者および経営者は、従業員がAPTグループ、サイバー犯罪者、およびその他のさまざまな攻撃者からこのようなメールを受け取ることに備えておく必要がある。

「脅威レポート」によると、マクロマルウェアが再流行しつつあり、企業は従業員に対して、マクロを有効化することは、警告の対象となる行為だと周知しておく必要がある。

「攻撃者は悪い習慣を持つ従業員をあてにしている。マクロを有効化することはガードを弱めることにほぼ同じである」とエルーカは述べる。「いつもの習慣で『クリックして有効化する』のをさせたくないならば、IT管理者は社内でのマクロの使用を禁止すべきである。そうしておけば、マクロのあるドキュメントを受け取ることが普通ではないことだと感じられるようになる。社内の業務からマクロを一掃できないのであれば、署名付きマクロ以外をすべて無効にして、信頼できないソースから来ないようにしなければならない」

エフセキュアのウェブサイトで「脅威レポート」のダウンロードが行えるようになっており、2015年の最も目立った脅威について詳しい説明を読むことができる。また、このブログ記事*には、詳細な情報が記述されている。


コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト / 変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト / 変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト / 変更 )

Google+ フォト

Google+ アカウントを使ってコメントしています。 ログアウト / 変更 )

%s と連携中