■「サービスとしてのサイバー犯罪」

「サービスとしてのサイバー犯罪(Cybercrime-as-a-Service、CaaS)」は、「Deep Web(ディープWeb)」のフォーラムで注視すべき動向です。これにより、サイバー犯罪ツールやサービスが広範囲に普及し、専門知識がなくても最小限のコストで誰でもサイバー犯罪者になることができます。また、サイバー犯罪者は、個人ユーザだけでなく、企業ネットワークを狙うことにも有効性を見出しており、IT管理者は対応を迫られています。本稿では、その1つとして「サービスとしてのエクスプロイトキット(Exploits as a Service、EaaS)」を説明します。

■エクスプロイトキット

サイバー犯罪のアンダーグランドで最初のエクスプロイトキット「WebAttacker」が確認されたのは2006年でした。「WebAttacker」は、一般的に使用されるPCソフトウェアの脆弱性複数を利用する機能を備え、侵入から感染までの攻撃全体に対応可能でした。個人情報などアンダーグラウンド市場向けに規格化された「商品」と異なり、エクスプロイトキットは、そうした市場ではなくフォーラムを介して販売されました。

そうした中、市場原理に従い、サイバー犯罪ツールの開発者は、機能を特化させたエクスプロイトキットの方が効率的に利益を生み出すという理解に至りました。攻撃で特定箇所が狙われる中、サイバー犯罪者は、タスクの自動化やカスタマイズ化を求めていたからです。

図1:エクスプロイトキットを利用した際の感染経路

不正プログラム利用の攻撃キャンペーンでは、専門性が求められるものの、脆弱性利用(エクスプロイト)であれば、一定の知識で誰でも大きな成功を収めることができます。つまり、 エクスプロイトキットを利用すれば、PCを感染させる際、ユーザにほとんどクリックさせることなく、ソフトウェアの脆弱性を突いて任意のコードを実行できます。こうしてエクスプロイトキットは、ドライブバイダウンロード、不正広告、水飲み場型攻撃、標的型サイバー攻撃などに重宝されました。

    2014年、100以上の脆弱性が70のエクスプロイトキットに統合されました。

ソフトウェアベンダは、脆弱性利用の事例を確認すると、直ちに修正パッチを提供します。このため、サイバー犯罪者が提供するサービスは、脆弱性利用プログラムがしっかり機能し(最新のソフトウェアも含め)できるかぎり多くの脆弱性に対応する必要があります。そして機能や脆弱性数に応じた価格が提示されます。こうしたサービス形態は、エクスプロイトキットでも実行され、中にはエクスプロイトキットの作成やホスティングを請け負い、時間単位で提供するレンタルサービスまで存在します。

    エクスプロイトキットは、時間・日・月単位のレンタルが可能です。「Angler」が市場から姿を消し始めた際、「Neutrino」の価格は1ヵ月3500米ドルから7000米ドルに急上昇しました(約36万円から約72万円、2016年10月24日現在)。

■ランサムウェア拡散に利用されるエクスプロイトキット

身代金要求型不正プログラム(ランサムウェア)は、広く蔓延し甚大な被害を与える脅威の1つです。サイバー犯罪者は、ランサムウェアを利用してPCのファイルを人質に取り、金銭を要求します。

エクスプロイトキット「Angler」によるランサムウェア拡散は2015年より始まりました。このサイバー犯罪活動が成果を上げ、さらに多くのユーザがランサムウェア対策を迫られることになりました。
図2:エクスプロイトキットをホストするURLのアクセス数(2016年上半期)

エクスプロイトキットは、何年にも渡って現れては消えていきましたが、成果をあげたエクスプロイトキットは、ソフトウェアの新たな脆弱性を素早く追加し、他のエクスプロイトキットよりも多様な侵入手法を駆使しています。
図3:既存と新規のエクスプロイトキットの比較(2006年から2016年上半期)

■企業への影響

ネットワークセキュリティソリューション「Tipping Point」を含む弊社と、未知の脆弱性発見を担うセキュリティ研究者の奨励プログラム「Zero Day Initiative(ZDI)」により、2016年上半期だけで様々な製品に存在する計473の脆弱性が確認されました。最も多くの脆弱性が確認されたソフトウェアは「Adobe Flash Player」で、これは現在最も普及しているソフトウェアの1つでもあります。

    頻繁に標的にされるソフトウェア「Adobe Flash Player」は、ネットワーク接続された10億以上のPCにインストールされています。

図4:修正パッチ提供日からエクスプロイトキットが脆弱性を追加するまでの日数

上図のとおり、脆弱性「CVE-2016-1001」は、修正パッチ提供から4日後にエクスプロイトキット「Angler」へ追加されています。他方、脆弱性「CVE-2016-1019」は、修正パッチ提供の7日前の時点で「Nuclear」や「Neutrino」や「Magnitude」に追加されていました。このように エクスプロイトキットは、素早くゼロデイ脆弱性を取り込んでソフトウェアベンダを翻弄し、企業のネットワークも脅威にさらされています。
図5:10ヵ国で80%以上のユーザがエクスプロイトキットが組み込まれたURLをクリックしていた(2016年第2四半期)

サイバー犯罪者は「エクスプロイトキットとランサムウェア」という最悪の組み合わせを利用し続け、新たなエクスプロイトキットが作成される中、企業は、ランサムウェア感染への対応を迫られることになります。
表1: エクスプロイトキットに利用される ランサムウェアファミリ

ランサムウェアの場合は、差し迫ったリスクはデータ損失ですが、直接的にも間接的にも企業の根幹に影響を与える恐れがあります。以下のような被害が考えられます。

  • 売上損失
  • 支払い、配達、取引の遅延
  • 注文の未処理
  • 取引の障害
  • 生産性の損失
  • 刑事処分
  • 課徴金
  • 企業のブランド毀損や評価の失墜

■企業側の対策

修正パッチ提供が可能な脆弱性は、データベースアプリケーションであれブラウザプラグインであれ、直ちに対処することです。この対策は、ネットワーク防御の基本であり、セキュリティ上の重要なタスクに位置づけるべきです。

しかし業務の性質上、修正パッチ適用に伴うシステム休止が難しい場合もあります。さらにレガシーシステム、社内で開発されたソフトウェア、サポートが終了したソフトウェアなども、修正パッチを適用できません。この場合、「侵入防止システム(Intrusion Prevention System、IPS)」がエンドポイント防御の選択肢となります。

現在のデータセンターは、物理環境、仮想環境、クラウドプラットフォームの組み合わせで使用されるよう進化ており、企業ではこれらのプラットフォームを集中管理できるコンソールの導入が必要です。

弊社では、不正URL、スパムメール、脆弱性利用、その他さまざまな侵入経路を含むエンドポイントから侵入後のサイバー犯罪者への通信までの攻撃経路全体を分析し、不正プログラム実行前のブロック機能の強化が重要であると理解しています。

企業ではIT管理者が数百から数千に及ぶエンドポイント保護が必要な中、多層防御で各レイヤーが相互連携し、サイバー攻撃に先手を打つ「Connected Threat Defense」戦略が有効です。以下のセキュリティ技術が提供する脅威インテリジェンス、セキュリティ更新、各種保護機能がすべてのレイヤーでのアクセス可能となります。そしてサイバー攻撃への「防御」「検知」「対処」のスレットディフェンスライフサイクルのプロセスの自動化と、「エンドポイント」「サーバ」「ネットワーク」を跨いだシステム全体の一元的な可視化・統制を実現します。

  • 高度な不正プログラム対策保護
  • メールセキュリティゲートウェイ
  • Webレピュテーション
  • ホワイトリスト
  • コンテンツフィルタ機能
  • 脆弱性保護
  • Mobile App Reputation
  • 侵入防止
  • ホスト型ファイアウォール

今日の脅威の多くは、上述の技術を組み合わせて検出可能です。他方、未修正の脆弱性も登場し続けています。そうした中、企業は、挙動・変更監視やサンドボックスを介してこういったゼロデイ脆弱性や未知の脅威を捕える必要があります。

特に弊社の機械学習によりエクスプロイトキットも特定できます。これは、繰り返し確認された情報を人やコンピュータが数理モデルへ入力することで実現可能です。こうしてセキュリティ製品を学習させることで、エクスプロイトキットなどの検出困難なコンポーネントも含め、ネットワーク上のリアルタイム防御が可能になります。
図6:脆弱性攻撃に対応する機械学習の仕組み

■参照情報:

  1. https://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/whitepapers/wp-evolution-of-exploit-kits.pdf
  2. https://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/wp-russian-underground-2.0.pdf
  3. https://www.trendmicro.com/vinfo/us/security/definition/exploit-kit
  4. http://malware.dontneedcoffee.com/2016/06/is-it-end-of-angler.html
  5. http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/reports/rptthe-reign-of-ransomware.pdf
  6. https://www.trendmicro.com/us/enterprise/product-security/vulnerability-protection/
  7. https://www.trendmicro.com/us/business/network-security/