「持続的標的型攻撃」とは?
投稿日: 2011年5月20日
「持続的標的型攻撃」とは何ですか?
「持続的標的型攻撃」の場合、使用されるマルウェアが標的のコンピュータやネットワークへ侵入した後、「検出されるのを避けながらできるだけ長い間そこにとどまって不正活動を実行し続けようとする」という点が特徴的です。通常、標的となるコンピュータやネットワークから重要なデータ等の収集を行ないますが、収集されるデータは、必ずしもサイバー犯罪のアンダーグランド市場で金銭的価値をものというわけではありません。その意味では、この攻撃の情報収集は、むしろ目的が限定された産業スパイ行為等に関連する活動である場合が多いといえます。
さらに、準備により長い時間を要し、また攻撃自体もより長い時間に渡って実行されるのも特徴といえます。攻撃に際しては、様々なツールも利用され、中には、通常のマルウェアによる攻撃では用いられないようなツールも含まれています。他方、「Remote Access Tools(RAT)」といった既によく使われているツールが利用される場合もあります。いずれにしても、共通する特長は、特定の目的で一層ターゲットが絞られた相手に攻撃が行使されるという点です。そして、ユーザの行動を長い時間かけてモニタリングし、特定の目的に最も適した情報を収集しようとします。このため、侵入したコンピュータやネットワーク内により長く滞在しようとする点も特徴の1つといえます。
「持続的標的型攻撃」は、どのようにして実行されますか?
まず、事前調査のための準備期間が設けられ、その中での情報収集を通して、「どのコンピュータを特に標的にすべきか」や「インフラ等のどこに弱点や盲点があるか」等が調べあげられます。こうした事前調査のため、サイバー犯罪者は、ターゲットとなる相手のWebサイトから入手できるデータや、関連する人物のソーシャル・ネットワーキング・サービス(SNS)のアカウント情報、公的に入手できる文書、その他のアカウント情報など、ありとあらゆる情報を収集します。こうした事前調査を通して、サイバー犯罪者は、目的達成のためにコンピュータやネットワークに侵入するためには、「誰をターゲットにすべきか」、「どこを狙うべきか」といった判断を最終的に行ないます。事前調査で収集される情報には、ターゲットとなる企業の社員名簿や彼らの個人情報(メールアドレスやSNSのアカウント情報など)から、企業のIT関連ポリシー、社内で使用しているオペレーティングシステムやアプリケーション、ソフトウェア、ネットワーク構造までもが含まれます。
そしてコンピュータやネットワークへの侵入を果たし、意図したマルウェアを実行させることに成功すると、そのマルウェアによりサイバー犯罪者側のコマンド&コントロール(C&C)サーバへ接続され、情報収集活動が行われます。なお、こういった持続的標的型攻撃の場合、マルウェアがコンピュータやシステムに侵入していても、より長く滞在することを意図しているため、ユーザ側で感染の事実(マルウェアが侵入していること)を把握することも、非常に困難となります。
「持続的標的型攻撃」に分類される攻撃としては、過去にどのようなものが発生しましたか?
特定のネットワークをターゲットにして「REMOSH」というハッキングツールを利用した攻撃(別名:「Night Dragon」)が、2011年初旬に発生しています。同じく持続的標的型攻撃と分類されており、このハッキングツールは、トレンドマイクロでは「HKTL_REMOSH」として検出しています。この攻撃の場合、ターゲットとなるネットワークの一部に対して、サイバー犯罪者によりハッキングツールがインストールされ、それにより最終的にバックドア型のマルウェアが作成されることになります。サイバー犯罪者は、「BKDR_REMOSH.SMF」として検出されるこのバックドア型のマルウェアを介してコマンドを送信し、特定の情報を収集することができます。
この「BKDR_REMOSH.SMF」は、データや情報の収集以外にも、ファイルの作成/削除/送受信、スクリーンショットの取得、コマンドラインシェルの遠隔操作、自身のアンインストールといった活動も実行できるようです。実際、持続的標的型攻撃が成功すれば、どのような種類のコマンドを実行させるかによって、情報漏えいやデータ損失を引き起こしたり、別のマルウェアへの感染をもたらしたりと、様々な不正活動を実行させることが可能になります。
また、2010年1月に発生した「HYDRAQ(別名:Aurora)」も持続的標的型攻撃に分類されます。この攻撃では、Internet Explorer (IE)の特定のバージョンに存在する脆弱性も利用されます。このため、標的とされ、なおかつIEの脆弱性があるコンピュータに「HYDRAQ」がダウンロードされることとなります。こうして「HYDRAQ」がコンピュータ内に侵入すると、サイバー犯罪者は、外部から感染したコンピュータを完全にコントロールすることが可能になります。たとえば、プログラムのインストールや、感染したコンピュータ内のデータの閲覧/変更/削除、さらには感染したコンピュータのユーザ権限で新たなオンラインアカウントを作成するといったことまで可能になります。
個人ユーザも企業も、「持続的標的型攻撃」から身を守るためには、何をすればよいでしょうか?
トレンドマイクロ製品は、どのようにしてこの脅威を防ぐことができますか?
トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」を実装した製品は、持続的標的型攻撃で利用されるツールがもたらす脅威からユーザを守ることができます。特に「スマートフィードバック」の機能により、世界中からフィードバックされた情報を基にレピュテーションデータベースが更新され、発見された新しい脅威に対するセキュリティ対策を日本国内、そして世界中の全てのトレンドマイクロユーザに迅速に提供することができます。
また、世界有数の「E-mailレピュテーション」・「ファイルレピュテーション」・「Webレピュテーション」のデータベースを保有し、数十億に及ぶスパムメールやファイルやWebサイトの評価を絶えず実行し、不正なメールメッセージやファイルやWebサイトの効果的なブロックを実現しています。さらにこれら3つのレピュテーションを相関分析することで、より総合的な脅威状況をトレンドマイクロユーザに提供することもできます。こうしたレピュテーションサービスは、クラウド対応により、パターンファイルの更新を待つことなく最大限のプロテクションを可能にしています。こうして、「最多数の脅威に対して最小の時間内」というリアルタイムプロテクションを提供することが可能なのです。
上席研究員 のNart Villeneuveは、次のようにコメントしています。
「持続的標的型攻撃とは、サイバー犯罪者たちが、特定の相手にターゲットを絞った上でより積極的に行う攻撃のことです。多くの場合、巧妙なソーシャルエンジニアリングの手口が駆使され、さらに攻撃の目的に適った情報を収集するために、標的となる相手のネットワークにとどまって外部からのコントロールを保持しようとします。」
「持続的標的型攻撃」の場合、使用されるマルウェアが標的のコンピュータやネットワークへ侵入した後、「検出されるのを避けながらできるだけ長い間そこにとどまって不正活動を実行し続けようとする」という点が特徴的です。通常、標的となるコンピュータやネットワークから重要なデータ等の収集を行ないますが、収集されるデータは、必ずしもサイバー犯罪のアンダーグランド市場で金銭的価値をものというわけではありません。その意味では、この攻撃の情報収集は、むしろ目的が限定された産業スパイ行為等に関連する活動である場合が多いといえます。
さらに、準備により長い時間を要し、また攻撃自体もより長い時間に渡って実行されるのも特徴といえます。攻撃に際しては、様々なツールも利用され、中には、通常のマルウェアによる攻撃では用いられないようなツールも含まれています。他方、「Remote Access Tools(RAT)」といった既によく使われているツールが利用される場合もあります。いずれにしても、共通する特長は、特定の目的で一層ターゲットが絞られた相手に攻撃が行使されるという点です。そして、ユーザの行動を長い時間かけてモニタリングし、特定の目的に最も適した情報を収集しようとします。このため、侵入したコンピュータやネットワーク内により長く滞在しようとする点も特徴の1つといえます。
「持続的標的型攻撃」は、どのようにして実行されますか?
まず、事前調査のための準備期間が設けられ、その中での情報収集を通して、「どのコンピュータを特に標的にすべきか」や「インフラ等のどこに弱点や盲点があるか」等が調べあげられます。こうした事前調査のため、サイバー犯罪者は、ターゲットとなる相手のWebサイトから入手できるデータや、関連する人物のソーシャル・ネットワーキング・サービス(SNS)のアカウント情報、公的に入手できる文書、その他のアカウント情報など、ありとあらゆる情報を収集します。こうした事前調査を通して、サイバー犯罪者は、目的達成のためにコンピュータやネットワークに侵入するためには、「誰をターゲットにすべきか」、「どこを狙うべきか」といった判断を最終的に行ないます。事前調査で収集される情報には、ターゲットとなる企業の社員名簿や彼らの個人情報(メールアドレスやSNSのアカウント情報など)から、企業のIT関連ポリシー、社内で使用しているオペレーティングシステムやアプリケーション、ソフトウェア、ネットワーク構造までもが含まれます。
そしてコンピュータやネットワークへの侵入を果たし、意図したマルウェアを実行させることに成功すると、そのマルウェアによりサイバー犯罪者側のコマンド&コントロール(C&C)サーバへ接続され、情報収集活動が行われます。なお、こういった持続的標的型攻撃の場合、マルウェアがコンピュータやシステムに侵入していても、より長く滞在することを意図しているため、ユーザ側で感染の事実(マルウェアが侵入していること)を把握することも、非常に困難となります。
「持続的標的型攻撃」に分類される攻撃としては、過去にどのようなものが発生しましたか?
特定のネットワークをターゲットにして「REMOSH」というハッキングツールを利用した攻撃(別名:「Night Dragon」)が、2011年初旬に発生しています。同じく持続的標的型攻撃と分類されており、このハッキングツールは、トレンドマイクロでは「HKTL_REMOSH」として検出しています。この攻撃の場合、ターゲットとなるネットワークの一部に対して、サイバー犯罪者によりハッキングツールがインストールされ、それにより最終的にバックドア型のマルウェアが作成されることになります。サイバー犯罪者は、「BKDR_REMOSH.SMF」として検出されるこのバックドア型のマルウェアを介してコマンドを送信し、特定の情報を収集することができます。
この「BKDR_REMOSH.SMF」は、データや情報の収集以外にも、ファイルの作成/削除/送受信、スクリーンショットの取得、コマンドラインシェルの遠隔操作、自身のアンインストールといった活動も実行できるようです。実際、持続的標的型攻撃が成功すれば、どのような種類のコマンドを実行させるかによって、情報漏えいやデータ損失を引き起こしたり、別のマルウェアへの感染をもたらしたりと、様々な不正活動を実行させることが可能になります。
また、2010年1月に発生した「HYDRAQ(別名:Aurora)」も持続的標的型攻撃に分類されます。この攻撃では、Internet Explorer (IE)の特定のバージョンに存在する脆弱性も利用されます。このため、標的とされ、なおかつIEの脆弱性があるコンピュータに「HYDRAQ」がダウンロードされることとなります。こうして「HYDRAQ」がコンピュータ内に侵入すると、サイバー犯罪者は、外部から感染したコンピュータを完全にコントロールすることが可能になります。たとえば、プログラムのインストールや、感染したコンピュータ内のデータの閲覧/変更/削除、さらには感染したコンピュータのユーザ権限で新たなオンラインアカウントを作成するといったことまで可能になります。
個人ユーザも企業も、「持続的標的型攻撃」から身を守るためには、何をすればよいでしょうか?
- 企業の場合、セキュリティに関して社員の一人一人が意識を高めて適切な行動がとれるための啓もう活動やキャンペーン活動などを効果的に行うこと。
- ファイアウォール、脆弱性診断ツールやディバイス、エイドポイントプロテクション、データ損失防止対策(ターゲットとなるため特にこの点は重要です)、ネットワークスキャンやネットワーク管理(ネットワーク内のハッキングツール等を介してサイバー犯罪者により不正活動が実行されるため、この点は重要です)といった各種セキュリティ対策を導入すること。理想的には、これらのセキュリティ対策が提供する「サポート/サービス」と共に導入すべでしょう。
- 脆弱性を利用するマルウェアの情報など、最新の脅威情報に精通し、オペレーティングシステムやアプリケーションの全てに関して更新を実施し、最新化しておくこと。
- 重要な情報は必ずバックアップを取っておくこと。またIT管理者の間でも、常に各種機能のバックアップを怠らず、いつでもコンピュータの復元を行えるような対策を講じておくこと。
- マルウェアによる感染被害やシステム変更等を確実に復旧できるセキュリティ製品を導入しておくこと。
トレンドマイクロ製品は、どのようにしてこの脅威を防ぐことができますか?
トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」を実装した製品は、持続的標的型攻撃で利用されるツールがもたらす脅威からユーザを守ることができます。特に「スマートフィードバック」の機能により、世界中からフィードバックされた情報を基にレピュテーションデータベースが更新され、発見された新しい脅威に対するセキュリティ対策を日本国内、そして世界中の全てのトレンドマイクロユーザに迅速に提供することができます。
また、世界有数の「E-mailレピュテーション」・「ファイルレピュテーション」・「Webレピュテーション」のデータベースを保有し、数十億に及ぶスパムメールやファイルやWebサイトの評価を絶えず実行し、不正なメールメッセージやファイルやWebサイトの効果的なブロックを実現しています。さらにこれら3つのレピュテーションを相関分析することで、より総合的な脅威状況をトレンドマイクロユーザに提供することもできます。こうしたレピュテーションサービスは、クラウド対応により、パターンファイルの更新を待つことなく最大限のプロテクションを可能にしています。こうして、「最多数の脅威に対して最小の時間内」というリアルタイムプロテクションを提供することが可能なのです。
上席研究員 のNart Villeneuveは、次のようにコメントしています。
「持続的標的型攻撃とは、サイバー犯罪者たちが、特定の相手にターゲットを絞った上でより積極的に行う攻撃のことです。多くの場合、巧妙なソーシャルエンジニアリングの手口が駆使され、さらに攻撃の目的に適った情報を収集するために、標的となる相手のネットワークにとどまって外部からのコントロールを保持しようとします。」