このページの本文へ

サイバー攻撃手法が多様化する2017年に求められるセキュリティ対策とはトピックス・イベントレポート

「最新のサイバー攻撃から対峙すべきセキュリティ対策~最新動向から実攻撃を知り、適切な対策を推進するには~」

インターネットでは、新たなサイバー脅威が日々登場している。次々に現れる攻撃手法によって、以前は有効だった対策が瞬く間に無力となってしまう。そんな、サイバー攻撃からネットワークを守るには、最新の攻撃手法と、それをいかに防御するかを知ることが重要だ。
キヤノンITソリューションズのマルウェアラボ マネージャー・シニアセキュリティリサーチャーを務める石川堤一氏は、9月20日にホテル雅叙園東京で開催された「情報セキュリティ戦略セミナー2017」(主催:日経BPセミナー事業センター)において、「最新のサイバー攻撃から対峙すべきセキュリティ対策~最新動向から実攻撃を知り、適切な対策を推進するには~」と題して、サイバー攻撃の最新動向と、それらに対してどのような対策をすべきかについての講演を行った。

2017年上期は攻撃手法の多様化が顕著に

2017年上半期の主要なサイバー攻撃

警察庁が2017年9月7日に発表した「平成29年上半期におけるサイバー空間をめぐる脅威の情勢等について」では、2017年上半期に国内で発生した主要なサイバー攻撃として、5月に発生したランサムウェア「WannaCry(ワナクライ)」およびその亜種による攻撃、「Apache Struts(アパッチ ストラッツ) 2」のぜい弱性を利用したWebページの改ざんが挙げられている。そのほか、2016年9月に発生した、IoT機器を狙った「Mirai(ミライ)」ボットによる攻撃が引き続き行われており、仮想通貨アカウントへの不正アクセスによる、不正送金の被害も増加しているという。

また、昨年より多発している「ばらまき型」攻撃も後を絶たない。「ばらまき型」攻撃はメールを用いたものが全体の約90%を占めており、「ばらまき型」メールの添付ファイルにPDF形式が利用されるケースも増え、多様化してきている。

  • 平成29年上半期におけるサイバー空間をめぐる脅威の情勢等について
  • ランサムウェア:感染したコンピュータのシステムやファイルへのアクセスを制限し、身代金(ransom)を支払うよう要求するマルウェア

攻撃方法の主流は「ばらまき型」メール

「ばらまき型」メール攻撃とは、ウイルスが添付されたメールが送りつけられ、そのメールの添付ファイルを開くことでウイルスに感染させる、という攻撃方法である。ただし、近年の「ばらまき型」メール攻撃の多くは、ウイルス自体を送りつけてくるわけではなく、メールの受信者が添付ファイルを開くとウイルス本体がインターネットからダウンロードされ、感染してしまう「ダウンローダ」という手法をとっている。キヤノンITソリューションズが、2015年7月~2017年6月までに国内で検出したマルウェアに関しても、上位10種のうち8種が「ダウンローダ」に分類されるという。

2017年上半期に猛威を振るっている「Ursnif」

2017年流行中の情報搾取型マルウェア

キヤノンITソリューションズが提供している「ESET」製品による、国内のマルウェア検出数を見てみると、2016年後半に大量のマルウェアやランサムウェアが発生し、2017年に入っていったん落ち着いたものの、第2四半期からは再び増加に転じている。また、毎年情報搾取型とランサムウェアの新種を発生していおり、今年に入り目立ったのが、情報搾取型マルウェア「Ursnif(アースニフ)」と、ランサムウェア「WannaCry」の2種だ。
「Ursnif」は、感染したコンピュータへのユーザーの入力を密かに外部へ送信することで、情報を盗み出すマルウェア。入力内容が盗み出された結果、パスワードの盗難による不正ログインや、暗証番号の盗難による不正送金などの被害につながってしまう。

「ばらまき型」メール+XLS/DOCファイルで感染を狙う

「Ursnif」による攻撃には、前述の「ばらまき型」メールが使われるが、かつてのウイルスメールや詐欺メールのような英文のメールではなく、日本語で書かれたメールが用いられており、ニセの請求書や納品書などが添付されているのが特徴である。
添付されたニセの書類(XLS形式)は、開いただけでは感染しないが、書類に「コンテンツの有効化をクリックしてください(※マクロ機能を有効にしてくださいという意)」という内容の記載があり、それに従ってマクロ機能を有効にすると、マルウェアがダウンロードされ、感染してしまう。このほか、DOC形式の文書にアイコンが貼り付けられており、そのアイコンをダブルクリックするとJavaScriptで書かれたコードが実行され、マルウェアに感染してしまう、という手法も見られた。

PDF形式の添付ファイルにも注意が必要

PDFファイルを使ったマルウェア感染の特徴

冒頭に述べた警察庁の発表でも触れられていたが、「ばらまき型」メール攻撃の添付ファイルに、PDF形式が用いられるケースも増えている。PDFファイルには他のファイルを添付する機能があり、他のファイルが添付されたPDFファイルを開くと、添付されたファイルも(そのファイル形式に関連付けられたアプリケーションで)自動的に開かれてしまう。
PDFファイルにDOC形式のファイルが関連付けられていた場合、DOC形式に関連付けられたWordが起動し、添付ファイルを開く。DOCファイルにはマクロ機能を有効にするよう記載されており、指示通りにマクロ機能を有効にすると、マルウェアがダウンロードされてしまう、という仕組みだ。

攻撃手法の変化に応じたネットワーク防御の見直しが必要

メール攻撃からの感染フローと確認すべき4つのポイント

キヤノンITソリューションズの石川氏は、「ばらまき型」メール攻撃にXLSやDOC、PDF形式が利用されるようになった理由として、以前の攻撃に利用された.exe/.js/.vbs/.cpl/.scr/.bat/.cmdといった、直接プログラムを実行可能な形式のファイルが添付されたメールを、企業などが受信段階で制限したことに起因するのではないか、と分析する。攻撃者は、業務に使われることが多いため使用を制限することが難しく、ゲートウェイやメールサーバでの防御を突破しやすいDOC/XLS/PDF形式を利用するようになった、というわけである。
このような現状を踏まえて、石川氏は「業務に利用しているファイル形式の見直しが必要」であると述べた。具体的には、近年攻撃に使われるXLS/DOC形式(旧Excel/Wordのファイル形式)の利用を避けて、XLSX/DOCX形式を利用する、という運用も検討すべきだろう。

また、「Ursnif」への感染、および万一の感染時の被害を抑える上で注意すべき項目として、

  • メール受信時および開封後のダウンロードアクションの監視
  • 外部からダウンロードされるファイルの監視
  • メモリ上のプロセスの監視
  • 外部へ通信するアップロードデータの監視

を挙げている。

その他の攻撃にも警戒が必要

石川氏は、「Ursnif」以外のランサムウェアとして、5月にロシアやウクライナなどで猛威を振るった「WannaCry(WannaCryptor)」や、ウクライナ国内で発生した「NotPetya(ノットペチャ)」を紹介するとともに、標的型(APT)攻撃として政府機関に仕掛けられたバックドア「Gazer(ゲイザー)」や、ウクライナで発見された大規模停電を狙った「Industroyer(インダストロイヤー)」を紹介した。
さらに、2017年に入って国内における検出が増えてきている攻撃ツール「Korplug(コープラグ、別名PlugX)」や、仮想通貨を採掘して不正送金する「採掘(マイニング)マルウェア」に対する注意も促している。
なお、キヤノンITソリューションズは、8月8日に2017年上半期のマルウェア動向を発表した。技術的な詳細については、そちらも参照してほしい。

サイバー攻撃の手法が多様化する現代に必要なセキュリティ対策

AIや機械学習の過信は禁物

サイバー攻撃手法が変化し、多様化する現在、どのようなセキュリティ対策が必要なのだろうか?
石川氏はまず、近年話題になっているAI(人工知能)や機械学習を利用した対策について言及し、「AIや機械学習は非常に有効だが、まだまだ発展途上の段階であり、過信は禁物」と釘を刺す。石川氏によれば、マルウェア自体に難読化や暗号化といった、その正体をわかりにくくする処理が施されている場合は、AIや機械学習は必ずしも有効な検出手段になり得ないという。
さらに、「現在の進化したマルウェア対策において、もっとも重要なのはメモリ上のトレース」であり、「マルウェアがメモリ上で正常化(発症)された段階で対策を行うことがより有効である」とも語った。
それらを踏まえて、石川氏は新たなセキュリティ対策ソリューションとして、「メモリ上のトレースができて、未検出・過検出・誤検出が少ないもの」を薦めている。

機械学習だけに頼らないESETのマルウェア検出エンジン

AI・機械学習は有効な解決手段となるか

キヤノンITソリューションズが提供しているセキュリティ対策ソリューション「ESET」シリーズでも、マルウェアと思しきファイルを検出した際に「サンドボックス分析」と「エミュレーション&データ分析」という2つのパターンに分け、「エミュレーション&データ分析」において一部のデータを機械学習として取り込んでいる。
そこで、疑いのあるファイルが「よいもの」か「悪いもの」か「望ましくないもの」かの三択の中から、もっとも可能性の高いものを選ぶ処理(DNA分析)によって監視を行っているが、この段階においてすべての事例を機械学習に取り込んでしまうと、ノイズが増えるだけでかえって効率が悪くなってしまうため、「本当に悪いもの」だけを取り込む必要があるという。
そういったことを配慮しながら、人工知能の判断や、サンドボックス内で実際に実行したうえでの判断を組み合わせることで、精度の高いマルウェア判定を実現している。さらに、ファイルの評価だけでなく、メモリ上のプロセスを評価することができれば、より高度なセキュリティ対策が可能になると考えられる。

2017年に求められるセキュリティ対策の要件とは

「次世代」という言葉だけに惑わされず適切な判断と対応を

ここまで語ってきた、セキュリティ対策に求められる要件をまとめて、石川氏は「攻撃を知り対策する」「感染を知り対策する」の2点を提案する。
「攻撃を知り対策する」としては、ゲートウェイとメールサーバの間に、メールに特化したセキュリティ製品を導入するだけでも、リスクは下げられるという。一方で、サンドボックスでの評価が可能であることも必要だが、重要なのは何よりも判定結果であり、判定結果が自社に向いているかを確認した上で、製品やソリューションを選ぶべきである、と訴えた。
そのほか、より手っ取り早い対策としては、メールの添付ファイルをすべて削除する「メール無害化ソリューション」という選択肢もある。

「感染を知り対策する」としては、ここまでも何度も述べている、メモリ上のプロセスの評価ができる製品を強く薦めている。また、より手厚い防御が必要な場合は、SOC(Security Operation Center)などサービスを利用した遠隔監視などの利用も考えられる。さらに、PCをよりへのウイルスへの感染を確認した段階で、そのPCをネットワークから切断するソリューションと組み合わせれば、未知のマルウェアが出現した際にも防御が可能になる。

最後に、石川氏はセキュリティ対策に求められる要件として、攻撃者の狙いを理解し、適切な対策を検討することが重要であり、ネットワーク全体の視点だけではなく、それぞれのポイントでの「多層防御」が必要であると訴えた。

「攻撃を知り対策する」メールに対する入口対策のポイント
「感染を知り対策をする」エンドポイント領域で注目するところ

個人から企業のネットワークまでさまざまなセキュリティ対策に対応する「ESET」のラインアップ

キヤノンITソリューションズが提供している「ESET」シリーズは、個人向け製品をはじめ、法人向けのクライアント/サーバ向け製品、ゲートウェイ向け製品、モバイル端末の保護、暗号化製品など、ネットワークセキュリティのさまざまな要件を満たす、多彩な製品群を用意する。
さらに、企業のセキュリティ対策に役立つ情報を提供する「マルウェア情報局」や、社内で発見されたマルウェアや不審なファイルを専門技術者が解析する有償サービス「マルウェア解析サービス」も提供している。