SPECIAL CONTENTS

特集 | ビジネスやITの最新動向/技術についてセキュリティ観点からレポート

「泣くな! セキュリティ対策室物語」(連載小説 第4回)

この記事をシェア
「泣くな! セキュリティ対策室物語」(連載小説 第4回)

セキュリティ事故が起こった場合、どのような対応がなされ、どのように関係者の意識が変化するのか――当記事は、ある組織で起こったセキュリティ事故に立ち向かう人物たちの架空の物語である。今回は、A社への侵入を果たしたクラッカーHushpuppyの動きを追い掛ける。

第1章 油断と潜伏、侵入そして潜伏

登場人物
Hushpuppy(ハッシュパピー) 攻撃者グループ BullsEyeに属するクラッカー
八街 明(やちまた・あきら) A社九州営業所営業担当 お調子者
真坂 晋太郎(まさか・しんたろう) A社本社営業本部。八街と同期 エリート、真面目
丸上 泡也(まるうえ・あわや) A社本社情報システム部門担当

「OK、コネクション確認」

攻撃者グループ BullsEyeの中でもトップクラスの腕を持つクラッカーであるHushpuppyはそうつぶやいて自身が管理しているC&Cサーバーの通信ログを確認していた。以前から続けていたソーシャルメディアでの情報収集活動を経て、A社用に開発されたマルウェアがじわりと活動を水面下で開始したのである。

標的にされたA社の2人の営業マン、八街明と真坂晋太郎のメールを足掛かりに内部への侵入に成功したマルウェアは、C&Cサーバーへ通信を行い、自身が内部に入り込んだことを通知した。B級ハッカー映画でよく見るような分かりやすいものではない。攻撃者にしか分からないように巧妙に暗号化された通信での通知だ。しかも定期的に通信が行われている。本格的なセキュリティ対策をこれから進める段階にあるA社にはそれを発見するすべはなく、侵入されたことにさえ気が付けないでいた。

……ここでC&Cサーバーの役割を説明しておこう。通常、C&Cサーバーはマルウェアからの通信を確認後、各種命令を出すものであるが、いきなり内部の情報を探らせるような命令は出さない。ほとんどの場合、最初の命令は「ハードディスクをスキャンするマルウェアをダウンロードしろ」というものだ。そして攻撃の各フェーズに応じて個別のマルウェアが次々とダウンロードされ、最終的に目的を達するのである。C&Cサーバーは司令塔であり、現場にいるマルウェアは逐次状況を伝え、攻撃を実行していく。

A社に対して最初に侵入したマルウェアは通称「ドロッパー」と呼ばれるもので、それ自体では特に不正な動きはしないものであった。ドロッパーの役割は、別のマルウェアをダウンロードすることであるため、通常のウイルス対策ソフトでは検知が難しいことが多い。

通信先であるC&Cサーバーは悪意ある不正なサーバーであるものの、マルウェア自体の挙動としては不正というべき点が見つからない、もしくは検知しにくいように複雑に加工や偽装がなされている場合がほとんどである。不審なサーバーに対する通信を検知する仕組みを導入することで検知を早めることは可能であるが、C&Cサーバーは、一般に利用されているため検知の網に掛かりにくいサーバーを踏み台にしているため、検知の網にも掛かりにくい。

仮にC&CサーバーのIPアドレスの特定ができたとしても、すぐに別のIPアドレスに切り替えてしまう。まさにイタチごっこであり、根本的な解決策にはなり得ていないのが実情だ。まだ高度な対策が可能な仕組みの導入も進んでいないA社ならなおさらだ。

この手口は、標的を定めて執拗な攻撃を続けるAPT攻撃を行う際の常套手段となっている。

「さて……と、Windowsネットワーク攻略の基本からスタートするか……」

HushpuppyはC&CサーバーからA社内に侵入しているマルウェア(ドロッパー)に対して、スキャン用の別のマルウェアを指定のサーバーからダウンロードをするよう命じた。ドロッパーは指定のサーバーにアクセスを行い、別のマルウェア(スキャン用マルウェア)をダウンロードし、プログラムが動き始めた。

スキャン用マルウェアといっても、TCP/IPの特定のポートにアクセスできるかどうかだけを調べるもので、機能的には極めてシンプルである。今回はWindows共有で使用されるSMBというサービス(TCP/445)が稼働しているかどうかを調べるものである。このサービスへアクセスが可能であるということは、Windowsで使用される認証プロトコルへのアクセスも可能であるこということになる。

Hushpuppyの狙いはA社の内部に侵入することであるため、ActiveDirectoryのような認証サービスへのアクセスが可能である端末やサーバーを確認することは、極めて重要な達成事項の一つであると言える。

だが、派手なふるまいをしてしまっては意味がない。ダウンロードさせたスキャン用マルウェアはまだ活動は開始していない。そう、「潜伏期間」だ。人間の体に潜むウイルスと同じように、企業に感染したウイルスも一定期間潜伏する。そして「その時」が来ると発症する。これまで標的型攻撃の被害に遭った企業における潜伏期間は私たちの想像を超えるもので、大半が数カ月から1年程度だ。ほとんどの企業のネットワーク機器、サーバーにおけるログを保管している期間は長くても3カ月~数カ月程度であり、ひどい場合には全くログを取っていないこともあり得る。攻撃されたことに気が付き、侵入経路の調査や被害範囲の調査を行うにも何も手掛かりがない、ということがあちこちで起こっている。

九州支社、本社宛てに送信されたウイルス付きメールは、潜伏期間の最初の活動としてC&Cサーバーに対して通信を行い、侵入に成功した旨をC&Cサーバーに連絡する。この通信は定期的に行われ、攻撃者はいつでも本格的に攻撃を始められるような状態になる。この間、A社にその定時連絡の存在が知られてしまい、通信が遮断されるというような事態になったときに備え、攻撃者は複数のウイルスを送り込んでおく。Hushpuppyも周到に用意したメールにより保険を掛けていた。最初に不審なメールを受け取った2名以外にも複数者に対してメールを送っていたのである。

A社におけるセキュリティ対策は丸上の提案の下で少しずつ実行に移されていたが、不審なメールを安易に開いてしまうことの対策についてはどうしても社員教育による部分が大きいため、対策が進みづらかった。また、最近はサンドボックス型のマルウェア対策製品の台頭により、単純なマルウェアについては利用者の手元に届く前にフィルタリング可能になってきてはいるが、製品の価格も高く設定やチューニングが必要であることから、徐々に検討を行うこととして導入は来年度以降になる予定であった。Hushpuppyはそれを見越していたかのようにまずはメールによるマルウェア感染を成功させた。

徐々にむしばまれていくA社、まさかすでに侵入を許しているとは思ってもいない丸上。A社が謝罪会見を行うという悪夢まで残り数カ月。Hushpuppyはひっそりと、だが着実にA社の喉元に手を掛けようとしている。

[解説:Hushpuppyの狙い]
今回いよいよA社内部への侵入に成功したHushpuppyだが、その狙いはA社内に存在する以下の情報を窃取することである。

1. ショッピングサイト利用者のアカウント情報(ID、パスワード)
2. ショッピングサイト利用者のクレジットカード情報
3. 社員情報
4. 取引先情報
5. メールデータ

法令で定められている個人情報だけでなく、企業として保護すべき情報である営業情報(取引先、メール)なども窃取する対象としてリストアップされている。個人情報に関してはブラックマーケットでの取引において高値で売買されているため、窃取するモチベーションとしては非常に高い。読者の皆さんも耳にしたことはあると思うが、一般的な利用者のほとんどは、複数のWebサービスにおいてパスワードを使い回している傾向にある。そのため、一度どこかで”使えるパスワードリスト”が攻撃者に取得されてしまうと、リスト型攻撃による不正アクセスの成功率を上げることが可能になる。ハイリスクローリターンなエクスプロイト攻撃を行うよりも、ローリスクハイリターンなリスト型攻撃に使えるリストの方が、攻撃者にとっての市場価値は高い。

今回の標的型メールによってA社内部に侵入拠点を置いたHushpuppyの次の一手は、A社内の「情報収集」である。これまではインターネット側からのみ調べた情報しか得られていなかったが、内部に拠点ができたことで、より深い情報収集が可能になった。本文でHushpuppyはWindowsネットワーク攻略の基本からスタートすると言ってスキャン用マルウェアをダウンロードさせているが、これは侵入後の基本中の基本の動作である。コンピューターネットワークは、利用者が思っている以上に実にさまざまな通信を自動的に行っているため、攻撃者はその正常な動作を逆に利用してネットワークの構成を明らかにするのである。

今回の目的を達成するための最短ルートとしては、以下のようになる。

1. 恐らく社内に存在するであろうファイルサーバーを発見する
2. ファイルサーバーへのアクセス権を取得する
3. データを収集して圧縮する
4. A社の外へデータを送信する

最初のルートであるファイルサーバーを発見するため、内部をスキャンする別のマルウェアをダウンロードさせ、周囲にどんな端末、サーバーが存在するのかを把握する必要があった。また、ActiveDirectoryのような認証サービスを探すことが重要であると前述されているが、これは次のファイルサーバーへのアクセス権を取得することにつながるためである。

セキュリティ対策が十分に行われている社内ネットワークでは、これらの活動を行うと監視網に引っ掛かり、すぐに隔離やネットワーク遮断、マルウェアの除去が行われ、実害が生じる前に対処されてしまう。といっても、通常は複数のマルウェアを次々と送り込まれてしまうため、対処が追い付かずに被害が生じることが多いのだが。感染経路はメールやWeb閲覧が多く、それ自体を100%止めることは不可能に近いため、このような事態になることが多い。

 

A社の社内ネットワークはこれから対策を本格的に進めるところにある。Hushpuppy率いるBullsEyeは難なく目的を達成してしまうのか、そしてその手口はどんなものか、丸上とHushpuppyの今後の攻防戦の行方が気になるところである。 (つづく)

この記事をシェア

IoTのセキュリティ対策に

マルウェア情報局の
最新情報をチェック!