マルチベクトル攻撃に対する理解と防御

インターネットの世界では、ウイルスを利用した攻撃が後を絶ちません。今や世界中で深刻となったこの手の問題がなくならない理由として、サイバー犯罪のビジネス化があげられます。Trustwave社が行ったグローバルセキュリティレポートの調査結果では、ランサムウェアの作者と実行者の投資利益率は1,425%であることが示されています。ですが、日本は決してサイバー犯罪に免疫があるわけではありません。日本企業はセキュリティに対する意識が低く、日本のセキュリティ投資額は世界平均の約1/2と言われています。

そんな中、今日のセキュリティ分野では、インシデント対応(インシデントレスポンス)が必要になってきています。インシデント対応というのは、セキュリティインシデントが発生した際の対応を迅速かつ適切に行えるように、その準備や対策を整えておこうという考え方です。

 

サイバー犯罪集団「Carbanak」

 

世界100の金融機関から、なんと10億ドルもの大金を盗んだ犯罪者集団がいます。「Carbanak(カーバナック)」というこの集団は、多国籍サイバー犯罪者集団とされ、高度に組織化されています。彼らの攻撃は2013年から確認されています。Carbanakが関わる事件の特徴は、標的型攻撃により銀行から直接金銭を盗み取ることです。銀行に金銭を預ける利用者の口座を狙う犯罪者が多い中、大胆にも彼らは金融機関を直接狙うのです。

彼らの攻撃手法はパターン化されています。スピア型フィッシングメールにより銀行のコンピュータにCarbanakマルウェアを感染させます。行内ネットワークに侵入し、管理者のコンピュータを探し出して、ビデオで監視します。送金システム担当者の画面で行われている操作・情報を記録し、その操作を模倣して送金や引き出しを行うというものです。最近の攻撃活動では、ミラードメインにホストされたオフィス文書を利用して、Carbanakマルウェアを感染させていました。2016年7月にComodoからマルウェアを使用するための適切な署名を取得すると、ロシアのペーパーカンパニー2社を利用し、架空の会社のURLとウェブサイトを使用していたということです。スクリプトには「Google Sheets」や「Google Forms」など、Google Docsを使用していました。ソーシャルメディアを使った背景情報の調査も相待って、人間の心理に漬け込んだサイバー強盗が可能になったのでしょう。

ある調査があります。Carbanakの悪意ある304のドメインの多くがアメリカや中国のコンタクト番号に登録されています。そうした中、ロシアの都市・ペルミのArtyom Tveritinovの同じコンタクト番号にcubehost.bizが登録しました。するとcubehost.bizがロシアのセキュリティファームである“InfoKube”にリンクしたのです。InfoKubeはCarbanak攻撃への関わりは否定していますが、InfoKubeのCEOであるArtyom Tveritinovは全てのソーシャルメディアアカウントを削除しています。ところが、後に70人の共謀者が存在し、Carbanakのグローバルインフラに効果的に配置されていたことが判明しています。

Carbanakによる銀行への被害は凄まじいものになります。直接的なドル損失もあれば、信用や信頼、株価に対しても悪影響を与えます。銀行の評判に損害が生じることになります。CarbanakはGoogle Docsなどの信頼されたオンラインWebサービスを使用し、通常プロトコルの利用により検知を避けるという、近代的な戦略をもってサイバー強盗に至りました。では、こうした新しいセキュリティ侵害に対し、企業はどのようなセキュリティを運用すれば良いのでしょうか。

 

これからのセキュリティ

 

これまでのサイバー犯罪とは一転し、より巧妙化された手法の元で侵害してくる犯罪者には、今までのようなゲートウェイやネットワークトラフィックをベースとした古いセキュリティだけでは太刀打ちできません。ネットワーク端末の感染後にどうするか、迅速なレスポンスが取れるようにする為のエンドポイントセキュリティが必須になってきます。

旧来のセキュリティモニタリングでは検知し、通知するところまでしか対応できませんでした。セキュリティ侵害の発生時にはIRコンサルティングが対応をします。検知のみならず、IR手法を用いるMDR(Managed Detection and Response)により、脅威に対する修復を行います。Trustwave社では、先進的なEDRテクノロジーにより、エンドポイントにおいて脅威インテリジェンスを使ってリアルタイムに行動を分析します。そして、アラート情報を分析のために送信し、深い分析と修復活動のためにEDRのインターフェースを使用します。こうした、脅威の検知とエンドポイントセキュリティを用いることで、迅速かつ適切なレスポンスが取れるようにするのです。しかしながら、それだけでなく、サイバーセキュリティに対する知識をつけることも重要です。適切なレスポンスが取れるようにセキュリティチームを教育し、サイバー犯罪に備え、より高度なフォレンジック能力を身につけることも必要になります。