【講演資料】サイバーセキュリティ再考

先日、８月２５日にＩＳＡＣＡ東京支部例会で講演した際の資料です。

「サイバーセキュリティ再考」　（ＰＤＦ　７７１ＫＢ）


昨今のセキュリティインシデント多発を受け、組織として取り組むべき課題を考えてみました。前半は、標的型攻撃のおさらい、中盤は事例検討、後半が組織、体制と人材の話になっています。

RSAコンファレンス ASIA PACIFIC & JAPAN 2015 からの知見

遅くなってしまいましたが、7月のRSA ASIA PACIFICからのレポートです。

【Threat Intelligence関連】

昨今の世界的なセキュリティインシデント発生の状況を踏まえ、こうした脅威情報の収集・分析とその共有が大きな課題になりつつあります。残念ながら、現状では攻撃側に対して防御側が後手に回ってしまっていることは否めません。コンファレンス冒頭のトレンドマイクロCTOによる基調講演の中でも、米国の情報機関系ベンチャーキャピタルCISOの言葉として以下のような内容が紹介されています。

つまり、防御側も進歩はしているものの、攻撃側はそれ以上の進歩を遂げているというわけです。もちろん、これにはサイバー空間での攻防の非対称性、つまり、攻撃側が少数精鋭で非常に多くの同時攻撃を実行できるのに対し防御側は個別対応を余儀なくされるといった特性や、攻撃側の新しい手法に対して、防御側がどうしても後手に回ってしまうといった問題が背景にあります。しかし、それに手をこまぬいていては、いつまでたってもこの状況は変わりません。

そこで、昨今脚光を浴びているのが、このThreat Intelligenceという言葉（考え方）です。非対称性はさておき、少なくとも後手に回るという事態を少しでも減らすために、相手の先読み、先回りをできるようにしようというのが、基本的な考え方です。過去の情報や、ある場所で起きた（ある対象が受けた）攻撃に関する情報を収集、分析して防御側で共有し、それをもとに次の動きを予測して防御を固めることが出来れば、後手の不利を多少なりとも緩和できます。防御に役立つだけでなく、万一の侵害に際しても、その発見や対処の効率を上げることができるでしょう。

攻撃情報の分析は、おおむね以下のような事項を明らかにすることです。

・攻撃者（グループ）の特定

・攻撃者の意図、目的、戦略の推定

・攻撃者のスキルや癖の把握

・攻撃手法（ソーシャル手法、マルウエア、攻撃コードその他）の特徴、傾向分析

これによって、次に標的にされるであろう、もしくは、既に攻撃を受けているかもしれない対象を推測できるほか、使われる手法の傾向などから、今後使われるであろう、もしくは未発見の手法も推定できます。これにより、まだ発見できていない侵害を発見できる可能性が高まるほか、攻撃されそうな対象に先回りして防御を固めたり、罠を張ったりすることが可能になります。

こうした分析を得意とする企業なども多いので、今後はこうした情報提供のサービスがより活性化すると考えられます。また、様々な組織間でコミュニティーを作って情報共有しようという動きも強まるでしょう。

こうした脅威分析の事例もコンファレンスではいくつか紹介されています。IBMは、Dyerと呼ばれる不正送金マルウエア（亜種を含む）を使った活動の分析を紹介していました。

このマルウエアは、世界的に様々な場所（主に英語圏）で使われているもので、このプレゼンでは、分布や感染、フィッシングに使われるメールや、マルウエアの特徴、活動などが紹介されていました。

こうしたマルウエア分析は、様々なウイルス対策ソフトベンダが行っているものですが、最近では、こうした活動を行うグループを追跡して、その特徴を調べているベンダも多くなってきました。FireEye社の一部となったMandiantもそのひとつで、大陸系の政府が関与していると推定されるいくつかのグループを追跡してその動向をレポートしています。

この例では、彼らがAPT30と名付けたグループが、ASEANの国々を対象としたオペレーションを展開していることが紹介されています。左側は確認済みの国、右側は可能性が疑われる国となっていて、日本も含まれています。

上の図は、実際のオペレーションで使われたマルウエアの一覧で、首脳会議などに際して情報収集を目的として使用されています。こうした分析では、マルウエアの特徴を分析し、その共通性から同一のグループが使ったと思われるものを特定しています。

下のものは、APT4と呼ばれるグループが主にアジアの航空会社をターゲットとしたオペレーションを展開していることを紹介したものです。

以下の例は、APT17と呼ばれるグループがマルウエアの遠隔操作にマイクロソフト社のTechnetサイトへの投稿を利用した例です。このように、最近では、遠隔操作用のC&C（C2）サーバを独自に持つのではなく既知の正規サイトを利用するケースも増えていて、これは、Webフィルタリングなどに対抗した動きとみられています。

最近、こうしたグループの脅威分析では、TTPという言葉が使われます。

T: Tactics : 戦略

T: Techniques : 手法、技法

P: Process : 手順

この3つの切り口でグループを分析するというのがトレンドのようですが、それぞれの中身は各社によって異なるようです。

上のProofpoint社はメールセキュリティの会社ですが、会社の社内電子メールの文面がブラックマーケットで売られているという興味深い内容が紹介されていました。

実際、標的型攻撃に、こうした社内メールのサンプルが使われることで、メールを開いてしまう可能性がかなり高くなります。

さて、こうした脅威分析の情報の流通や、それをどう使うかは大きな課題です。昨今、このような情報を電子化し、システム間で交換して利用しようという動きも始まっていて、そのために、コンピュータで処理しやすいように情報を整理するフォーマットなどもいくつか提案されています。コンファレンスではそうした内容のセッションもあって、いくつかの標準フォーマットが紹介されていました。

既に、こうしたフォーマットをもとに、システム間連携を実装し始めている企業も増えており、情報提供サービスを含めて、今後のビジネストレンドのひとつとなっていきそうです。

将来的には、ある攻撃での分析情報がシステム上で流通し、短時間で同種の侵害を発見したり、未然に防いだりすることができるようになる可能性があります。いずれにせよ、防御側も、様々な情報で武装して、少しでも先回りができるようにしたいものです。

以上