以前からお付き合いのある企業のシステム管理者から、「三菱重工が国内11拠点でウイルス感染したと公表している。原因は、標的型のサイバー攻撃とされているが、今回の標的型攻撃の手口は何だったのか。攻撃を受けても被害を受けないようにするための具体的な対策はあるのか?」と相談を受けました。
トレンドマイクロのブログ「Malware Blog」には、9月19日に「Japan, US Defense Industries Among Targeted Entities in Latest Attack」というエントリーが投稿されました。
同じ日に三菱重工業がウイルス感染を公表していることから、Malware Blogのエントリーにある企業の中に三菱重工が含まれている可能性が高いと考えられます。このエントリーには、非常に興味深い内容が含まれています。簡単にまとめると以下のような内容です。
●攻撃のターゲット
日本、イスラエル、インド、米国の防衛産業企業が標的となり、8社の被害を確認できた
●侵入の手口
同一のC&Cサーバー(攻撃者が設置したコマンド&コントロールサーバー)に接続するウイルスサンプルから、次のような手口が推測される。まず、攻撃者から細工を施されたPDFファイルを添付した電子メールが送られる。次に「Adobe Reader」や「Adobe Flash Player」の既知の脆弱性(CVE-2011-0611)を悪用して電子メールを受信したPCに外部からファイルをダウンロードさせ、バックドアを作成する。そして、外部の攻撃者が用意したC&Cサーバーに接続して、攻撃が成功したことを知らせたうえで命令を待つ状態にする
●侵入後の別なマシンへの感染の手法
「pass-the-hash」と呼ばれるテクニックなどを使用して、ネットワーク内の別なマシンへの侵入を試行する。そして、侵入に成功すると“リモートアクセス型トロイの木馬”(RAT:Remote Access Trojan)を送り込み、外部から制御可能とする
[関連記事]
三菱重工、国内11拠点でウィルス感染の事実を公表、「機密情報流出は確認されず」(ITpro:2011/09/19)
防衛産業を狙ったウイルス攻撃が相次ぐ、日本や米国などで8社が被害
米トレンドマイクロが報告、Adobe ReaderやFlashの脆弱性を悪用(ITpro:2011/09/21)
[関連情報]
標的型メール攻撃事案の把握状況について(警察庁:2011/09/21)
「pass-the-hash」という少々目新しいテクニックは、侵入したマシンのシステム管理者などのIDとパスワードハッシュを調べ、それを使ってネットワーク内のほかのマシンへの侵入を試みるものです。“パスワードの使い回し”をしているマシンがあれば、攻撃者は楽々と認証を突破し、侵入できます。こうしたことからも、“パスワードの使い回し”がいかに危険なことかが分かります。
また、今回悪用されたと推測されるFlashファイルの脆弱性“CVE-2011-0611”は、今から約5カ月前の2011年4月に既に修正版が公開されています。当然、最新版にバージョンアップしていれば、“CVE-2011-0611”の影響は受けません。
[関連情報]
APSA11-02:Flash Player、Adobe ReaderおよびAcrobatに関するセキュリティ情報(アドビ:2011/04/11)
組織全体として標的型攻撃への対策を
ただ、標的型攻撃に対しては、こうしたパソコン単体での対策だけではなく、組織全体として対策を行う必要があります。
IPAは9月20日、組織全体としての対策を促すべく、三菱重工のウイルス感染発生を契機として「組織の重要情報の窃取を目的としたサイバー攻撃に関する注意喚起」を公開しました。この中や別紙資料、関連リンクで記載された対策の項目は以下の通りです。
- ネットワークの入口と経路での防御
- 脆弱性対策
- ウイルス活動の阻害および抑止 (出口対策)
- アクセス制御
- 情報の暗号化
- システム監視、ログ分析
- 管理統制およびコンテンジェンシープラン (事前準備・事後対応)
・「新しいタイプの攻撃」に関するシステム・ネットワーク設計における6つの推奨対策
- プロキシの認証情報のチェック
- HTTP、SSL通信のヘッダーチェック
- 未知のウイルスを検出可能なソフトウェアの導入
- スイッチ等でのVLANネットワーク分離設計
- 最重要部のインターネット直接接続の分離設計
- システム内P2P通信の遮断と検知
- エグゼクティブサマリ
- 「新しいタイプの攻撃」の問題と背景
- 「新しいタイプの攻撃」の動作と問題整理
- 新しい脅威に立ち向かうポイント
標的型攻撃への対策を考えるに当たっては、「外部からの攻撃は完全には防げない。ウイルスやボットが侵入しても最悪でも情報漏洩を阻止し、被害を極小化する」という観点が重要です。それを実現するために有効なのが、セキュリティ対策の防御壁を複数配置するという「多層防御」(Defense In Depth)という考え方です。
私が以前執筆した下記のコラムも、考え方は参考になると思います。記事は2008年のものであり、「現在のウイルスやボットは,自分が直接外部と通信できない場合,認証を突破して外部と通信するというところまで進化していないようです」と、現状にそぐわない部分がありますが、根本的な対策の考え方は変わりません。
[関連記事]
UTMに頼り切ったセキュリティ設計は危険、プロキシ・サーバーを組み合わせた“多層防御”が必要(ITpro:2008/10/14)