標的型攻撃による被害が表面化することが増え、セキュリティ対策は一段と悩ましいものになっている。標的型攻撃を防ぐことは難しいと言われるが、本当に既存のセキュリティ技術では対策にならないのかと疑問を持つ方は多いのではないだろうか。確かに、攻撃者が入念な準備を行えば、ウイルス対策ソフトやIPS(侵入防御システム)を回避できる。そのような手の込んだ攻撃を想定した場合、これまでの対策だけでは、不十分な場合も多いだろう。
今回は、実際に発生している標的型攻撃の事例を基に、標的型攻撃に対してIPSがどこまで役に立つのか検証する。既にIPSを導入している、または導入を予定している場合は、今後の対策見直しに役立てていただければと思う。なお、今回検証に使用したIPSはIBM Security Network IPSだけであり、他のIPSでも全く同じ結果になるとは限らないことをあらかじめお断りしておく。
外部からの攻撃を監視
現在確認されている標的型攻撃の多くはメール経由で仕掛けられている。そして、標的型攻撃メールの多くには、ドキュメント・ビューアの脆弱性を突く不正なドキュメントファイルが添付されている。IBMの東京セキュリティー・オペレーション・センター(東京SOC)では、標的型攻撃メールの約90%に不正なドキュメントファイルが添付されていることを確認している(図1)。
IPSは、脆弱を攻撃する通信を検知することを目的としているため、このような標的型攻撃メールを検知できる可能性がある。ただし、不正なファイルの添付された標的型攻撃メールをすべてIPSで検知できるとは限らない。例えば、標的型攻撃メールによく利用されるPDFファイルは、内部にJavaScriptを埋め込むことができるため、PDFファイル内の攻撃コードをJavaScriptで難読化し、IPSの検知を回避することが簡単にできてしまう。
では、IPSの検知を回避しようとするPDFファイルを全く検知できないかというと、そうでもない。IPSには脆弱性攻撃の検知を目的とするシグネチャー(Attackシグネチャー)に加え、攻撃ではない様々な種類の通信を記録する監査目的のシグネチャー(Auditシグネチャー)がある。このようなAuditシグネチャーを用いることで不審な通信を洗い出し、隠ぺいされた攻撃をあぶり出すことができる。
例えば、IRC(Internet Relay Chat)サーバーへの接続を記録するAuditシグネチャーを、IRCの利用を許可していない組織で検知した場合、ボットの感染を疑うことができる。Auditシグネチャーを利用すれば、前述のようなIPSの検知を回避しようとするPDFファイルを検知できる可能性があるのだ。
PDFファイルを検査するAuditシグネチャーには、「JavaScriptの含まれたPDFファイル」や「難読化処理のために利用する関数の含まれたPDFファイル」、「コンテンツ(SWF、U3D、XFAなど)が含まれたPDFファイル」を検知するものなどがある。これらのAuditシグネチャーによる検知を組み合わせることで不正なPDFファイルを識別できる場合がある。例えば、PDFファイルに“JavaScript”と“難読化のための関数”、そして“SWF(Flashファイル)”が含まれていることが確認できれば、Adobe ReaderのFlashエンジンに対して何か怪しい処理をしようとしている可能性が高いと推測できる(Adobe Reader の脆弱性CVE-2011-0611など)。このような三つの処理が含まれる正常なPDFファイルはまずあり得ないからだ。
ただし、このような推測をするには、不正なPDFファイルにどのような特徴があるのかという「攻撃コードの知識」と、IPSではその攻撃コードをどのように検知できるかという「IPSの知識」が必要になる。また、Auditシグネチャーは通常のアクティビティーを記録しておくことを目的としているため、大量に検知することが多い。そのため、すべてのAuditシグネチャーを分析することは不可能に近い。大量のAuditシグネチャーの中から怪しいログに見当をつけて効率的に分析できるように、分析補助ツールなどを用意しておくことも重要である。
