第3回は、最新の標的型サイバー攻撃の傾向として明らかになっている4つのデータから、基本的なセキュリティ設定によってどれだけの標的型サイバー攻撃を制限できるかについて考えました。結果としてファイアウォール、プロキシ、メールサーバーなどの設定から多くの攻撃手口が制限できることが確認できました。

 今回はさらに、標的型サイバー攻撃対策における「可視化」の重要性について説明します。第2回で言及した通り、標的型サイバー攻撃では攻撃者が圧倒的に有利です。事前準備段階で入手した組織の「弱点」を狙い、執拗に「継続」される侵入の試みは、何度かは防げたとしてもいつか成功します。

 そのため、標的型サイバー攻撃の対策では侵入を前提とした考えが必要です。そして、侵入後の内部活動においては、攻撃を容易に発覚させないために様々な「隠蔽」が行われます。侵入を前提とした対策においては、この隠蔽された内部活動を「可視化」し、攻撃の存在を把握することが最も重要です。

不可欠となる「ネットワーク挙動監視」

 標的型サイバー攻撃の可視化に当たって、現在最も期待されており、実際に成果が上がっている手法が「ネットワーク挙動監視」です。外部とのC&C通信をはじめとして、標的型サイバー攻撃の全ての段階で、ネットワーク内外に対する通信が発生します。攻撃者は侵入した端末上ではそのコントロールを完全に奪い、完璧な活動「隠蔽」が可能ですが、ネットワーク上では最低限既定の通信方法に則って通信する必要があり、正規通信の中に紛れさせたとしても完全な「隠蔽」は見込めません。

 つまり、ネットワーク上の挙動を監視することで、侵入した標的型サイバー攻撃の通信を「可視化」できる可能性があります。具体的な監視方法としては、スイッチやルータにおいてポートミラーリングをして、すべての通信を記録する方式が理想です。しかし、単に記録しておくだけでは膨大なログの精査が必要となり、結局のところ監視結果を活用できないことになりがちです。

 そのため、標的型サイバー攻撃において発生する通信をパターン化し、検知できるようにする仕組みも必要になります。ただし、標的型サイバー攻撃で発生する通信は、正規の通信に紛れる「隠蔽」が試みられていることが多く、ある条件の通信の検知だけで即座に攻撃と判断できないことも事実です。

 侵入検出/防御システム(IDS/IPS)や次世代型ファイアウォール(NGFW)などネットワークセキュリティ機器によるイベント監視に当たっての最大の障害は、大量のイベントが並列に扱われノイズ化してしまうことです。これはネットワーク挙動を監視する上で最も注意すべき点です。このような監視における判断の難しさをトレンドマイクロが実際に直面した監視の事例から紹介します。