標的型攻撃など、犯罪者による攻撃がますます巧妙化しているセキュリティインシデント。こうした攻撃へのセキュリティ対策として、大量データ(ビッグデータ)を分析する手法が登場し始めている。今回は、ビッグデータを活用したセキュリティ対策を講じているセキュリティベンダーを紹介しよう。
標的型攻撃などの攻撃者は、インターネットという広大な空間のどこかに潜んでいる。標的型攻撃では、被害者のパソコンに感染させたマルウエアに対して、指令サーバー(C&Cサーバー)から命令を送り、機密情報などを盗み出そうとするのが一般的だ。
このC&Cサーバーは複数個あり、それらを駆使して同一の攻撃者/攻撃者グループが攻撃を繰り返すといった事例も少なくない。広大なネット空間の中で、このような実態はなかなか分からないのが実際のところだ。
そこでセキュリティベンダー各社は、こうした攻撃者の実態を把握しようとさまざまな活動を行っている。その1社がトレンドマイクロだ。同社は2012年8月24日、「2012年上半期国内における持続的標的型攻撃の傾向」というレポートを公開し、その中で、日本国内における事例として「PoisonIvyによる標的型攻撃の分析」結果を明らかにした。
PoisonIvyとはWeb上に無償で公開されている遠隔操作ツール(RAT)のこと。このツール自体は不正なプログラムとは言い切れないものの、作者に連絡することでウイルス対策ソフトに検出されないバージョンを有償で提供するといったこともしている“グレー”なツールだ。
PoisonIvy自体が公開されているため、PoisonIvyを使った攻撃というだけでは攻撃者が同一であるかどうかは分からない。しかし、接続先ホストとの認証や暗号化のために用いるパスワードなどは攻撃者だけが知り得る情報であるため、その共通点を探って分析していくと、攻撃者の実態が浮かび上がってくる。
トレンドマイクロは、2012年上半期に日本において確認したPoisonIvyによる50の攻撃を抽出し、それぞれのサンプルに固有な情報を調査した。その結果が図1である。
図中で、緑の丸がパスワード、青の丸がIPアドレス、小さい茶色の丸がサンプルとなった不正プログラムを表す。左上の「集団(A)」のところに着目すると、10個の不正プログラムが同一のパスワードを用いていることが分かる。さらに、複数の不正プログラムが同一のC&Cサーバーを使い、うち2つのC&Cサーバーが同じIPアドレスを使っていることも分かる。
このようにして集団(A)、(B)、(C)の特徴を解明していき、最終的にこの3つの集団のIPアドレスのアドレスブロックが共通していたことから、トレンドマイクロは「同一のC&Cサーバーの基盤を利用している」と推察した。そして、これらが攻撃全体の約50%を占めており、「同一の攻撃者/攻撃者グループが執拗に攻撃を繰り返している可能性」が高いという結論に達したのだという。
結果の図だけを見ると単純なようにも見えるが、この図を作り上げる基となったのは、一つひとつの不正プログラムが残した膨大な数のログデータだ。まさに、ビッグデータの活用事例と呼べるものである。
こうしたビッグデータによる分析が実際の犯罪捜査に役立つこともある。2011年11月にFBI(米連邦捜査局)によって摘発された「Rove Digital」の事例だ(関連記事:史上最大規模!サイバー犯罪グループを追う)。捜査には、トレンドマイクロをはじめ多くの業界関係者が協力し、犯罪グループを追い詰めていったのだという。
ただし、Rove Digitalに関する調査は長期間にわたっており、当時の分析では人手を介することが多かった。一方、今年発表したPoisonIvyの事例では、さまざまなツールを用いることで、システマチックに分析を進めることができたという。トレンドマイクロによると、こうしたシステマチックな分析手法を推し進めることで、さらに大量データの分析が可能になり、いち早い警戒情報やソリューションを提供できるようになるだろうとしている。
