事件は「エンドポイント」で起こっている

サイバー攻撃の手法は日に日に巧妙になっており、個人ユーザの端末(エンドポイント)をその攻撃から守ることはますます困難になりつつある。

2016年8月の初旬、IT企業A社でシステムエンジニアとして働くN氏。気温は朝から25度を超え、汗だくになりながらも普段と同じように出勤した。

朝の日課はメール処理である。夜間に発生した障害アラートメールと、その一時対応履歴のメールがずらりと並んでおり、朝から憂鬱な気分になる。メールボックスをひとつずつ見ていくと、いつもとは違う雰囲気のメールが一通あることに気づいた。差出人は3ヵ月前に参加したセキュリティセミナーの主催会社で、内容は新たなセミナーの案内だった。しかし何か変である。文面は普通だが、旧字体というか繁体字の漢字が用いられている。不信に感じたが、差出人は信頼のおけるセミナー会社であり、またセキュリティ技術にも興味があったので、面白そうなセミナーなら参加してみたいと思い、添付されていた「案内状 PDF」を開いてみた。

すると画面が一瞬暗くなり、「実行しますか?」というダイアログが出た。ウィンドウズ標準のユーザアカウント制御(UAC)(※1)である。「ん?PDFファイルを開くのに、なぜUACが出るのだろう?」と思いながらも、反射的にOKボタンを押してしまう。PDFは正常に開き、セミナーの案内も表示された。セミナーの内容は前回とほぼ同じらしく、「参加の必要はない」と判断し、PDFを閉じて通常業務に戻った。

(※1)ユーザアカウント制御(User Account Control:UAC)は、Windows Vista以降のOSに実装されている機能で、ウイルスや不正な操作(システム設定の変更やプログラムのインストールなど)が自動的に実行されてしまうのを防ぐことを目的としている。

内部偵察、そして……

同月の中旬、A社の情報システム部門でシステム管理者として働くL氏に1本の電話がかかってきた。発信元はセキュリティ監視サービスを委託しているI社。普段はほとんど電話連絡のない会社であったため、嫌な予感がした。

電話に出ると、こう告げられた。「貴社のIPアドレスがブラックリストに登録されているC&Cサーバ(※2)と通信しており、そのIPアドレスから大量のデータが送信された形跡がある。すぐに当該IPアドレスのPCもしくはサーバをネットワークから切り離し、マルウェアなどに感染していないか調査することを推奨する。当該IPアドレスはxxx.xxx.xxx.xxx」。

(※2)C&Cサーバとは「コマンド&コントロールサーバ」の略。マルウェアに感染したコンピュータを制御したり、命令を出したりする役割を持つサーバを指す。

L氏は電話を切ったあと、当該のIPアドレスを使用している部門・管理者を確認するよう部下に指示を出すと同時に、危機管理部門へ報告を行なうことにした。当該IPアドレスの使用部門とコンピュータはすぐに特定できた。当該IPアドレスを使用していたのは検証用のサーバだった。

しかし、ここで問題が発生した。その検証用サーバは特定の人物が1人で使用しており、ログイン用のIDとパスワードはその本人しかわからないという。さらに、その人物は夏季休暇中で次に出社するのは3日後だった。至急、上司から本人へ連絡を試みるが、休暇中ということもあり連絡がつかず、サーバの状況もわからない。そこで緊急対応としてサーバをネットワークから切り離すことにした。ここまでの対応に丸1日を要した。

3日後――

検証用サーバの担当者が出社し、さっそくサーバ内を調査したところ、作った覚えのないzipファイルがテンポラリフォルダにあった。ファイルを開いてみると、クレジットカード番号を含むA社の顧客リストと契約内容が一覧になったエクセルファイルが複数入っていた。

担当者から報告を受けた情報システム部門の管理者L氏はすぐに危機管理部門に知らせ、危機管理部門からセキュリティ担当役員へ報告が行なわれた。

その後の調査で、情報の漏えいに至ったそもそものキッカケは、N氏に送られてきたあの不信メールであることがわかった。結局、感染からセキュリティ担当役員に報告がなされるまでに約2週間もかかったことになる。(以上の物語はフィクションであり、実在の企業、事案とは関係ありません)

本事象の考察と情報システム部門にできること

本事象は「ばらまき型攻撃」の一種です。ただ、N氏がメールを開かなければ、防ぐことができたでしょうか?最近のばらまき型メールは巧妙です。標的型攻撃となるとさらに巧妙になるため、人の感覚・訓練だけで不信メールを判別するのは、非常に困難です。

次にセキュリティ監視サービス会社から連絡を受けた情報システム部門の対応はどうだったでしょうか?C&Cサーバとの通信を検知している以上、何かしらの攻撃または感染があることは確実です。すぐに当該IPアドレスの所有者に確認するまでは良かったのですが、当該サーバが検証用サーバであり「重要なデータはないだろう」と思い込んでしまい、担当者の出社まで待つことにしたのは、適切ではありませんでした。攻撃者は検証用サーバを攻撃したわけではなく、踏み台サーバとして利用したのです。担当者が夏季休暇中というのも、ただの偶然ではなく攻撃者は事前に把握していたかもしれません。

最後の砦"エンドポイント"

こうした事象を防ぐには、いろいろなアプローチがあると思います。アンチウイルスの多層化、サンドボックス製品の導入、社員のセキュリティ教育などです。しかし、報道されているような実際の事件もそうですが、事象の起点はエンドポイントにおけるマルウェア感染というケースが圧倒的に多いのです。

重要サーバまでの経路やインターネットの出入口を複数のセキュリティセンサで監視することはもちろん必要ですが、エンドポイントのセキュリティ強化が、脅威の排除に大きな効果を発揮することがわかっています。

今、エンドポイントセキュリティが新たな世代に移り変わろうとしています。2014年、ガートナー社がEDR(Endpoint Detection and Response)(※3)という考え方を提唱しました。

(※3)「Endpoint Description and Response:EDR」は、ガートナー社が2014年に提唱した考え方。これまでのエンドポイントセキュリティ製品は定義ファイルによる検知と保護が主な機能であったが、EDRツールはエンドポイントでの脅威を検知し、その後の対応を支援する。https://www.gartner.com/doc/2926318/competitive-landscape-endpoint-detection-response

これまでのエンドポイントのセキュリティ対策は、ウイルスから"保護する"ことに主眼が置かれていましたが、EDRは、万が一、ウイルスに感染しても正しい"事象確認と証跡保存"を行ない、被害を最小限に抑えるとともに適切な事後対処方法の確認のための機能を重視した製品を導入すべきだという考えにもとづいています。既存の定義ファイルをベースとしたアンチウイルスによるエンドポイントセキュリティは検知の限界にきており、EDRは"次の一手"となり得る対策と言えるでしょう。

エンドポイント対応イメージ

IIJではエンドポイントソリューションとして、機械学習を用いた新たなアンチウイルス製品の取り扱いを開始しました。また今後は、感染後の適切な事象の把握と対処方法の提言ができるよう、EDR製品の取り扱いも予定しています。

過信は禁物

新たなエンドポイントソリューションを提案すると、お客さまから次のような質問を受けることがあります。「エンドポイントセキュリティが完璧であれば、その他のセキュリティセンサは要らないですか?」。

なかなか鋭い質問です(笑)。たしかに脅威の起点がエンドポイントであることは多々あります。しかし、これはセキュリティ全般に言えますが、"100パーセント防ぐ"ことは、どのような製品でも不可能です。サンドボックス製品が世に出ると、すぐにそれをすり抜けるマルウェアが現れたように、セキュリティ対策は常にイタチごっこです。ですから、驚異的な検知率を誇るエンドポイント製品が開発されても、やがてそれを回避する技術が出てくるでしょう。ひとつの製品を過信せず、多層防御をとることが引き続き重要だと考えています。

(イラスト/STOMACHACHE.)

インターネット関連の最新情報「IIJ.news」をお届けします

本記事が掲載されているIIJグループ広報誌「IIJ.news」は、インターネット関連の最新動向や技術情報をお届けする小冊子で、2ヵ月に1回発行しています。

定期購読をご希望の方には無料でお送りしますので、ぜひお申し込みください。

掲載内容はIIJ.newsページでご覧いただけます。

※IIJグループ広報誌「IIJ.news vol.136」(2016年10月発行)より転載