4月15日、トレンドマイクロは「国内標的型サイバー攻撃分析レポート2015年版」を発表した。それによると、2014年は標準のプロトコルや通信、業務タスクなどを隠れ蓑に、より巧妙に攻撃活動を隠ぺいする傾向が見られたという。
業務タスクや通常の通信に紛れ込む傾向がますます顕著に
同レポートは、同社製品/サービスで確認された国内の標的型サイバー攻撃の活動を、事前準備・初期潜入・端末制御・情報探索・情報集約・情報送出の6段階に分類。特に対策が可能な初期潜入以降の5段階について、それぞれ分析したものだ。
「標的型サイバー攻撃は、活動を隠ぺいしながら環境に応じて変化し、継続的に実行される。2014年は、その中でも隠ぺい工作の進化が顕著だった」。トレンドマイクロのセキュリティエバンジェリスト、岡本勝之氏は総括する。
トレンドマイクロ セキュリティエバンジェリスト 岡本勝之氏
初期潜入では、正規ソフトの更新機能経由で不正プログラムを頒布する活動が確認された。事例は2件のみだが、いずれも特定組織のIPレンジから接続があった場合のみ攻撃が発動する仕掛けになっており、国内組織を狙ったもので観測されたのは初めてという。これは、いわゆる水飲み場攻撃と呼ばれるものだが、今後増えるかどうかは「周到な準備が必要なため、大幅に増えるとは思えない。今後も標的型メール経由でマルウェア感染させ、潜入するという手法が引き続き主流となるだろう」と岡本氏は言う。
潜入後、攻撃者はマルウェアを感染させた社内端末から遠隔操作用サーバー(C&Cサーバー)と通信し、遠隔操作ツール(RAT)を設置する。そのRATだが、2013年はPOISONIVYが23%ともっとも多かったのに対し、2014年は前年から台頭しつつあったPLUGX(32%)とEMDIVI(35%)がトップとなった。
「POISONIVYは、Windows 98/2000/XPといった古いバージョン対応のツールだ。これらバージョンのサポートが終了し、起業では新OSへの移行が進んだ。これを受けて、攻撃者もWindows 7/8対応のPLUGXやEMDIVIに移行したのだろう」(岡本氏)。
遠隔操作ツールは、標的のOS環境の移行に合わせて最新OS対応のPLUGXやEMDIVIへ移行
遠隔操作用サーバーでも、面白い傾向が見られた。これまではその大半が米国に設置されていたが、2014年は国内設置が44%ともっとも多かった。しかも、そのうち約94%は正規サイトが改ざんされたものだった。岡本氏は、海外サーバーとの通信よりも国内サーバーの方が監視は甘いとにらんだ結果と見ている。
国内の改ざんされた正規サイトが遠隔操作用サーバーとして悪用されていることが判明
通信自体も、69%のHTTP(ポート80)を筆頭とするウェルノウンポートが使われ、うち84%は標準プロトコルを利用するなど、「通常の通信」に紛れ込んで検知を回避する工夫が見られた。「POISONIVYは独自のプロトコルを使っていたが、EMDIVIやPLUGXはHTTPや標準プロトコルを使う。ポートやプロトコルで不正な通信を監視するだけでは、もう十分ではない」(岡本氏)。
通常の通信ポートやプロトコルを使って検知を免れる傾向が顕著に
情報窃取の活動では、2013年に引き続き、2014年も管理者権限をブルートフォース/辞書攻撃で奪取してから、侵入先に内部活動用ツールを転送。リモート実行し、最後に痕跡を消去するという流れが健在だった。その中で、2014年はログオンスクリプトやサーバーのバッチ処理など、ネットワークの管理設定を改ざんして「通常の業務タスク」に潜り込む傾向が特に見られたという。
「平常時の標準的な業務タスクに乗っかられてしまうと、見抜くのは厳しい。しかも、SIEMなどのシステムログ保存タスクを改ざんしたり、ログ自体を消去して痕跡を消したりする活動も確認されており、ますます検知しづらくなっている」(岡本氏)。
(次ページ、攻撃の変化に合わせて防御も進化することが今後の課題)
