脅威インテリジェンスの提供拡大で「われわれは常に“カイゼン”している」、研究者とCIOに聞く
30億のメールボックスを保護するSpamhaus、20周年で語る「次の進化」
2018年08月20日 07時00分更新
「LINE」などのメッセンジャーが新たな攻撃手法に取り込まれる?
日々大量のデータを分析しているSpamhausでは、最近の脅威動向をどのように見ているのだろうか。ストラテン氏にそれを尋ねたところ、ボットネットを悪用したスパム配信で新たに見られるいくつかの兆候を説明してくれた。
2009年から現在までのボットによるスパム配信数推移。「時折スパイクが見られるが、現在は“眠っている”状態だ」(ストラテン氏)
まずは「ジオオプティマイズ化(地域最適化)」の動きが見られるという。これは、たとえば「日本の感染ホスト(ボット)を使って、日本国内にスパムメールをばらまく」といった具合に、同一地域内のボットネットを悪用して攻撃する手法が活発化しているという意味だ。他地域から送信されたメールならば比較的“要注意度”も高いと判断しやすいが、同一地域内であればそれが難しくなる。
また、ユーザーからメールアカウントのクレデンシャル(ID/パスワード)情報を盗み出し、それをフィッシングメールの配信などに悪用するケースも目立つようになっているという。この場合、正規のユーザーになりすまして正規のIPアドレス/ドメインから送信されることになり、システム的なブロックが困難になる。電子メールにまつわる国内の脅威動向に詳しいTwoFiveの末政氏も、そうした攻撃が発生していることを認める。
「TwoFiveがお付き合いのある大手通信事業者からも、盗み出したメールアカウントのクレデンシャルを使ってWebメールのAPIを直接叩き、(フィッシング/スパムメール送信のような)攻撃に悪用されるケースが増えていると聞く。彼ら(Spamhaus)の発言の正しさを裏付ける証言だ」(末政氏)
また、高度なセキュリティ技術の適用によるメールサーバーにおけるブロックを回避するために、「WhatsApp」や「LINE」のようなメッセージングアプリやSMSを経由したフィッシング攻撃も見られるようになっているという。特に、メッセージ内容がエンドトゥエンドで暗号化されるタイプのメッセージングアプリでは、フィッシングサイトのURLなどが含まれていてもフィルタリングすることができない。
ストラテン氏は「こうした動きに対抗するためには、DNSレベルでのブロックが有効だ」と指摘する。Spamhausではメールサーバー向けだけでなく、DNSサーバー向けのデータセット(RPZ:Response Policy Zones)も提供している。これを活用して“DNSファイアウォール”を構成すれば、フィッシングサイトやC&Cサーバーにアクセスするトラフィックを直接ブロックしたり、そのログから管理者に警告を与えたりすることが可能になる。
“DNSファイアウォール”の概要。クライアントマシンがフィッシングサイトなどにアクセスしようとしても、DNSレイヤーでそれをブロック/警告できる
実際にクラウドプロバイダーの米Rackspaceも、クライアントマシンからのC&Cサーバーへのトラフィックをブロックするために顧客向けDNSサーバーにRPZを採用した。その結果、常時80Mbps程度発生してたC&C/ボットネットトラフィックがほぼゼロになったという。
また、新たな種類のデータフィードとして「クリプトマイナー(Cryptominer)リスト」も提供している。これは、ユーザーのブラウザを介してBitcoinなどの暗号通貨(仮想通貨)を不正にマイニングさせるJavaScriptを埋め込んだサイトのリストだという。なお、ユーザーの承諾を得てクリプトマイニングを実行する正当なサイトはリストに含まれず、「悪意のある」サイトのみリストアップしていると語った。
今秋には新サービス「Passive DNS」も一般提供開始へ
今後のSpamhauseの動きとして、ひとつは前述した“DNSファイアウォール”の普及が挙げられるとバラ氏は答えた。DNSレベルでトラフィックをブロックできるため、セキュリティソフトがインストールできないスマートフォンやタブレット、さらに今後急増することが予想されるIoTデバイスの保護に役立つからだ。また、攻撃者側のトラフィック暗号化により検知しづらくなっている攻撃についても、その阻止や被害緩和に寄与するだろう。
また、今年9月をめどに「Passive DNS」というサービスを公開予定だ。これは企業のセキュリティアナリストやSIEM管理者が利用するためのツールで、バラ氏によると「7年前からSpamhaus内部で使っていたツール」だという。アクセスログに記録されたIPアドレスやドメイン名から検索(クエリ)を実行すると、そのIPアドレス/ドメインがいつから使われているか、同じIPアドレスを共有するサブドメインは何か、といった情報が取得できる。これにより、不審なIPアドレス/ドメインをあぶり出すというものだ。
「使い方の一例として、大手企業、たとえばみずほ銀行ならば『mizuho』と入力してみることで、攻撃者が勝手に登録したドメインがなりすましやフィッシングに使われていないかのチェックにも使える」(末政氏)
今年秋から正式提供開始予定の「Passive DNS」。ドメイン名/IPアドレスからさまざまな情報を引き出すことができるという
ストラテン氏は、Spamhausではこれからも提供するデータセット、脅威インテリジェンスを拡充していく方針だと語った。
「われわれは常に“カイゼン”している。実は(この取材の)1時間前にもミーティングを行っていたが、そこでまた新しいデータセットを作るよう求められたところだ」(ストラテン氏)
