中小企業も標的型攻撃のターゲット？

初期潜入段階では、メールを標的ユーザに送付しマルウェアに感染させます。

攻撃手口

・標的ユーザに関連する情報(差出人やメール件名等)を使ったメールの送付
・ アイコンの偽装、ファイル拡張子の偽装により、ユーザの警戒心を解除する
・ ユーザに添付ファイルを開かせる(プログラムを実行する)ことで、画面上の変化なくマルウェアに感染させる

攻撃が成功する要因

1 標的型メールと見抜くことが困難

近年の標的型メールは、完成度の高い日本語で書かれており、攻撃準備段階で窃取した本物のメール が使われるなど、メール自体から偽物と見抜くのが困難になってきています。

2 マルウェアの検知が困難

高度標的型攻撃に使われるマルウェアは、標的とする組織ごとにオリジナルのマルウェアを改造していると言われており、ウイルス対策ソフト等で検知されないような工夫が取られています。

3 脆弱性を悪用しない手口の横行

アイコンやファイル拡張子が偽装されており、ユーザが騙されやすい環境が創出されます。また、ユーザ は正当なアプリケーションと騙されてマルウェアをインストールするため、脆弱性対策を施したセキュアな端 末でもマルウェアに感染してしまいます。脆弱性を完全に除去してもマルウェア感染を完全に回避できるわ けではありません。攻撃者は、巧妙な偽装テクニックやユーザの心理・行動的な隙を突き標的型メールを送付してきます。ユ ーザ側でいくら注意しても、大量の業務メールに紛れて受信するため、見分けるのが困難であり、結果とし て攻撃の成功率が高まります。そのため、本段階での防止は難しく次段階以降の攻撃プロセスに至るケー スが多いのが実情です。

攻撃者は、本格的な攻撃に入る前段階として、コネクトバック通信を開設し、各種ツールを用いて試行錯誤しながら内部のネットワークやサーバの位置情報を把握します。

1
コネクトバック通信の開設

ユーザ端末に送り込まれたマルウェアが活動を開始すると、C&C サーバに対して「リモートコントロール 通信経路(コネクトバック通信)」を開通しようとします。コネクトバック通信が確立されると、攻撃者が C&C サ ーバを経由してリモートから端末を制御できる状態になります。また、コネクトバック通信は、オフィス環境で使用される HTTP や HTTPS といった通信プロトコルを用いる ため、通信の特徴だけでは検知が困難な場合が多いのが特徴です。

・直接外部通信タイプ：直接 C&C サーバに接続するタイプのマルウェア
・プロキシ通信対応タイプ：プロキシサーバと連携するタイプのマルウェア
・認証プロキシ突破タイプ：Windows 標準 API や通信キャプチャー等により、プロキシの認証機能を突破するタイプのマルウェア

2 侵入端末での諜報

・ツールのダウンロード：攻撃に悪用するための複数のツールをダウンロードします。

・コマンドの実行：コマンドを実行して、サーバの位置情報や端末の環境情報を収集します。

・認証情報の窃取：ダウンロードしたツールを用いて、端末にキャッシュされているパスワードハッシュを窃取します。

3 ネットワーク環境調査・探索

攻撃者は侵入端末を起点として、下記の様な内部ネットワークに関する情報を収集し、通信の到達範囲 や動作しているサービスを把握します。探索行為は、特定のポートに絞ったスキャンを実施することで、不正 操作の発覚を隠ぺいする工夫が取られています。

・ IP アドレスの探索
・ サービスポートの探索

・ 攻撃が成功する要因/運用側の問題点 攻撃者は、システムを攻略するに際し、様々な弱点を狙ってきます。狙われる弱点には、ソフトウェアの脆弱性やサーバの設定ミス等の“セキュリティホール“だけでなく、セキュリティの考慮が不足しているシス テム構成や運用手法も含まれます。

1 ファイアウォールのフィルタリングルールの形骸化

システム運用当初は、全ての通信がプロキシサーバを経由するように設計されていても、時間の経過と 共に、ファイアウォールのフィルタリングルールは緩くなり、徐々に当初のポリシーからかけ離れていく事例が散見されま す。ファイアウォールのフィルタリングルールが形骸化した環境では、マルウェアが外部の C&C サーバとのコネクトバック 通信を開設しやすくなります。更に、コネクトバック通信はルールに則った正常通信となるため、発見や事後 分析が困難になる恐れがあります。

2 素通しに近いプロキシサーバの運用

プロキシ通信対応タイプのマルウェアにおいては、HTTP の CONNECT メソッドを発行してプロキシサーバ を通過する手口が用いられます。HTTPS(443ポート)のような CONNECT メソッドを使用した正規通信と比 べて、マルウェアの通信は、独自プロトコルやランダムなポートへのアクセスが多いことが分かっています。CONNECT メソッドを自由に利用できる素通しに近い環境で運用されているプロキシサーバでは、マルウェアが外部の C&C サーバとのコネクトバック通信を開設しやすくなります。

想定される脅威と攻撃手口 攻撃者は、認証情報を窃取しながら、近隣の端末やサーバへ攻撃範囲を拡大していきます。

1 端末間での侵害拡大

・侵入した端末から管理者アカウントのパスワードハッシュを奪取する。

・FTP サービス、Windows ファイル管理共有、echo コマンド等を使用して、近隣端末へ内部攻撃用の

・ツールをコピーする。(Pass The Hash 攻撃の悪用)

・近隣端末にコピーした内部攻撃ツールをリモート実行し、近隣端末を乗っ取る。

・イベントログやツール実行時に生成されたファイルを削除し、痕跡を消去する。

2 端末からサーバへ侵害拡大

・管理者端末の乗っ取り 侵害範囲が運用管理端末に及ぶことで、運用管理端末を経由してサーバに攻撃が及ぶようになります。管理者端末が乗っ取られた状態では、サーバ側で管理者認証を実装していても、効果 が無く、認証が突破されてしまいます。

・ユーザ端末からのサーバへのリモート操作 ユーザセグメントからサーバセグメントに対して、アクセスフリーな状態で運用していると、サーバへの侵害を許しやすくなります。攻撃者は、ユーザ端末から SSH、リモートデスクトップ、PsExec 等のリモート管理サービスを利用して、サーバへ不正アクセスを試みます。

・攻撃が成功する要因/運用側の問題点 内部侵入・調査段階においては、システム内を自由に歩き回れるアクセス制限の緩い環境こそが、攻撃を完遂させやすい状況になってしまいます。一方で、運用の利便性を考慮すると、制限を厳しくできないケ ースも存在し、利便性を考慮しながら、対策を検討していく必要があります。

1 ユーザ端末におけるファイル共有サービスの開放

攻撃者は、端末のファイル共有サービスにバックドアツールを仕掛けて、端末を乗っ取っていきます。そ のため、ファイル共有サービスが無秩序に開放されている環境は、恰好の餌食となってしまいます。一方で、 Active Directory では、ファイル共有サービスを利用してポリシーを配布しており、サービス自体を停止する ことが運用上難しい実情があります。このような運用の利便性を低下させないように、特定のサーバとクラ イアント間に限定してファイル共有サービスを運用することが求められます。

2 キッティング時に設定した共通アカウント

ユーザ端末の初期キッティングにおいて、マスター端末のイメージを他の端末に複製するケースが散見 されます。ディスクイメージを複製すると、全端末で共通の Administrator アカウントおよびパスワードがセッ トされた端末が出来上がり、一台のユーザ端末からハッシュパスワードが窃取されることで、他端末へ侵害 が容易になります。

3 Domain Admins を使用した端末のリモートメンテナンス作業

資源配布管理システムを導入して、ユーザ端末へのソフトウェアの配布やバージョンアップ作業を一元的 に管理するために、Domain Admins 権限を利用しているケースが散見されます。このような運用を行うと、Domain Admins アカウントが端末にキャッシュされてしまい、攻撃者に窃取され るリスクが高くなります。Domain Admins のアカウントが窃取されると、ドメインに参加する全てのコンピュー タ資源に対してフルコントロール権限を持つことになり、Active Directory によるセキュリティ構造が崩壊して しまうことを意味します。