APT(Advanced Persistent Threat)攻撃について考える。

engadgetの記事より。

APT (Advanced Persistent Threat)と呼ばれる攻撃により、情報の一部が流出したとの事。
情報の一部が流出した経緯に関しての方が今回に関しては関心が高いかなと思っています。ただしSecureIDに対する直接的なダメージは今のところ無いようです。

SecureIDに関しては導入のしやすさと管理面から、近いうちに導入しようかと思っていたので、個人的には注目の記事でした。
良いタイミングだったので、SecureIDに関しての状況と、APT攻撃について調べてみました。

EMC の情報セキュリティ部門 RSA が、サイバー攻撃を受け一部のセキュリティ製品にかかわる情報が漏洩したことを発表しました。顧客に向けたオープンレターによると、具体的に影響を受けると考えられるのはRSAの SecurID製品。SecurIDは二要素認証システム (「パスワードのほかにこれを入力 / 接続してください」)として、米国防総省をはじめ国内でも政府機関や銀行などで非常に広く普及している製品です。RSAによると、盗まれた情報はSecurID顧客への直接攻撃を成功させるわけではないものの、「より広範な別の攻撃に対して、現在の実装における二要素認証の有効性を低減させる目的で利用される可能性がある」と表現されています。

APT に関する部分については、同じくengadgetのリンクに載っている「IPAテクニカルウォッチ:『新しいタイプの攻撃』に関するレポート」も概要としては結構参考になると思います。

今後、ウイルスや攻撃の対策としては、ウイルス感染を防ぐフェーズから、ウイルス感染後にどのように情報拡散を防止させるか?というフェーズに向かうのかなと。

IPAのレポートを見る限りの今回の対策としては、以下が挙げられています。

1.プロキシの認証情報のチェック

ウイルスが、独自の通信メソッドを用いて搾取した情報を悪性サイトに送信する場合、認証情報を使用しない場合が多いことが確認されている。
※ウイルスが既認証状態を使用した攻撃仕様となった場合は、防止出来ない。

アプリケーション単位でプロキシ認証に対応しているか否かという問題なので、そのうちウイルス側もプロキシ認証に対応してくるのではないかと思うので、プロキシサーバへの認証の導入自体が根本的な解決策というわけではないですが、現状としては有効なようです。
最近はMicrosoftのプロキシサーバもしかり、URLフィルタリング機能が実装された製品も多いので、対象URLが定義ファイルに含まれているかという問題もあるかもしれませんが、ウイルスサイトやボットネットは予めブロックしておいた方がよさそうです。

2.HTTP,SSL通信のヘッダーチェック

ウイルスが窃取した情報を外部の悪性サイトに送付する場合、新たな攻撃コードをダウンロードする場合、C&Cサーバからの指示を受信する場合に多くは80/tcp,443/tcpが用いられる。

IPAの対策欄に「NOC/SOC監視」と記載されていたのですが、すいません、これは勉強不足で言葉の意味が理解できていません。
NOCはNetwork on Chip、SOCはSystem on a Chipという意味でしょうか、という事は、機器全般のトラフィックを監視しなさい。という事になりますでしょうか。
すいません、詳しい方いらっしゃれば教えてください。

wysさんよりコメントいただき、NOCはNetwork Operation Center、SOCはSecurity Operation Centerという事を教えていただきました。
wysさんありがとうございました。

HTTP、SSL通信のヘッダーチェックに関しては通信トラフィックや内容の監視を専門業者にアウトソーシングするなり、専門部署・チームを結成して監視・運用を行うのが推奨。という事のようです。

80/tcp,443/tcpは通信トラフィックが多すぎて正直追うのは難しいですね。

3.未知のウイルスを検出可能なソフトウェアの導入

PC上のウイルスの脆弱性利用等の挙動などから攻撃動作を検出することにより、未知ウイルスや、未知の脆弱性を突く「ゼロデイ攻撃」を検出し防御することが可能な製品が複数の企業から発表されてきている。ただし、従来のウイルス対策ソフトを補完するものとして、防御機能、管理工数等十分な評価の上で設計利用検討の可能性がある。

ウイルスと思われる挙動を示すアプリケーションがあった場合に、挙動検知出来るアンチウイルスを導入する。というものです。
これに限らず、アンチウイルスアプリケーションをセグメントやグループ毎に異なる製品を導入するというのも、全体的な蔓延を防ぐ意味では有効かもしれません。

4.スイッチ等でのVLANネットワーク分離設計

システムへの影響を最小化するため、攻撃時の影響範囲をネットワーク設計上分離できるようにする。
Conficker、Stuxnet事案等対処事例

社内全体をいくつかのセグメントに区切り、被害を最小限に抑える対策です。
Conficker、Stuxnetに関しては、以下のサイトから確認出来ます。

Conficker コンピューター ワームから身を守る
マルウェア Stuxnet(スタクスネット) について

感染した場合に、局所的ではありますが、企業に対して、甚大な被害をもたらす可能性があるという部分で、一般的なウイルスの挙動としてよく知られている過去のファイルを削除してしまったり、書き換えてしまうウイルスとは悪質度合が異なっているのが特徴と言えるかもしれません。

ネットワークの分離に関しては利便性とセキュリティのトレードオフになると思いますが、Stuxnetの図で言うところの「情報ネットワーク」と「制御情報ネットワーク」は思い切って切り離してしまうか、シンクライアント化してネットワークを論理的に切り離してしまうのが有効なのではないかと思います。

5.最重要部のインターネット直接接続の分離設計

外部からの制御シーケンスは、http,ssl等の通常通信を多用する。
USB等を介し、最重要部にウイルスが侵入した場合でも、インターネットを介した環境等攻撃分析情報の搾取、攻撃ウイルス更新、攻撃指示の影響を回避する。

これも考え方は4番と同じ考え方ですが、感染後の拡散防止に関しての記載だと思われます。
インターネットに直接接続できる環境を出来る限り最重要サーバに与えないというアプローチです。

6.システム内P2P通信の遮断と検知

外部のダウンロードサーバからアップデートされるウイルスは、外部接続可能なP2P用に仕立てた内部PCを経由して、内部システムに存在するウイルスの一斉バージョンアップやリモートコントロールを行う。

実際のところ検知に関してはかなり難しい部分だと思いますが、おとり用のコンピュータを一台設置しておいて、不審な端末が接続してきたらなんらかのアラートを出す程度であれば可能かもしれません。ただ、クライアントコンピュータの台数が膨大な企業の場合、各端末のトラフィックや接続状況を監視するというのもかなり無理がある気はします。

この手のウイルスが一番やっかいなのは感染した端末上で、実際の利用者本人の資格情報で動作してしまうところにあると思います。
「利用者本人の資格情報」=「システム的には正しい権限を持った操作」なので、対策としては、言い方は悪いですが、全社員の中に背任行為を行う者(ウイルス)がいる環境でいかに情報資産を守っていくか。という所だと思います。

Windows環境の管理者だったら考えたことあるかもしれませんが、例えばWSUSをターゲットにしたAPT攻撃で乗っ取られたらネットワーク全体が大変な事になりそうですね。
やはり全体的に影響度合いが高いシステムに関しては、障害対策とリスク軽減を兼ねて分離させなければなと、改めて考えさせられる記事でした。

情報ソース

http://japanese.engadget.com/2011/03/18/rsa-apt-securid/
http://www.rsa.com/node.aspx?id=3872

3 COMMENTS

pnpk

>wysさん
こんばんは、コメントいただきありがとうございます。
なるほど、Network Operation CenterとSecurity Operation CenterがそれぞれNOC、SOCの意味なのですね。
後程本文訂正・追記させていただきます。

勉強になります。
ありがとうございました。

wys

NOCはNetwork Operations Center
SOCはSecurity Operation Center
の略だと思います。
つまり組織内に監視専門の部門を設けろ、とかNOC/SOC業者に任せろって意味じゃないかと。

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です