第９０号コラム「サイバー犯罪手口からみたデジタル・フォレンジック」

第９０号コラム：　岩井 博樹　氏　（株式会社ラック、 コンピュータ・セキュリティ研究所、ＩＤＦ団体会員）
題：「サイバー犯罪手口からみたデジタル・フォレンジック」

 

「サイバー犯罪の痕跡が見つからない！？」そんな事案が増加しています。その背景には、IT技術の進歩に伴う環境の変化や、サイバー犯罪手口の巧妙化など様々な要因が考えられます。近年では、組織的なサイバー犯罪も増加傾向にあり、その規模も徐々に拡大しています。サイバー犯罪の電子的な痕跡を発見し、法的な証拠性を明らかにすることがデジタル・フォレンジックの目的の１つです。しかし、最近のサイバー犯罪手口は巧妙化しており、電子的証拠の発見だけでも大変な労力を使うようになってきました。そろそろ、近年のサイバー犯罪手口に対抗するために、新たな調査手法を考えなければならない時期にきたのかもしれません。そこで、本稿では、筆者が興味深かった事案を取り上げ、現在のサイバー犯罪手口に対しての、デジタル・フォレンジック技術の有効性と今後の課題について考察します。

 

■事例：解析を困難にする標的型攻撃

「サイバー犯罪」というと、「ウェブサイト改ざん」「情報漏洩」「DoS攻撃」などのキーワードを想像する方が多いのではないでしょうか。これらのサイバー犯罪行為は、被害が分かりやすく目立ちますため、イメージが付きやすいのでしょう。これらの派手なサイバー犯罪は、昔から行われていますが、その殆どが愉快犯や小遣い稼ぎです。その反面、現在の金銭目当ての組織的なサイバー犯罪は、非常に巧妙で地味です。その殆どは気付かれていないのではないでしょうか。

最近、世間を賑わしているサイバー犯罪といえば、グーグルやアドビ、ヤフーなどが狙われた標的型攻撃が思い浮かびます。この事件は、標的となった組織内のPCに不正プログラムがインストールされ、知的財産が盗まれた可能性があるというものです。何故、この事案に注目が集まっているのでしょうか。その理由の１つに不正プログラムが「トロイの木馬」と呼ばれる種類のウイルスであったことが挙げられると推測します。このウイルスは標的のPCのシステムを乗っ取り、犯人から遠隔操作が可能な状態にします。このとき、内蔵マイクやウェブカメラも操作可能な状態になります。つまり、犯人は遠隔にいながら“スパイ行為”が可能となるわけです。類似の事案は日本国内でも発生しており、対岸の火事とは言い難い状況なのです。

 

では、この標的型攻撃はどのような手口なのでしょうか。標的型攻撃の手口は何種類かありますが、代表的な手口として、電子メールの利用があります。その一般的な手順は次のようなものです。

 

（１）電子メールに不正コードを含んだドキュメントファイルを添付し、標的のPCへメール送信。

（２）標的のPC上で、添付されたドキュメントファイルを閲覧すると、OSもしくはソフトウェアのセキュリティホールが攻撃され、システムが乗っ取られる。そして、不正プログラムが設置されているウェブサイトへ誘導される。（これらの動作は、シェルコードと呼ばれる標的のシステムを制御するための不正コードにより操っている。）

（３）不正プログラムがダウンロードされ、トロイの木馬（ウイルス）がインストールされる。

 

このサイバー犯罪の被害調査自体はそれほど難しいものではありません。不正プログラムの特定が出来れば、後は不正プログラムの作成日時などから、被害PCの操作履歴を追跡するだけです。ところが、厄介な事に最近は「不正プログラムの特定」はおろか、その侵害事実に気付くことすら難しくなってきているのです。その理由の１つとして、不正プログラムがウイルス対策ソフトウェアをはじめとしたセキュリティツールによっての検出が難しくなってきていることが挙げられます。

残念ながら、国内においても同様の状況です。標的型攻撃を受け、被害PCを発見できている組織は少なく、正確な被害規模は分かっていません。そこで、筆者らは２００９年に民間企業１０社を対象として、前述と類似のケースがどの程度あるのかを調査しています。その結果、平均値で１社当たり約３台、重要インフラ関連企業に絞りますと、平均約２０台弱のPCに「トロイの木馬」がインストールされていました。残念ながらその被害範囲までは調査できませんでしたが、全調査対象企業において、ウイルス対策ソフトウェアやセキュリティ対策機器では未検出であり、気付くことすら困難な状況でした。その範囲は筆者が考えていた以上に広そうです。

（参照レポート: http://www.lac.co.jp/info/rrics_report/csl20091221.html）

 

ウイルス対策ソフトウェアでのウイルス検出が困難になってきますと、調査員に負担がかかってくることは明らかです。最悪な場合は、調査員が不審なファイルを１つずつ解析しなければならず、非常に効率が悪くなります。そこで、少しでも効率良く不正プログラムを発見するために、従来のハードディスクだけでなく、メモリダンプなどの揮発性データの解析が注目されています。メモリダンプの証拠性や解析精度に関しては、ここでは触れませんが、不正と考えられるプログラムに“あたり”を付けたり、不自然な挙動の発見手段としては有効な手段です。さらに、ハードディスク上からは見えなかった情報も含まれていますので、場合によっては解析効率の向上が期待できます。

メモリダンプ解析のメリットは不正プログラムに対してだけではありません。一部のアンチフォレンジック技術に対しても有効です。２００７年末から確認している事案では、アンチフォレンジック技術を取り入れた不正プログラムが複数の企業から確認され始めています。その多くはシステム上のファイルのMACタイム（M: 最終更新日時、A: 最終アクセス日時、C: 作成日時を示す）を改ざんするもので、時間を２０２０年以降に進めるなどしていました。犯人は、自身の仕掛けた不正プログラムが発見されることを想定し、細工をしたのでしょう。このようなアンチフォレンジック技術は、今後も悪用されることは容易に想像できます。その場合、電子的証拠の信憑性などにも影響を与える可能性がでてくることも考えられ、その対応が急がれます。法的なことは専門家にお任せするとして、このような調査の妨害行為があった事実を証明するために、ハードディスク以外の電子的記録から証明する手法を確立しておく必要があります。

 

■事例：内部犯行も複雑化

前述では外部からのサイバー犯罪手口が巧妙化されており、解析が難しくなってきていることに触れました。同様に、内部犯行に関しても非常に分かりづらくなってきた印象を持っています。特に記憶に残っているのは、VPNを悪用し、顧客データベースの情報を改ざんした内部犯罪です。この犯罪手口は非常に巧妙であり複雑ですので、先ずその犯罪手口の概要について説明します。

 

（１） 犯人は、VPNを利用し、オフィスネットワークへログイン

（２） 予めバックドアをインストールしておいた組織内のファイルサーバと運用者PCへログイン

（３） 次にデータセンターにVPN接続し、メンテナンスサーバへログイン

（４） メンテナンスサーバ上から、さらにリモートデスクトップにより標的のデータベースと連動している
ウェブサーバ（公開サーバ）へログイン

（５） ウェブサーバから、顧客データベースに不正なSQLクエリを発行

 

その結果、顧客データベース内のデータが改ざんされ、犯人は目的を達成しました。

少々複雑なネットワーク構成を題材にし、申し訳ありません。このケースで非常に巧妙であったのは、VPNやリモートデスクトップを駆使することで複数セグメントを横断し、侵入元を分かりづらくした点と、顧客データベースと連動しているウェブサーバから正規の手順を用いてデータを改ざんした点です。

 

事案発生当時、判明していたことは、“正規の手順”によりデータベース上の顧客情報が改ざんされたということだけです。一瞬、アプリケーションの不具合か、メンテナンス中の事故ではないかと疑いましたが、データ改ざんが複数回続いたため、調査を開始しました。上の手順（５）から遡って考えますと、OSが出力する情報から追跡ができるのは、せいぜい（３）までです。運が良ければ（２）まで辿り着けるかもしれませんが、（２）は存在しないはずのIPアドレスが割り振られているケースも珍しくなく、見つからないことがあります。しかし、これでは根本的な原因究明になりません。そこで、「犯人は現場に戻る」と聞きますので、本事案では“サイバー張り込み”を実施しました。犯人を泳がせ、ネットワークトラフィックを取得し解析を実施し、被害サーバ上で再発を待ったわけです。その結果、グループ会社からのアクセスと怪しいファイルサーバ、及び挙動不審なシステム管理者を特定することができました。実は、この事案はグループ会社の社員とシステム管理者による共謀によるものでした。

この事案は、被害サーバを停止しなかったことが功を奏したと考えています。もし、被害サーバを稼働停止としてしまったら、犯人は二度と現れなかったかもしれません。同時期に同様の事件が、他組織において複数件発生しました。被害企業の共通点は、運用や開発の場所や機器が、それぞれ物理的に離れていることです。このようなVPNとバックドアを悪用しての手口が、２００６年頃から確認されており、犯罪手口は非常に酷似していたことから犯罪手口として確立されているのではないかと推測しています。

 

本事案に限らず、開発や運用業務の外部委託は一般的に行われています。その際、委託先からVPNで委託元に接続を許可して、作業にあたらせているケースを多々見かけます。こういったケースにおいては、サーバ上の痕跡だけではどういった手口で操作を行ったのか追跡が困難なため、ネットワークトラフィックの解析により、解決の糸口が見つけていく必要があります。

このようなことは今後も発生が予想されますが、残念なことにネットワークフォレンジックのような組織内のネットワークモニタリングはまだ一般的ではありません。そのため、現段階では犯罪にかかわる電子的証拠をどのような形で発見できるのかが鍵になると考えています。

 

■次世代のデジタル・フォレンジックに向けて

２つの事例を紹介しましたが、いずれの共通点はハードディスクの解析だけでは、原因の特定が極めて困難であったという事実です。メモリダンプやネットワークトラフィックなどを組み合せた解析手法を取り入れなければ、今後のサイバー犯罪手口の解明はますます難しくなってくると予想されます。

元々、現在のデジタル・フォレンジックの根幹は、１９８０年代に確立されたコンピュータフォレンジック解析手法が定着し、その後ほとんど進化していないといえます。コンピュータが単体で動作している時代のことです。しかし、現在はネットワークを通じて、コンピュータ同士が接続された環境が一般的となりました。そして、近い将来にはクラウドコンピューティングにより、PCからはハードディスクすら無くなってしまうかもしれません。組織は大幅なコストダウンが見込めるため、PCを入替えることにより、急速に一般の組織からはハードディスクの需要が少なくなってくるかもしれません。

極論ではありますが、このような環境の変化を予想しますと、次世代のデジタル・フォレンジックの在り方を今から協議しておく必要があるでしょう。国家間連携や法的な課題など課題は多いかとは思いますが、次世代のIT技術や生活環境を見据え、新たなサイバー犯罪に備える必要があります。そのためには、積極的に技術的、及び法的（これは難しいかもしれませんが）な手法を試行していく必要があります。

デジタル・フォレンジックは今、“挑戦”の時期に来ています。ネットワークの活用はさらに複雑かつ広範囲に広がってきており、環境はさらに劇的に変化するでしょう。このような仮説を立てた場合、今後のデジタル・フォレンジックは、今まで以上に複数要素の相関分析（ネットワークトラフィックとハードディスクなどの解析結果など）の需要は増えていくはずです。勿論、これらの電子的記録の証拠能力を如何に高めるか、などの課題は残りますが、日々進歩するサイバー犯罪に対抗するためには、新たな調査技術を取り入れることが重要です。利活用に比べ遅れがちなフォレンジックですが、サイバー犯罪の痕跡を確実に合理的に発見し安心・安全な社会の実現のためには、果敢なチャレンジが必要と考えます。

 

【著作権は岩井氏に属します】