第212号コラム:名和 利男 理事
(サイバーディフェンス研究所 情報分析部 部長 上級分析官、「技術」分科会主査)
題:「ネットワーク・フォレンジックの経験から得られたこと」

筆者は、デジタル・フォレンジックやマルウェア解析を行うメンバを有するインシデントレスポンスチーム(CDI-CIRT*)の統括を担当しているが、このチーム或いは個別メンバに、国内外問わず信頼ベースで、インシデント対応に関する相談や依頼が数多く届いている。緊急性や重要性の高いものについては、可能な限りの対応を行なっているところである。

*CDI-CIRT:www.first.org/members/teams/cdi-cirt

この対応支援の経験の限りで言えることであるが、昨年(2011年)より、組織内のコンピュータシステムにおいて、情報搾取を目的としたマルウェアの感染インシデントが急増している。この表現をもう少し正確に表すと「マルウェアに”感染していた”ことが発覚した」であり、実際の感染時期は、デジタル・フォレンジック技術により判明したものだけでも、「発覚の数ヶ月前から数年前」というのが当たり前のようになってきている。

インシデント対応支援を始めた当初は、「デジタル・フォレンジック」或いは「マルウェア解析」という手法のみで、支援が完了することがほとんどであったが、最近は、それらだけで完了することが少なくなってきた。次のような別領域の手法や追加的手法により支援することが多くなってきている。(名称は、CDI-CIRT 独自の定義である。)

・インシデントハンドリング/コーディネーション支援
現場の運用者や技術者だけではなく、責任を持つ管理職や経営層がどのような方針や手順でインシデント解決までの道筋(インシデントハンドリング)を立てるか、または、解決のために複数の組織や部署を巻き込む必要のある場合の組織間連携(インシデントコーディネーション)をどのようにすべきというアドバイスや方法論・ノウハウを提供すること。
・ネットワーク・フォレンジック
マルウェアの挙動や内部データ(ファイル)の流出経路などを解明する、或いは不正な挙動を確認するも、マルウェアが発見できない場合などに、サーバ/プロキシ/ファイアウォール等のログを分析したり、コンピュータシステムにおいてネットワークコマンドやシステム管理コマンドで得られる全ての出力データを総合的に分析すること。
・サイバーインテリジェンス
技術的な分析のみでは解明が困難な場合、同じ分野のレスポンスチームやCSIRTで経験して明らかになっている攻撃手法や技術、攻撃者コミュニティで流通している手法、その他、類似したマルウェアによる事例等を収集し、それらの情報との類似性に着目して分析すること。

これらの中で、「ネットワーク・フォレンジック」を行わなければならない場面が目立ってきている。この手法を行うには、ネットワークプロトコル(TCP/IP等)の完全な理解に加え、多様なアプリケーションサーバの内部構造の知見、プロキシやファイアウォールの構造理解と最適化設定の経験、管理系コマンドのリテラシー、さらに、多くのマルウェアの挙動解析の経験と最新動向の把握を必要とすることが多い。また、データ量が異常な大きさになりやすく、GB(ギガバイト)クラスにもなるため、分析作業には強い目的意識と不屈の精神さえ必要になる場合もある。さらに、マルウェアの挙動が多様化しているため、効率目的のツールを作ることが難しい(作っても他のケースで役に立たない)ことが、この手法の確立をしにくくしている。

このようなネットワーク・フォレンジックの経験を積み重ねていく中で、強く感じるところがある。それは、最近のマルウェアは、もはや「コンピュータシステムへの感染に成功した後、ネットワークや記憶媒体等で繋がる他のコンピュータシステムに感染拡大」するという単純なものではなく、「時間的にも位置的にもバラバラにコンピュータシステムへの感染を成功させた後、いたずらに内部感染拡大はせず、外部と秘密裏に通信しながら、内部のネットワークに長期間にわたって、攻撃者にとって都合のよい”検知されにくい攻撃用ネットワーク”を確実に作った上で、その環境にふさわしいマルウェアを次々と送り込み、発覚されないよう、少しずつ情報搾取を行ない、一定期間ごとに痕跡を消す」ことが繰り返されていることである。

別の観点から述べると、昔のマルウェアは、「単一のコンピュータシステム」を場として一つの機能を発揮していたが、今のマルウェアは「複数コンピュータシステム、外部のサーバー、記憶デバイス、そして人間」をネットワークで有機的に繋げた一つの場として、発揮すべき機能を動的に変化させている、と言うことができる。それゆえ、「単一のコンピュータシステムやマルウェア」を分析するデジタル・フォレンジックやマルウェア解析では限界となり、「複数システムの過去の動作が残っている痕跡やログ」を総合的に分析するネットワーク・フォレンジックが必然的に求められてきているのだと、筆者は考えている。

最後に、今回は「ネットワーク・フォレンジック」という狭い領域に関する話であったが、内容はその狭い領域の中の”ほんの僅かなこと”に触れているに過ぎない。サイバー脅威対処に必要な知見やノウハウには、数十以上の領域があり、このコラムを書いている数時間の間でも、それらの領域の数やそれぞれの深さは拡大の一途を辿っている。したがって、社会的に影響のある事業をされている組織や団体で責任ある役職についている方々に、「そろそろ本気でサイバー脅威対処に着手しなければ、近い将来取り返しの付かない状況になる可能性が高くなってきている」ことを、一時間或いは一分でも早く気づいていただきたいと願いつつ、結びとしたい。

【著作権は名和氏に属します】