第２５７号コラム「ネットワーク・フォレンジックの限界と事前の設定確認の重要性」

第２５７号コラム：名和 利男　理事
（株式会社サイバーディフェンス研究所　情報分析部　部長　上級分析官）
題：「ネットワーク・フォレンジックの限界と事前の設定確認の重要性

ここ数ヶ月、外部からのサイバー攻撃によるインシデントが急増している。筆者のチームで、依頼に基づいた緊急的な対処支援を行なっているところがあるが、そのリソースを確保することが徐々に難しくなりつつあり、止むを得ずに頂いた依頼をお断りせざるを得ない状況が発生している。

その対処の実態を示すものとして、以前、本コラムでネットワーク・フォレンジックに関することを紹介させていただいた。

２１２号コラム「ネットワーク・フォレンジックの経験から得られたこと」
https://digitalforensic.jp/2014/06/26/column212/

そのコラムを書いてから1年も経っていないが、外部からのサイバー攻撃の手口は、より一層多様化・巧妙化しており、その複雑さは想像以上なものとなっている。現場対処の中で感じるところであるが、ネットワーク・フォレンジックの技法が十分に確立していない状況であるのに、もはや限界が見えつつあると言わざるを得ない。

この理由は、次のような実例で説明できる。なお、この実例は、筆者のチームによる対処支援の経験の中で比較的多いパターンであるが、感染した端末やネットワークシステムの状況により、その順序や利用するマルウェア等は大きく異なる。

1. 端末Aが、標的型攻撃メール、悪意のあるサイト閲覧①、USBメモリデバイス等によりマルウェアXに感染する。
2. マルウェアXが、端末Aのシステム及びネットワーク設定情報を収集し、外部(攻撃者)に送信②する。
3. （推測）攻撃者が、外部で、端末Aに最適なマルウェアY1、Y2、Y3を作成する。
4. マルウェアXが、外部から端末AにマルウェアY1、Y2、Y3をダウンロード③する。
5. マルウェアY1(パスワード解析ツール等)により、端末Aの管理者パスワードを入手する。
6. マルウェアY2(PsExec等のリモートツール)が、管理者パスワードを使用して、端末B、C、Dを遠隔操作して、一時的にマルウェアY3（マルウェアXを高度化したツール等）を端末AからB、C、Dに転送及び実行させる。
※ PsExec：http://technet.microsoft.com/ja-jp/sysinternals/bb897553.aspx
※ この攻撃プロセスが成功する条件は、端末A、B、C、Dの管理者パスワードが同一であること
※ この攻撃プロセスは、バッジファイルで行われる場合と、リアルタイムで外部からリモート操作④で行う場合がある
7. マルウェアY3が、遠隔操作で端末B、C、Dのシステム及びネットワーク設定情報を収集し、外部(攻撃者)に送信⑤する。
8. （推測）攻撃者が、外部で、端末B、C、Dに最適なマルウェアZ1、Z2、Z3を作成する。
9. マルウェアY3が、外部から端末B、C、DにマルウェアZ1、Z2、Z3をダウンロード⑤する。
10. マルウェアZ1(端末Bに最適化されたファイル収集・転送ツール等)が、端末B内の特定ファイル群を収集、圧縮そして暗号化して外部に送信⑥
11. マルウェアZ2(端末Cに最適化されたファイル収集・転送ツール等)が、端末C内の特定ファイル群を収集、圧縮そして暗号化して外部に送信⑦
12. マルウェアZ3(端末Dに最適化されたファイル収集・転送ツール等)が、端末D内の特定ファイル群を収集、圧縮そして暗号化して外部に送信⑧
13. （推測）攻撃者が、外部で、端末Bに最適なマルウェアY1(改)、Y2(改)、Y3(改)を作成する。
14. マルウェアY3が、外部から端末BにマルウェアY1(改)、Y2(改)、Y3(改)をダウンロード⑨する。
15. マルウェアY2(改)(PsExec等のリモートツール)が、管理者パスワードを使用して、端末E、F、Gを遠隔操作して、一時的にマルウェアY3(改)（マルウェアXを高度化したツール等）を端末BからE、F、Gに転送及び実行させる。
16. （以降、端末使用者或いはシステム管理者が、この事実に気付くまで繰り返される）

一見すると複雑な攻撃にように感じるかもしれないが、昔からある攻撃技術を組み合わせたものにしか過ぎない。しかし、厄介なこと、役目を終えたマルウェアが自己消滅したり、上述の6. のように遠隔操作で一時的に転送された悪意のあるコードを実行されるものもあるため、攻撃事実を示す証跡やログの所在を見積もることすら難しくなる場合がある。

そこで、上述の①～⑨を確認頂きたい。これは、ネットワーク・フォレンジックで明らかにすることができるところであるが、この攻撃プロセスの存在を事前に把握しておかなければ、通信ログのみで攻撃の全容を解明することは非常に難しい。同時にデジタル・フォレンジックも並行して行うが、得られるログや証跡は多数の端末に断片化して存在している。このような攻撃全容の解明の作業は、まるで数千ピースのジグソーパズルを作っていくような感覚である。

そして、さらに深刻なことに、通信ログが十分に取られていない、或いは、取られていても攻撃実態を解明するに足りる情報が不足している場面に遭遇すること多くなってきた。その際、数少ない現象面で得られた事実を、過去の類似したインシデントと照らし合わせて、この原因等を推測することしかできない。

しかしながら、正確な全容解明をしなければ、根本的な原因を見出すことができず、再発することが十分に考えられる。さらに、外部からのサイバー攻撃を受けた現場は、上層部からの強い指示により、対処を急がざるを得ない事情があり、十分な解明すらされないまま、的はずれな過剰なセキュリティ投資に走る組織も見受けられる。

現在、さまざまなところで、セキュリティ対策の強化の必要性が叫ばれ、公共施策やビジネスが盛んになっているようであるが、現場の実情を直視しているところは意外に少ない。

ここ数ヶ月の経験で得られた「サイバー攻撃対処で重要なこと」は、防御策の推進と並行して、通信ログ等の設定がしっかり検討されているか、そして、確実に設定されているかを急ぎ確認することである。本コラムを読まれた方が本日中にできる有効なセキュリティ対策の一つになるはずである。

【著作権は名和氏に属します】