第３１０号コラム「リングプロテクションモデルへの回帰」

第３１０号コラム：名和 利男　理事　（株式会社サイバーディフェンス研究所　理事　上級分析官）
題：「リングプロテクションモデルへの回帰」

「サイバー攻撃の急激な高度化と巧妙化」については、十数年前から毎年のように言われ続けているが、特に、ここ数年はそれ以前の想定や想像を遥かに超えるレベルで急激に変化している。
筆者は、国内の政府機関や民間企業に対するサイバー攻撃（前者）への対応に加え、公共の安全を害する恐れのある諸活動におけるサイバー攻撃（後者）も積極的に対応させていただいている。その中で、最近は「後者」の攻撃の質と量が劇的に向上していると強く感じている。被害組織の機密保持と利益確保のため、個別具体的に事例を紹介することはできないが、複数の組織で発生しているものとして、一例だけ挙げると次のようなことがある。

① 攻撃者は、ターゲットの関係組織（委託業者、プロジェクト等で連携している組織、協力会社等）の構成員のメールアカウントをハイジャックする（乗っ取る）。
② 攻撃者は、関係組織の構成員が、数十分前から数時間前にターゲットに送信した業務メールの添付ファイルをダウンロードし、（ゼロデイ脆弱性を利用した）不正コードを挿入した上で、当該メールに再添付する（差し替える）。（送信済みボックスから、容易にダウンロードできるため、関係組織の構成員は全く気付かない。）
③ 攻撃者は、②で細工した悪意のあるメールを、関係組織の構成員のアカウントで被害者に再送信する。（事実上の標的型攻撃メールとなる。）
④ ターゲットは、関係組織の構成員から再送されたメールと誤認識し、（攻撃者によって細工された）添付ファイルを疑いなく開封してしまう。

この事例において、インシデントレスポンス（検知、対処、報告）及び共有という観点で、これまでと異なる状況が発生することに注目していただきたい。
 この標的型攻撃メールにおいて、攻撃者が作成（修正）した部分は、添付ファイルに挿入した不正コードのみであり、ターゲットが開封しても、関係組織の構成員から受信した添付ファイルと同じ表示をするのみである。さらに、ゼロデイ脆弱性を利用してるいるためにウィルス対策ソフトも反応しない。つまり、全く自然なものと見えるため、一般のユーザは不審なメールと認識することが非常に困難となる。
 何かしらのきっかけで、この事実が判明したとしても、この標的型攻撃メールと添付ファイルは、業務上の情報が含まれており、社外どころか部門以外にも共有することができないことが多い。そのため、結果的にインシデントの事実が共有されず、他の部門や組織で同様なことが発生する。そして、それも気づかれにくい。
 攻撃者は、意図的に機密性の高いメール内容や添付ファイルを選んで利用している節が見られる。

筆者は、この攻撃の背景に、パスワードリスト攻撃（リスト型アカウントハッキング）や水飲み場攻撃で見られるゼロデイ攻撃の常態化の影響が見え隠れしているのではないかと勘ぐってしまっているが、残念ながら、その因果関係を明らかにする手段を有していないため、あくまで想像豊かに考えることしかできない状況である。

このような状況を踏まえ、以前より、コンピュータ上で行うデジタル・フォレンジックの限界があると考え、積極的に通信ログ等を分析するネットワーク・フォレンジックに注力しているところであるが、ごく最近のネットワーク・フォレンジックを利用した緊急対応支援で、https で提供されている有名翻訳サービスサイトやSNSを利用したC2通信（コマンドアンドコントロールサーバとの通信）の存在に気づくのに相当の努力を要した。しかしながら、これらは、ネットワーク・フォレンジックだけで発見したものではなく、旧来のコンピュータ・フォレンジックの結果との相関関係を「人間の目でじっくり眺め、頭で試行錯誤」をしたことによって見出すことに一部成功したものである。

攻撃側との「イタチごっこ」は、先の見えない袋小路に入り込んでいると感じずにいられない。

そこで、今、私の方で、コンピュータシステムの中核にある原理原則に立ち戻った「リングプロテクションモデル」に着目しはじめている。

そもそもウィルスやワームと呼ばれるマルウェアは、単なる「ユーザプログラム」にしか過ぎない。そのソフトウェアがハードウェアにアクセスをするということは、「ハードウェアにとって信頼性や安全性が高いソフトウェア」が動作するということを意味する。このようなソフトウェアは、カーネルモードに対応する「リング0」と呼ばれる、最も特権が高いものである。「リング1以上」は、ユーザモードに相当する特権のないものとなる。一般的なOSでは、リング1とリング3の２つを使っているが、本コラムでは、リング1及びリング2の説明を割愛するが、インテルx86アーキテクチャや仮想化技術の専門家が、非常に分かりやすく説明をしているので、興味を持たれた方は、それらの専門家の記事等を参照していただきたい。
リング3であるユーザプログラムが、ハードウェアへのアクセスするためには、より小さい番号の小さいリングに対して、所定の方法で要求をすることになる。

したがって、攻撃者は、悪意のあるソフトウェア、つまりマルウェア（リング3）を、より小さい番号のリングに対して所定の方法で要求させることにより、感染（動作）させたコンピュータに対して思惑通りの挙動を発生させる。

筆者は、この各リング及びその間におけるフック（第三者が独自の処理を追加できるようにする仕組み）を実現することにより、攻撃挙動を適切にコントロールすることが出来ると考えるようになってきた。もう攻撃側と「イタチごっこ」をしたくないという思いからである。

実は、この日本において、この考え方の一部或いは全てを踏襲して実現したセキュリテイ対策技術が、長い年月をかけて「複数」完成しつつある。久しぶりの「Made in Japan」と言ってよいものである。一方、米国においては、数年前より同様な技術が開発及び展開されていたが、日本ではその有用性や必要性が理解されなかったようで、先月（４月）末をもって日本国内での販売が終了した。

サイバーセキュリティの領域において、日本の技術の停滞感を覚えるところであるが、ここで攻撃側に対して優位性が得られるような技術開発が進んでいくことを、切に願うとともに、私自身も出来る限りの支援をしていくつもりである。

【著作権は名和氏に属します】