• HOME
    • セキュリティブログ

Android版バンキングマルウェアの新しい亜種は、さらに多くのドイツの銀行や、人気の高いソーシャルメディアアプリなどを標的にしている

概要

前回のブログでは、ドイツの大手銀行のモバイルアプリケーションを装い、ユーザーを騙してバンキング認証情報を引き出す新しいAndroid版バンキングマルウェアについて詳しく分析しました。今週は、拡大し続けるこのマルウェアの新しい亜種をいくつか検出しましたので、今回のブログでは新たにわかったことをお伝えします。

マルウェアのインストール

検出した亜種の1つは、ドイツの別のモバイルバンキングアプリを装っていました。インストールされると、そのアイコンがランチャーに表示されますが、それは銀行の正規アプリのアイコンに非常によく似たマルウェアアプリのアイコンです。

以前お伝えしたこのマルウェアの亜種と同様に、ユーザーがマルウェアアプリを起動すると、下図のように、デバイス管理者権限が要求されます。


図1:デバイス管理者権限の要求

デバイス情報の収集

マルウェアアプリケーションがインストールされると、デバイス情報が収集され、攻撃者のサーバーに送信されます。デバイストラフィックをキャプチャしたものを以下に示します。マルウェアバージョンが「061116xxxxx」になっていますが、これは、攻撃を開始するために標的のバンキングアプリを装っていることを示しています。


図2:マルウェアのデバイストラフィックのキャプチャ

クレジットカード情報を盗み出すために、Google Playを標的に

銀行を狙うだけでなく、マルウェアのこの新しい亜種に含まれる以下の主要コードでは、標的となるアプリとしてGoogle Playも加えられています。


図3:Google Playをターゲットにするマルウェア

前回のブログでは、変数a.cは空であることを示し、フォーティネットでは、マルウェアの今後の活動で使用されるのではないかと推測していることをお伝えしました。この亜種では、標的としてGoogle Playが追加されています。攻撃者は新たな標的を追加していく可能性が高いと考えられます。

このマルウェアの別のバージョンでは、ユーザーがGoogle Playアプリを初めて起動する際に、Google Playアプリの上に図4のような画面がオーバーレイ表示されます。


図4:Google Play上にオーバーレイ表示される画面

そしてユーザーを騙して、図5のようにクレジットカード情報(カード番号、所有者名、有効期限、セキュリティコード)を入力させます。


図5:VISAカード情報の入力

ユーザーがクレジットカード情報を送信すると、マルウェアはその情報をC2サーバーに送信します。トラフィックを以下に示します。


図6:クレジットカード情報をC2サーバーに送信


図7:オーバーレイ表示される「Verified by VISA」画面

これでマルウェアは、ユーザーが送信したカード番号が有効かどうかを確認できるようになります。有効であれば、マルウェアは偽の「Verified by VISA」画面をポップアップ表示します。その画面には、図8のように、誕生日、住所、郵便番号、課金先電話番号、パスワードが含まれています。


図8:「Verified by VISA」画面で情報を入力

ユーザーが情報を入力して送信すると、このデータもC2サーバーに送信されます。トラフィックを以下に示します。


図9:「Verified by VISA」情報をC2サーバーに送信

ユーザーがMasterCardのカード情報を送信すると、図10のように別の画面が表示されます。


図10:MasterCardのカード情報を入力

情報を送信すると、マルウェアは偽の「MasterCard SecureCode」画面をポップアップ表示します。VISAの偽の画面と同様、この画面にも図11のように、誕生日、住所、郵便番号、課金先電話番号、パスワードが含まれています。


図11:オーバーレイ表示される「MasterCard SecureCode」の画面

ユーザーがAmerican Expressのクレジットカード情報を送信すると、図12のような画面が表示されます。


図12:American Expressのカード情報を入力

ユーザーが情報を送信すると、マルウェアはまた偽の「American Express SafeKey」画面をポップアップ表示します。その画面にも、図13のように、誕生日、住所、郵便番号、課金先電話番号、パスワードが含まれています。

これらの手口は、ユーザーの全クレジットカード情報を取得するよう考えられており、すべて本物であるとユーザーに信じ込ませるために、「Verified by VISA」、「MasterCard SecureCode」、または「American Express SafeKey」の画面が使用されています。

標的となる銀行リスト

この亜種は、標的として新たに銀行をいくつか追加しており、その中にはオーストリアの5つの銀行も含まれています。この動向から、フォーティネットではこのマルウェアは地域全体に広がり続けていくと予測しています。

新しいC2サーバー

亜種は、以下のように6台のC2サーバーも新たに使用しています。

hxxps://loupeahak[.]com/flexdeonblake/
hxxps://chudresex[.]cc/flexdeonblake/
hxxps://chudresex[.]at/flexdeonblake/
hxxps://memosigla[.]su/flexdeonblake/
hxxps://sarahtame[.]at/flexdeonblake/
hxxps://loupeacara[.]net/flexdeonblake/

人気の高いソーシャルメディアアプリをターゲットに

ほかにも、フォーティネットで発見したこのマルウェアファミリの中には、Flash Playerアプリを装う亜種が2つあります。それらのバージョンは「081116」となっており、作成日が2016年11月8日であると予測できます。それらの亜種では、人気の高いソーシャルメディアアプリが標的として追加されています。このような偽装アプリのリストを以下に示します。

com.instagram.android
com.facebook.katana
com.android.vending
com.skype.raider
com.viber.voip
com.whatsapp

このマルウェアの動作を調べるために、偽装されたSkypeアプリケーションを使用してみます。

ユーザーがSkypeアプリを起動すると、図14で示すように、正規アプリの上にマルウェアの画面がオーバーレイ表示されます。


図14:Skypeでオーバーレイ表示される画面

画面には、「あなたの情報を確認できないため、あなたのアカウントは凍結されました。引き続きお使いいただくには、ここでアカウントを認証してください。」というメッセージが表示されています。これは典型的なフィッシング詐欺の画面です。

次の画面で、クレジットカード情報を入力するようユーザーを促します。


図15:Skypeにクレジットカード情報を入力


図16:Skypeに課金情報を入力


図17:「Verified by VISA」に情報を入力

上の図から、このマルウェアはユーザーの全クレジットカード情報を盗み出すよう設計されていることがわかります。また、ユーザーに正規の取引であると信じ込ませるために、「Verified by VISA」、「MasterCard SecureCode」、「American Express SafeKey」の画面も使用されています。トラフィックを以下に示します。


図18:クレジットカードの全情報をC2サーバーに送信

フィッシング詐欺の画面をオーバーレイ表示させる手口は、別のソーシャルメディアアプリでも使用されており、Skypeアプリで表示されるものと類似しています。

ソリューション

マルウェアの検体は、フォーティネットのウイルス対策シグネチャAndroid/Banker.GT!tr.spyおよびAndroid/Marcher.GT!trにより検知されます。盗まれた情報をC&Cサーバーに送信するトラフィックは、フォーティネットのIPSシグネチャAndroid.Banker.German.Malware.C2により検知できます。

まとめ

フォーティネットの分析に基づくと、このマルウェアファミリは高い拡張性を備えています。攻撃者は新しいアプリリストを容易にコードに追加できます。このような新しい亜種は、クレジットカード情報を盗み出すために、Google Playアプリや人気の高い他のソーシャルメディアアプリを標的として追加しています。また、ユーザーに正規の取引であると信じ込ませるために、「Verified by VISA」、「MasterCard SecureCode」、「American Express SafeKey」の画面が使用されています。さらに、オーストリアのいくつかの銀行が新たに標的として追加されています。フォーティネットでは、標的となる銀行が世界中に広がり続けると予測しています。

フォーティネットでは、今後もこのマルウェアファミリの活動を監視し続け、フォーティネット製品において適切なセキュリティソリューションが開発されるようにしていきます。

付録

SHA256ハッシュ

5366f4006c939cd06af8545bb6d19667cf475ac3b7110305bb11feb6ea28e5c8
ae269a51b3acdf4507b00dd220a67ee5b41b7a6fab8924c63eb51aeab4e45fab
b2daba5ac747439abd70522bde0e49c867e88cf2c9a7443177d944357d7a2576

C&Cサーバー

loupeahak[.]com
chudresex[.]cc
chudresex[.]at
memosigla[.]su
sarahtame[.]at
loupeacara[.]net
polo777555lolo[.]at
polo569noso[.]at
wahamer8lol77j[.]at


概要

フォーティネットは最近、メールアプリを装ってドイツの大手銀行を標的にする、Android版バンキングマルウェアを検出しました。このバンキングマルウェアは、ドイツの15種類ものモバイルバンキングアプリからログイン認証情報を盗み出すよう設計されています。また、ウイルス対策モバイルアプリに対抗する機能や、30種類のウイルス対策プログラムを妨害してそれらの起動を阻止する機能も搭載されています。

マルウェアのインストール

マルウェアはメールアプリを装っています。マルウェアがインストールされると、そのアイコンが下図のようにランチャーに表示されます。


図1:マルウェアアプリのアイコン


図2:デバイス管理者権限の要求

以前のブログ(Android版バンキングマルウェアがFlash Playerを装い、大手銀行を標的に)で取り上げたAndroid版マルウェアと同様、このマルウェアもユーザーを騙してデバイスの管理者権限を有効にします。それが成功すると、偽のメールアイコン(マルウェアアプリ)はランチャーに表示されなくなりますが、マルウェアはバックグラウンドで活動を続けます。

このマルウェアアプリで利用可能な実行権限を以下に示します。


図3:マルウェアの実行権限

ご覧のように、マルウェアは、「電話番号に直接電話する」、「SMSメッセージを送信する」、「テキストメッセージ(SMS)を受信する」といった危険な実行権限を持つようになります。

マルウェアの仕組み

ここでは、マルウェアの仕組みについて、技術的に詳しく分析します。マルウェアが起動を開始するときに使用される主要なコードを以下に示します。

上図のコードを使用して、マルウェアは3つのサービス(GPService2、FDService、AdminRightsService)を開始し、そのアイコンを非表示にします。これらのサービスはバックグラウンドで動作し続けます。

次に、このマルウェアで実行される3つのサービスを分析します。

1.GPService2サービス

このサービスはバックグラウンドで動作し、デバイス上で動作しているすべてのプロセスを監視し、さらに標的とする銀行への攻撃も行います。ユーザーには、アプリ起動時に、正規のバンキングアプリに似たカスタム画面がオーバーレイ表示されます。その中には、各銀行に合わせてカスタマイズされたさまざまなログイン画面もあります。さらに、この監視サービスは、一部のウイルス対策モバイルアプリとサービスユーティリティを妨害して、それらの起動を阻止しようとします。

GPService2の実装において使用される主要コードを以下に示します。

リストv3は、動作中のプロセス名と共に格納されます。クラスcom.jlkbvcbyjjscyxvsudkmjabndnkrbn.a.aの定義を以下に示します。

上図のコードから、com.jlkbvcbyjjscyxvsudkmjabndnkrbn.a.a.aがこのマルウェアのパッケージ名であること、com.jlkbvcbyjjscyxvsudkmjabndnkrbn.a.a.bで標的の銀行とペイロードのURLを格納すること、com.jlkbvcbyjjscyxvsudkmjabndnkrbn.a.a.cは将来的に標的となるアプリのリストになるであろうこと(フォーティネットの分析で確認される予定)、そしてcom.jlkbvcbyjjscyxvsudkmjabndnkrbn.a.a.dで標的のウイルス対策アプリを格納することがわかります。

i.b関数の定義を以下に示します。

上図のコードを使用するマルウェアは、ユーザーがいつウイルス対策アプリを起動しているかを検出できます。それから、マルウェアはこのウイルス対策アプリがcom.jlkbvcbyjjscyxvsudkmjabndnkrbn.a.a.dのリストにあるかどうかをチェックします。リストにある場合は、ホームランチャー画面に戻り、ウイルス対策アプリの起動を阻止します。

次にこの.a関数の定義を示します。

この関数は主にC2サーバーとの通信に使用され、標的の各銀行に適切なペイロードを要求して受信します。正規アプリの上に、カスタマイズしたWeb画面がオーバーレイ表示されます。DialogCustomWebの実装を以下に示します。

2.FDServiceサービス

このサービスはバックグラウンドで動作し、デバイス上で動作しているすべてのプロセスを監視します。これは標的のアプリリストも攻撃します。標的のアプリリストは、現在空になっています。作成者はこれから新しい標的のアプリを追加していく意図があると考えられます。フォーティネットでは、人気の高いソーシャルメディアアプリがいくつか含まれる可能性があると推測しています。そしてユーザーには、アプリ起動時に、正規のアプリに似た偽のGoogle Playカード画面がオーバーレイ表示されます。フィーティネットは、このマルウェアファミリを引き続き監視し、新たな標的のアプリが追加されたら報告していきます。

FDServiceの実装において使用される主要コードを以下に示します。

変数のcom.jlkbvcbyjjscyxvsudkmjabndnkrbn.a.a.cは現在空です。DialogGooglePlayCardは、正規アプリの上にオーバーレイ表示されてGoogle Playカードを模した動作をし、ユーザーを騙してクレジットカード情報を引き出します。

3.AdminRightsServiceサービス

このサービスは、マルウェアが初めて起動したときに、デバイス管理者権限を要求します。サービスが実行されると、アプリの削除がさらに困難になります。

ユーザーから情報を盗み出し、C&Cからコマンドを取得

マルウェアがインストールされると、マルウェアはデバイスについての情報を収集し、それをC&Cサーバーに送信して、新しい実行コマンドでサーバーが応答するのを待機します。

以下のコードは、サーバーの応答を解析し、新しいコマンドを実行するために使用されます。

com.jlkbvcbyjjscyxvsudkmjabndnkrbn.a.b.ap is "Server response: ".
com.jlkbvcbyjjscyxvsudkmjabndnkrbn.a.b.af is "OK".
com.jlkbvcbyjjscyxvsudkmjabndnkrbn.a.b.ag is "command".
com.jlkbvcbyjjscyxvsudkmjabndnkrbn.a.b.ah is "params".
com.jlkbvcbyjjscyxvsudkmjabndnkrbn.a.b.ai is "timestamp".

クラスAPIHandlerFactoryは、C2サーバーから受信したコマンドを処理するために使用されます。

@Keep public static a invoke_getHnd(String arg1) {
        n v0_2;
        if(arg1.contains(b.h)) {
            com.jlkbvcbyjjscyxvsudkmjabndnkrbn.api.b.i v0 = new com.jlkbvcbyjjscyxvsudkmjabndnkrbn.api.b.i();
        }
        else if(arg1.contains(b.o)) {
            l v0_1 = new l();
        }
        else if(arg1.contains(b.j)) {
            v0_2 = new n();
        }
        else if(arg1.contains(b.i)) {
            p v0_3 = new p();
        }
        else if(arg1.contains(b.p)) {
            d v0_4 = new d();
        }
        else if(arg1.contains(b.G)) {
            com.jlkbvcbyjjscyxvsudkmjabndnkrbn.api.b.b v0_5 = new com.jlkbvcbyjjscyxvsudkmjabndnkrbn.api.b.b();
        }
        else if(arg1.contains(b.q)) {
            com.jlkbvcbyjjscyxvsudkmjabndnkrbn.api.b.c v0_6 = new com.jlkbvcbyjjscyxvsudkmjabndnkrbn.api.b.c();
        }
        else if(arg1.contains(b.r)) {
            r v0_7 = new r();
        }
        else if(arg1.contains(b.s)) {
            q v0_8 = new q();
        }
        else if(arg1.contains(b.t)) {
            s v0_9 = new s();
        }
        else if(arg1.contains(b.u)) {
            o v0_10 = new o();
        }
        else if(arg1.equals(b.v)) {
            h v0_11 = new h();
        }
        else if(arg1.equals(b.w)) {
            g v0_12 = new g();
        }
        else if(arg1.equals(b.x)) {
            com.jlkbvcbyjjscyxvsudkmjabndnkrbn.api.b.a v0_13 = new com.jlkbvcbyjjscyxvsudkmjabndnkrbn.api.b.a();
        }
        else if(arg1.equals(b.l)) {
            j v0_14 = new j();
        }
        else if(arg1.equals(b.m)) {
            m v0_15 = new m();
        }
        else if(arg1.equals(b.y)) {
            k v0_16 = new k();
        }
        else {
            a v0_17 = null;
        }

        return ((a)v0_2);
    }
}

マルウェアは、C2サーバーから以下のコマンドを受信できます。

rent&&&: start intercepting all incoming SMS messages;
sms_stop&&&: stop intercepting incoming SMS messages;
sent&&&: send a text message;
ussd&&&: send a USSD request;
delivery&&&: send SMS messages to all contact list numbers;
api_server: change the address of the command and C2 server;
Appmass: send mass text messages
windowStop: add a specified app to the exclusion list so that when the app is launched, the phishing screen is not displayed;
windowStart: delete a specified app from the exclusion list;
windowsnew: download an updated targeted apps list from C2 server;
updateInfo: send information collected from device to C2 server;
freedialog: display a templated-based dialog using Webview;
freedialogdisable: cancel the display of the Webview dialog;
adminPhone: change the phone number used to send SMS messages
killStart: set a password for screenlock;
killStop: clear the password from screenlock;
notification: display a notification with the received parameters.

収集されてC&Cサーバーに送信されるデバイス情報としては、デバイスIMEI、ISO国コード、Androidビルドバージョン、デバイスモデル、電話番号などがあります。トラフィックを以下に示します。マルウェアは、HTTPS経由でC2サーバーと通信します。また、復号された要求と応答のパケットも以下に示します。

バージョン情報の「11/06/16」はマルウェアアプリの作成日を示している可能性があります。

マルウェアアプリは、インストール済みアプリリストも収集し、C2に送信します。

次に、コマンド「killStart」が実行されて新しいパスワードが画面ロックに設定される方法を確認していきます。

関数t.aは、画面ロックの新しいパスワードをリセットするために使用されます。マルウェアがC2サーバーからコマンド「killStart」を受信すると、パスワードに9991を設定します。さらに、フォーティネットでは、関数t.aを呼び出してパスワードに8320を設定する別のコードも検出しました。

ドイツの大手銀行アプリを標的に

以下に示すように、フォーティネットは、標的となるアプリリストに15個のバンキングアプリがあることを検出しました。

このマルウェアの今後のリリースでは、別の銀行や他の組織が追加される可能性があります。

この悪意あるアプリがインストールされ、デバイス管理者権限が取得されると、標的のバンキングアプリをユーザーが初めて起動したときに、その悪意あるアプリからそのC2サーバーに対してHTTPS経由でペイロード取得要求が送信されます。そしてC2サーバーは偽のカスタムログインWebページで応答し、悪意あるアプリは正規バンキングアプリの上にこの偽のカスタマイズログイン画面をオーバーレイ表示し、入力されたバンキング認証情報を収集します。

このマルウェアが標的にしている各銀行向けに、さまざまなカスタムログイン画面が存在します。

認証情報の漏洩

フォーティネットは、標的のバンキングアプリのオーバーレイを通じて、認証情報を盗み出すのに使用されたプロセスを分析しています。このプロセスは、マルウェアが標的の銀行に向けて挿入するすべてのオーバーレイで共通しています。

マルウェアがC2サーバーから偽の銀行のペイロードをダウンロードする際にキャプチャされたトラフィックを以下に示します。C2サーバーは、正規アプリの上にオーバーレイ表示されるカスタムログイン画面を提供します。

ユーザーが認証情報を送信すると、マルウェアはその情報をC2サーバーに送信します。その際、HTTPS経由でC2サーバーと通信します。

ウイルス対策モバイルアプリの妨害

マルウェアは、一部のウイルス対策モバイルアプリとサービスユーティリティを妨害して、それらの起動を阻止しようとします。このようなアプリには以下のものがあります。

com.qihoo.security
com.antivirus
com.thegoldengoodapps.phone_cleaning_virus_free.cleaner.booster
com.antivirus.tabletcom.nqmobile.antivirus20
com.kms.free
com.drweb
com.trustlook.antivirus
com.eset.ems2.gp
com.eset.ems.gp
com.symantec.mobilesecurity
com.duapps.antivirus
com.piriform.ccleaner
com.cleanmaster.mguard
com.cleanmaster.security
com.sonyericsson.mtp.extension.factoryreset
com.anhlt.antiviruspro
com.cleanmaster.sdk
com.qihoo.security.lite
oem.antivirus
com.netqin.antivirus
droiddudes.best.anitvirus
com.bitdefender.antivirus
com.dianxinos.optimizer.duplay
com.cleanmaster.mguard_x8
com.womboidsystems.antivirus.security.android
com.nqmobile.antivirus20.clarobr
com.referplish.VirusRemovalForAndroid
com.cleanmaster.boost
com.zrgiu.antivirus
avg.antivirus

マルウェアを取り除くには

まず、ユーザーはマルウェアのデバイス管理者権限を無効にできます([Settings] -> [Security] -> [Device administrators] -> [Device Admin] -> [Deactivate])。

これでユーザーは、コマンド「adb uninstall [パッケージ名]」を使用することで、ADB(Android Debug Bridge)を介してマルウェアをアンインストールできます。

ソリューション

マルウェアの検体は、フォーティネットのウイルス対策シグネチャAndroid/Banker.GT!tr.spyにより検知されます。

盗まれた情報をC&Cサーバーに送信するトラフィックは、フォーティネットのIPSシグネチャAndroid.Banker.German.Malware.C2により検知できます。

まとめ

このマルウェアは、複数の悪意ある機能を1つのアプリに実装し、感染を最大限に活用します。15行ものドイツの大手銀行を標的にし、各銀行の正規アプリの上にカスタム画面をオーバーレイ表示します。また、ウイルス対策モバイルアプリに抵抗する機能や、30種類のウイルス対策プログラムを妨害してそれらの起動を阻止する機能も搭載されています。攻撃者は、C&Cコマンドで標的にされるように正規アプリのリストを制御できます。

フォーティネットでは、今後もこのマルウェアファミリの活動を監視し続け、フォーティネット製品において適切なセキュリティソリューションが開発されるようにします。

付録

ハッシュ関数:

SHA256: 216cde0f92e601ec0e65218f9cc13dc22bdf6cb7e46c2d2a22a7dc4488238e1b

C&Cサーバー

polo777555lolo[.]at

polo569noso[.]at

wahamer8lol77j[.]at



サイバーインテリジェンスの共有を成功させるには、第1に組織間の信頼関係を構築し、第2に情報の収集および交換と情報に基づく対応のプロセスを迅速化することが必要です。
フォーティネット、グローバルセキュリティストラテジスト、
Derek Manky

この記事は、Dark Readingのバイライン記事として掲載されたものです。

サイバーインテリジェンスの共有を成功させるには、第1に組織間の信頼関係を構築し、第2に情報の収集および交換と情報に基づく対応のプロセスを迅速化することが必要です。

サイバー脅威が高度化してクラウドとモノのインターネット(IoT)に及ぶようになり、信頼する組織間で有意義な脅威インテリジェンスを共有することの重要性が今まで以上に高まっています。今年、フォーティネットのチームはインターポール(国際刑事警察機構)とナイジェリア経済金融犯罪委員会による国際的犯罪組織の共同捜査に協力しました。その一環として情報を直接的に共有したことが首謀者の摘発に役立ち、ここでも情報共有のメリットを実感しました。

この連携活動では、第1に、サイバー脅威への対応としてセキュリティベンダーが提供可能なグローバル脅威インテリジェンス研究および分析の重要が示されました。個人的には、セキュリティベンダーはエンドユーザー支持団体との間で脅威情報を共有するとともに、ベンダー間でも「責任」をもって脅威情報を共有すべきであると考えています。攻撃に対抗し、またサイバー犯罪者を相手とする捜査当局の捜査を支援するうえで、これが最善の道です。しかし、信頼された機密ネットワークの間ですら、情報共有という価値ある目標を達成するには依然として課題があります。

情報共有を阻んでいる主な要因の1つとして、法的責任を問われることを回避したいという意識が働いていることが挙げられます。2014年にPonemonが700人のITセキュリティ担当者を対象に実施した調査では、情報共有に参加している回答者の71%が、共有によってセキュリティ態勢が改善していると答えています。一方で、情報を共有していない組織の半数は、共有をためらう主たる理由として「法的責任を問われる可能性」を挙げています。

このような障害を克服するには、組織間の信頼関係を構築するとともに、脅威インテリジェンスを迅速に受け渡して活用するプロセスを実現する必要があります。

「信頼せよ、されど検証せよ」


組織は、共有可能な情報に関する詳細な取り決めを必要とするだけでなく、共有相手となる組織を信頼し、また情報の収集、処理、交換のプロセスも信頼する必要があります。

さらに、データの機密性、および個人情報(PII)の保護についての懸念も大きな課題です。攻撃と攻撃者に関する詳細情報は、顧客との(コンテキストも含めた)関連付けなしに共有する必要があります。顧客の機密性を危険にさらして、法的責任を問われることは避けなければなりません。組織は、攻撃者に関連する情報のみを共有し、PIIを匿名化するなど、合意された取り決めを厳守して実施する信頼できるパートナーに依存する必要があります。

信頼関係の構築には、次のようなヒントが参考になります。

  • 業界内であなたが知っているパートナーやベンダーから開始して、脅威情報の共有について意見を聞きましょう。
  • ISAO(Information Sharing and Analysis Organization)またはISAC(Information Sharing and Analysis Center)に参加しましょう。これらのグループは、業種関連の脅威インテリジェンスの共有に取り組み、業界のニーズに適した取り決めと手続きを確立しています。
  • インターポール、NATO Industry Cyber Partnership(NICP)、地域的な団体など、さまざまな組織が脅威データの収集と共有のためにベンダーおよび業界リーダーと積極的に連携しています。セキュリティベンダーの場合は、Cyber Threat Alliance(CTA)、OASIS Cyber Threat Intelligence(CTI)グループなどの業界団体に参加することが、全体的な保護に役立ちます。
  • 直接人々と会いましょう。信頼を築くには時間がかかります。食事などの集まりに参加することは、関係構築に非常に役立ちます。関係者が顔を合わせる機会としては、業界関連の会議、地域的な集まり、ユーザーグループなど、さまざまなものがあります。
  • レーガン元大統領が頻繁に引用していたことで知られていますが、「信頼せよ、されど検証せよ(Trust, but verify)」ということわざは情報共有にも当てはまります。重要セキュリティ情報を受け渡しするには、継続的な監視が必要です。重要情報を渡して使い物にならない情報を受け取っていないか、データが適切に匿名化されているか、渡したものと同じデータを受け取っていないかといったことを確認しなければなりません。信頼関係を維持するには、当事者全員が誠実であることが欠かせません。

迅速な処理の必要性

多くの情報共有サービスに対する批判でよく挙げられるのが、時間がかかり信頼性が低い点です。共有が適切に機能するには、組織は脅威インテリジェンス情報を迅速に受け取って処理し、情報に基づく行動をとることができなければなりません。また、共有する脅威インテリジェンスが即座に役立つものであることを確実にする必要もあります。

すぐに利用できる情報は、受け身の姿勢を改めて積極的に対応するうえで最も役立ちます。これによって、組織は攻撃を止めるだけでなく、サイバー犯罪者を実際に捕らえることができるようになります。真の意味ですぐに役立つインテリジェンスを開発して共有するには、情報を「開発」する組織の訓練されたセキュリティチームの努力とともに、情報を「利用」するユーザーまたは組織の努力も求められます。

多くの組織は、内部を含めた多様なソースから可能な限り多くのデータを積極的に収集していますが、情報を処理して相関させ、ポリシーに変換する作業の多くは依然として手動で行われています。そのために、アクティブな脅威に対して迅速に応答したり、タイムリーな役立つ情報を共有したりすることが非常に難しくなります。最も望ましいのは、脅威インテリジェンスの利用、処理、相関を自動化することです。

セキュリティベンダーは、脅威インテリジェンス情報の共有を自動化する必要もあります。これは、外部組織との間だけではありません。多くの組織は、配備されたセキュリティデバイス間、または異なるチームメンバー間ですら、脅威インテリジェンスを共有するうえで困難を抱え続けています。自動化により、迅速さが求められる脅威情報が即座にすべての利害関係者に提供されるので、リアルタイムでの共有と情報に基づく対応が可能になります。

信頼関係に基づく情報共有は、すでに知っているパートナーやコミュニティとの間であっても、言うほど簡単ではありません。セキュリティ環境の評価ではネットワーク設計の特性を考慮すべきであり、これによって脅威インテリジェンスの受け渡しが確実に推進されます。攻撃が加速し続けている今日の状況において、インテリジェンスの共有、利用、手作業の相関、更新されたポリシーの配信などの迅速さが求められる活動を含め、プロセスを可能な限り自動化していくことが重要です。


オンラインデバイスとデジタルツールの増加と普及に伴って、2016年は重要な転換点を迎えました。複数レベルでの説明責任の必要性が緊急の現実的な課題となり、私たちすべてに影響を及ぼしています。この問題への対応を怠ることは、新しく登場してきたデジタルエコノミーの中断を引き起す大きなリスクとなります。

この数週間だけでも、IoTデバイスが乗っ取られ、インターネットの広範な範囲でシステムのシャットダウンする事態が発生しています。また、米国大統領選挙の動向に影響を与えようとする試みのために盗まれた文書が使用されたり、ランサムウェアが急増して高額の身代金が要求されるインシデントが発生したりしています。このような攻撃は、被害者だけでなく広範な影響を与えています。

デジタルエコノミーの台頭は、組織の事業運営のあり方を変えているだけではありません。この「第4の産業革命」の影響はさらに広範に及び、これまでに例を見ない速度で変化が進行しています。このような世界経済の移行に急ブレーキをかけることは破壊的な影響を生みかねません。移行を推進するベンダー、政府、消費者は、そのような事態が起こらないようにするための責任を負う必要があります。これらのすべてのシナリオにおいて、サイバーセキュリティは戦略的な意思決定事項です。

簡単に解決できるものではありません。

この1年のサイバー脅威の変遷を振り返ることで、いくつかのトレンドが明らかになります。

  • ビジネスと個人の両方のデジタルフットプリントが急拡大し、潜在的な攻撃対象領域が広がっています。
  • すべてがターゲットであり、あらゆるものが武器になり得ます。
  • 脅威が高度化し、自律的に動作可能になり、検出がますます困難になっています。
  • 脅威のトレンドとして、小さなターゲットのグループに対する自動化された攻撃、および大規模なターゲットに対するカスタマイズされた攻撃の2タイプがあります。
  • さらに、これら2つのトレンドが融合して複合化し、最初に自動化された攻撃が使用され、続いて標的型攻撃が実行されるようになりつつあります。インターポール(国際刑事警察機構)が捜査で成果を上げたBEC詐欺でも、この攻撃戦略が使用され、デジタルエコノミーが6,100万ドル以上の損失を受けました。
  • 新しい脅威に加えて、従来の脅威も新しいテクノロジーによって強化され、再発し続けています。

これらのトレンドをガイドラインとして、2017年のサイバー脅威環境の変化およびデジタルエコノミーに対する潜在的影響について、以下に6つの予想を紹介します。

注:こちらでは、予想をビデオで視聴することもできます。

1. 高度な攻撃から高度化する攻撃へ:自動化された人間のような攻撃に対抗するため、よりインテリジェントな防御が必要になります


自動化された人間のような攻撃に対抗するため、よりインテリジェントな防御が必要になります
脅威は高度化し続けており、自律的な動作能力を高めています。来年は、適応力のある成功に基づく学習により、攻撃の効果と効率を高める能力を備えた「人間のような」設計のマルウェアが登場すると予想されます。

ほとんどのマルウェアの仕組みは単純です。迂回技術が組み込まれ、デバイスまたはネットワークのノイズを隠れみのにすることに長けていますが、特定の目的または目的セットを達成するためだけにプログラムされているにすぎません。ハッカーはターゲットを指定するだけであり、マルウェアはタスクを達成することもあれば、しないこともあります。サイバー犯罪者は、マルウェアが持つこのようなバイナリの特性を補うために、2つの方法をとります。時間をかけて複数のツールを管理し、特定ターゲットに攻撃を誘導するか、または攻撃のボリュームを大きくします。大量のマルウェアを送信したり多数の複製を繰り返したりすることで、最終的にデバイスに自らを読み込ませて利用するのです。

しかし、この状況は変わるでしょう。

脅威は高度化し続けており、自律的な動作能力を高めています。来年は、適応力のある成功に基づく学習により、攻撃の成功率と効果を高めるよう設計されたマルウェアが登場すると予想されます。この新世代のマルウェアは状況を認識します。つまり、自らが存在する環境を理解し、次にとるべき動作を計画します。さまざまな意味において人間の攻撃者のように振る舞い、偵察、ターゲットの特定、攻撃手法の選択を行い、インテリジェントな方法で検出を回避するようになるでしょう。

たとえば、バングラデシュ中央銀行の侵害に使用された自律的マルウェアは、電子送金の命令を学習する能力を持っていました。バングラデシュ中央銀行によると2月4日から5日にかけてインシデントが発生しましたが、その数週間前には資金の引き出し方法を学習するよう設計された不正ソフトウェアコードがインストールされた可能性が高いと、捜査当局は見ています。

この次世代マルウェアは、人工知能の先駆けとなるコードを含んでいます。このコードは、「1つを試して成功しなければ次を試す」という従来のコードロジックの代わりに、より複雑なディシジョンツリーを使用します。自律的マルウェアの動作は、トランザクションにより選択されるディシジョンツリーの分岐をトランザクション実行前に予想するよう設計された分岐予測テクノロジーに類似するものです。分岐予測機能により、分岐が選択されるかどうかを追跡し、以前に確認した条件付き飛越しが発生すると予測を行います。したがって、時間経過とともにソフトウェアの効率が向上します。

自律的マルウェアは、インテリジェントな防御ソリューションと同様に、ネットワークセグメントに配備されているデバイスのタイプ、トラフィックフロー、使用されるアプリケーション、トランザクションの詳細、トランザクションが発生する時間帯など、攻撃インテリジェンスの収集と分析によって誘導されます。脅威がホスト内に留まる時間が長くなれば、より効率的に独立して動作し、環境に融合し、ターゲットのプラットフォームに基づいてツールを選択し、最終的には導入されているセキュリティツールに基づいて対応策をとることができるようになります。

プラットフォーム横断的な「トランスフォーマー」型の攻撃

さまざまなモバイルデバイス上およびモバイルデバイス間で動作するよう設計された、プラットフォーム横断的な自律的マルウェアも増加するでしょう。プラットフォーム横断的なこれらの「トランスフォーマー」は、異なる環境で動作可能な多様な攻撃コードおよびペイロードのツールを含みます。自律的マルウェアのこの新しい亜種は学習コンポーネントを含み、これによって配置環境に関する攻撃インテリジェンス(読み込まれたプラットフォームなど)を収集し、適切なペイロードによりターゲットへの攻撃を選択して組み立て、実行します。

トランスフォーマー型のマルウェアは、プラットフォーム横断的なアプリケーションを標的とし、複数のプラットフォームに感染して拡散することによって攻撃対象領域を拡大し、検出と解決を困難にすることを目的として使用されます。脆弱なターゲットが特定されると、これらのツールはコードの失敗も引き起こし、その脆弱性を利用してコードを挿入し、データを収集して、検出されずに留まります。

影響:日常的なタスクを自動化して実行するために接続デバイスへの依存度が高まっている現状においては、トランスフォーマーをはじめとするプラットフォーム間で積極的に拡散するよう設計された自律的マルウェアは、破壊的な影響を及ぼす可能性があります。これに対抗するには、プラットフォームを横断的に識別し、脅威インテリジェンスと連携し、協調的対応を自動的に同期させることができる、高度に統合されたインテリジェントなセキュリティテクノロジーが必要です。

2. IoTメーカーはセキュリティ侵害に対して説明責任を負います


IoTメーカーはセキュリティ侵害に対して説明責任を負います
実環境でのデバイスの動作に対するメーカーの説明責任を求めるため、消費者、ベンダーなどの利害関係者グループからのセキュリティ基準の策定と執行に対する行動喚起が高まるでしょう。

2017年は、IoTデバイスを標的とする攻撃が確実に増えるでしょう。2020年までに、オンラインに接続するIoTデバイスが200億台を超えると予想されます。オンラインのPCが10億台であることを考えると、状況は明らかです。また、現在はIoTをめぐって劇的な変化が起こっています。セキュリティ戦略が皆無のベンダーが非常に脆弱なコードを使用して構築したデバイスが200億台を超えて提供され、接続することで、M2M(Machine to Machine, マシン間)の広大な攻撃対象領域が生まれようとしています。しかも、ほとんどのデバイスはヘッドレスであり、セキュリティクライアントを追加できず、ソフトウェアやファームウェアを効果的にアップデートすることすらできません。

現在、攻撃者はデフォルトのユーザー名やパスワードといった既知の認証情報やハードコーディングされたバックドアを利用するだけで、侵害を成功させています。また、コーディングのミス、バックドア、IoTの接続や通信に使用されることの多いジャンクコードを起因とするその他の脆弱性など、IoTデバイスにはデフォルトのパスワード以外にも容易に達成可能なメリットが依然として多くあります。問題と攻撃者の利益の両方が潜在的に大きいことを考えると、IoTデバイスを標的とする攻撃はさらに高度化し、IoTの通信とデータ収集のチェーンに潜む脆弱性を利用するよう設計されるようになるでしょう。

Shadownetの台頭

広大なShadownet(従来のツールでは確認したり測定したりできないIoTのボットネット)も、さらに拡大していくことが予想されます。最近のMiraiによる攻撃のように、現在のShadownetは初期段階にあり、単純なツールとして使用され、これまでにないDDoS攻撃が実行されています。ただし、これらの攻撃は、主としてこれらのShadownetの能力をテストする目的で行われたものであると考えられます。これはもはや概念実証の脅威ではないことから、感染した多数のデバイスの使用方法も高度化していくでしょう。最初の段階として引き起こされる可能性が最も高いのは、身代金の要求を組み合わせた標的型DDoS攻撃です。さらに、データの収集、攻撃の標的化、その他の攻撃の難読化が続くと考えられます。

IoTのDeep Web

Shadownetの拡大と同時に、IoTのDeep Webも発展していくでしょう。Deep Webは従来、検索エンジンによってインデックス化されていないインターネット領域を指します。感染したIoTデバイスのShadownetが、盗まれた情報の一時保存のためなどに使用されるようになり、IoTベースのDeep Webが形成されると予想されます。多数のP2P(ピアツーピア)のツールが、数百万台のデバイスにわたってデータの保存、管理、アクセスのために不正に使用されるようになるでしょう。TORに似た機能も導入され、これによってIoTネットワークを使用してデータおよびトラフィックを匿名化できるようになる可能性が高いと考えられます。

サプライチェーンのポイズニング

ほとんどのIoTデバイスは、所有者が操作をカスタマイズでき、メーカー向けにマーケティング情報および使用に関する情報を収集するよう設計されています。しかし、これらの企業の大部分は、専門テクノロジーのスキルを持っていません。その代わりに、マクロ経済的メリットのために複数のベンダーがOEMベンダー1社から購入したIoTコンポーネントを、あらゆるデバイスに組み込んで販売するようになるでしょう。つまり、1件の脆弱性を突くセキュリティ侵害が、複数のメーカーが複数のブランドや名称で販売する数十あるいは数百の異なるデバイスにわたって繰り返し実行される可能性があります。これらのOEMベンダーが標的となり、1つの攻撃コードにより数百万台のデバイスのサプライチェーンが侵害されることが予想されます。

影響:IoTはデジタル革命の土台です。IoTメーカーは、脆弱性の高いデバイスを大量に市場に提供してきました。数百万台のIoTデバイスには、感染の危険性だけでなく、単純に使い物にならなくなる(レンガ化する)可能性もあります。そのために消費者ヘルプデスクに問い合わせが殺到すれば、標的になった企業へのサービス拒否攻撃が発生するでしょう。

EUのセキュリティ専門家は、一定のセキュリティ基準を満たしていることを示すステッカーを消費者向けIoTデバイスに貼付することを提案しています。このような措置は、エンタープライズ分野ではCommon Criteriaの認定をはじめとして、すでに講じられていますが、民生品分野にはありません。

IoTのデバイスおよびネットワークによるセキュリティ問題の多くを管理するために、企業はアクセス制御やネットワークセグメンテーションなどの多くのオプションを利用できますが、消費者が使用可能なオプションはほとんどないのが現状です。IoTメーカーがデバイスを保護できないために消費者が購入に二の足を踏むようになると、デジタルエコノミーは甚大な影響を受けます。IoTメーカーが即座に直接的なアクションを起こさなければ、経済的な損失を被るだけでなく、製品に関連するセキュリティ侵害の説明責任を課す法規制の対象となるでしょう。

3. 200億台のIoTおよびエンドポイントデバイスはクラウドの攻撃における最大の弱点です


200億台のIoTデバイスはクラウドの攻撃における最大の弱点です
クラウドのセキュリティにおける最大の弱点は、そのアーキテクチャーではなく、クラウドのリソースにアクセスする数百万台のリモートデバイスに潜んでいます。エンドポイントデバイスを攻撃するよう設計された攻撃がクライアント側の攻撃を引き起こし、これによって実質的にクラウドプロバイダーが標的となって侵害を受ける可能性があると予想されます。

クラウドベースのコンピューティング、ストレージ、処理、さらにはインフラストラクチャへの移行が加速しています。当然のことながら、これによって潜在的な攻撃対象領域が拡大します。その対応として大部分のクラウドプロバイダーは、レイヤー2および3のセキュリティテクノロジーによりネットワークを設計し、これによってテナント間のクラウドをセグメント化し、アクセスを制御し、クラウドプロバイダーの内部ネットワークをパブリックネットワークから保護してきました。次世代ファイアウォールやIPSソリューションなど、より高度なセキュリティツールは、テナントを追加し、支払うことが可能です。

しかし、クラウドのセキュリティにおける最大の弱点は、そのアーキテクチャーではなく、クラウドのリソースにアクセスする数百万台のリモートデバイスに潜んでいます。ネットワークアクセスを誰に許可し、またアクセス者をどれだけ信頼するかを制御することが、クラウドセキュリティを左右します。来年は、エンドポイントデバイスを攻撃することによって、この信頼モデルを損なうよう設計された攻撃が、クライアント側の攻撃を引き起こし、これによって実質的にクラウドプロバイダーが標的となって侵害を受ける可能性があると予想されます。

クラウドは、アプリケーション、リソース、およびサービスへのユビキタスなアクセスを提供するためにも使用されています。クライアント側のこの攻撃により、感染したエンドポイントクライアントによってクラウドベースのソリューションにマルウェアが挿入され、クラウドポイズニングと呼ばれるプロセスが引き起こされることが予想されます。

影響:クラウドベースの戦略は、当初は企業が自ら所有または管理しない環境のセキュリティを懸念したため、ゆっくりしたペースで採用が進みました。企業が現在採用しているクラウドベースの環境およびソリューションが信頼できないものであると突然判明した場合、クラウドへの移行、およびそれによるネットワークインフラストラクチャの発展に大きな影響を与える可能性があります。

4. スマートシティに対する攻撃が勢いを増すでしょう


スマートシティに対する攻撃が勢いを増すでしょう
来年もさらに進展するビルの自動化および管理システムが、ハッカーの標的になる可能性があります。これらの統合システムのいずれかの領域が侵害された場合に引き起こされる市民生活の大規模な中断は影響が深刻であり、サイバー犯罪者にとって価値の大きなターゲットとなる可能性が高いと考えられます。

持続可能な経済発展、天然資源の管理の向上、市民生活の質の向上を牽引するため、スマートシティへの移行が進んでいます。スマートシティの基本コンポーネントには、インテリジェントな交通制御、オンデマンドの街灯、効率的なエネルギー管理、相互接続されたビルの自動化などが含まれます。ビルディングオートメーションシステム(BAS)は、ビルの暖房、換気および空調(HVAC)システム、照明、アラーム、エレベーター、その他のシステムを集中制御します。これらのBASプラットフォームを相互に接続することは、より緊密に統合された、より効率的なスマートシティの構築に向けた重要な一歩となります。

たとえば、2020年東京オリンピックのために建設されている選手村では、訪問者を案内するロボット、即時翻訳ツール、自動運転車、集中接続されたBASテクノロジーなどによる統合エネルギー管理などが導入される予定です。これらのサービスの多くは東京にも拡張され、未来のスマートシティの好見本となるでしょう。重要インフラストラクチャ、緊急サービス、交通制御、IoTデバイス(自動運転車など)、さらには投票、料金支払い、商品やサービスの提供などが相互に接続することで、都市および郊外の環境がかつてないレベルで効率化されます。

このような環境には、センサー、照明、HVACシステム、火災報知器、交通制御、エレベーター、緊急システムなど、広大な潜在的攻撃対象領域が含まれます。これらの統合システムのいずれかの領域が侵害された場合に引き起こされる市民生活の大規模な中断は影響が深刻であり、サイバー犯罪者、サイバー破壊者、および政治的動機を持つハクティビストにとって価値の大きなターゲットとなる可能性が高いと考えられます。

来年もさらに進展するビルの自動化およびビル管理システムが、ハッカーの標的になると予想されます。すでに、米国の大手小売企業がIP対応HVACシステムへの攻撃によるデータ侵害を受けました。IoTのDDoS攻撃と同様に、これらの攻撃は最初のうちはビルのシステムをシャットダウンさせるだけなど、単純なものになる可能性が高いと予想されます。しかし、扉の施錠、エレベーターの遮断、トラフィックの経路変更、または単なるアラームシステムの停止などの手段によってビルを襲い、身代金を要求するインシデントが発生する可能性は高くなっています。そのような事態が発生すると、スマートシティ全体に配備された集中システムの乗っ取りの可能性も現実味を帯びてきます。

影響:スマートビルディングおよびスマートシティの発展により実現される効率は、新しいデジタルエコノミーの中核となります。この発展に対するサイバー攻撃が引き起こす大規模な中断は、多くの業界に深刻で広範な経済的影響を及ぼします。

5. これまでのランサムウェアの脅威はただの入り口にすぎませんでした


これまでのランサムウェアの脅威はただの入り口にすぎませんでした
有名人、政治家、大規模企業など、注目度の高いターゲットに的を絞った攻撃が起こると予想されます。攻撃の自動化によってランサムウェアにスケールメリットが生まれることから、ハッカーは特にIoTデバイスを標的とすることで、コスト効果の高い方法で多数の被害者から少額の身代金を同時にゆすり取ることが可能になります。

高価値の資産を人質に取って支払いを要求する手口は新しいものではありません。ランサムウェアの攻撃については、この数年間報じられており、当面勢いが弱まる様子はありません。さらに、2016年にはサービス型ランサムウェア(Ransomware-as-a-Service、RaaS)が拡大しました。これは、トレーニングも受けずスキルもない潜在的犯罪者でも、開発者と利益の一定割合を分け合うことを条件に、ツールをダウンロードしてターゲットを指定するだけで攻撃を実行できる高価値の攻撃手法であり、今後劇的に増加するとみられます。一部の専門家によると、2016年にランサムウェアによって生じたコストは合計10億ドルを上回ると予想され、この額は2017年に急増すると見込まれています。

2017年には、ランサムウェアについて次のようなトレンドが予想されます。

標的型攻撃のコスト増大

有名人、政治家、大規模企業など、注目度の高いターゲットに的を絞った攻撃が起こると予想されます。これらの攻撃は、システムを単にロックするだけでなく、機密データまたは個人データを収集して恐喝に使用する可能性もあります。また、これらの攻撃で要求される身代金の額が大幅に大きくなると見られます。

自動化された攻撃およびIoTを利用する身代金要求

平均的な市民や消費者を標的として要求できる身代金には限界があり、そのために従来の攻撃で攻撃者はコスト効果を高めることができませんでした。ハードドライブ、車、表玄関のロックを解除したり、火災報知器を止めたりするために、個人が支払ってもよいと考える金額を考慮する必要があるためです。2017年には、このコスト効果の限界を超える攻撃が引き起こされるようになると予想されます。攻撃の自動化によってランサムウェアにスケールメリットが生まれることから、ハッカーは特にオンラインのIoTデバイスを標的とすることで、コスト効果の高い方法で多数の被害者から少額の身代金を同時にゆすり取ることが可能になります。

医療機関を標的とする攻撃の継続

人質に取られたデータの身代金の額は、そのデータを置き換えることができるかどうかに左右されます。たとえば、クレジットカードのデータは置き換えが容易です。これは、カード発行会社に電話をかけ、銀行に出向くだけで新しいカードを取得できるためです。一方、患者記録などの人間のデータは、置き換えが困難または不可能です。さらに、このような記録は詐欺の実行にも使用できるため、高い価値があります。

医療機関がセキュリティに真剣に取り組まない限り、身代金を要求する攻撃の標的になるケースが増加すると予想されます。また、法律事務所、金融機関、政府機関など、人間のデータを収集および管理するその他の組織が標的になるインシデントも増えると考えられます。

影響:ランサムウェアはあらゆる人々に影響を及ぼします。ランサムウェアやその他の身代金を要求する攻撃の影響を受ける組織は、特に個人情報に影響する場合、セキュリティ対策の不備について責任を問われるべきであり、罰金によってビジネスのコストが増大する可能性にとどまらない影響があります。消費者レベルで考えると、IoTデバイスに対して身代金を要求する攻撃が公表された場合には、そのような攻撃に対してデバイスが保護されているという保証がない限り、消費者は新しい接続デバイスを導入する意欲をなくすでしょう。それによって、すでに停滞している世界経済の歩みをさらに鈍化させてしまいます。

6. サイバーセキュリティに不可欠なスキルの不足をテクノロジーによって埋める必要があります


サイバーセキュリティに不可欠なスキルの不足をテクノロジーによって埋める必要があります
セキュリティポリシーの開発、ネットワーク環境で自由に移動する重要資産の保護、または今日の高度化した攻撃の特定と対応に必要な経験もトレーニングも、組織に不足しています。

デジタルエコノミーの成長における基本的な側面として、従来は接続していなかったビジネスでオンライン化が必要となり、これを実現しなければビジネスの将来がなくなってしまうという点が挙げられます。新興国、従来は接続していなかった市場、デジタルの事業戦略を初めて採用する小規模企業にとって、接続性の要求と関連リスクに対処する必要性は深刻な課題となります。

現在はスキルを持つサイバーセキュリティ専門家が不足しているため、デジタルエコノミーへの参加を模索する多くの組織は、そのために大きなリスクを冒すと予想されます。セキュリティポリシーの開発、ネットワーク環境で自由に移動する重要資産の保護、または今日の高度化した攻撃の特定と対応に必要な経験もトレーニングも、組織に不足しています。

多くの場合は最初の対応として、ファイアウォールやIPSデバイスなどの従来のセキュリティツールを購入することになるでしょう。しかし、これらのデバイスの調整、統合、管理、および分析には専門のトレーニングとリソースが必要です。さらに、高度に動的で広範に分散するネットワークを保護するには、これらのツールだけでは不十分になってきています。

見識ある組織は、複雑なセキュリティ分野への対応を支援するセキュリティコンサルティングサービス、またはセキュリティのターンキーソリューションを提供するマネージドセキュリティプロバイダー(MSSP)を利用したり、あるいは少しの操作でセキュリティサービスを追加できるクラウドにインフラストラクチャの大部分を移行したりすると予想されます。

これらの変化に、セキュリティベンダーは次のように応答する必要があります。

  • 自らを保護するために必要なスキルとテクノロジーを持たずにデジタルエコノミーに移行する多数の企業を保護するために、MSSPなどのセキュリティサービスプロバイダーにとってコスト効果が高く管理しやすいセキュリティオペレーションセンター(SOC)を設計および構築する。これには、小規模企業向けマネージドソリューション、またはSIEMおよびCTIプラットフォームなどの脅威インテリジェンスと自律的保護のための可視性および実行可能な脅威インテリジェンスを統合する、大規模エンタープライズ向け「SOC-In-A-Box」ソリューションを含める必要があります。
  • ローカルでの配備でも、クラウドサービスを使用する場合も、統合された一元的な管理と分析のインタフェースにより、また可能な場合は単一の基盤OSを使用して、セキュリティ対策の制御とオーケストレーションを簡素化する。
  • デバイス横断的、さらにはベンダー横断的なインテリジェンスの相関と同期を実現するよう設計されたオープンセキュリティソリューションを構築する。
  • 複数ドメインにわたって一貫性のあるセキュリティ対策のために、プライベートおよびパブリッククラウド環境に実装可能であり、かつ物理デバイスによる集中的な管理およびオーケストレーションを実現する仮想化ツールを構築する。
  • サービスベースのセキュリティソリューションに統合可能な、ローカルで使用される専用セキュリティツール(電子メール、Webセキュリティデバイスなど)を構築する。
  • ポイントソリューションの他に、内部セグメンテーションや自動化されたユニバーサルポリシーなど、より戦略的なセキュリティのアプローチを実現することにより、脅威環境に先んじて対応する。顧客は、攻撃のライフサイクルを通じてあらゆる課題に対処するための、統合的なセキュリティ戦略を求めています。

影響:セキュリティベンダーは、従来のサイロ化されたアプローチによるセキュリティツール開発を見直す必要があります。これまでは、見えない敵に対抗するための要塞を築くことが目標とされてきました。しかし、流動性が高いマルチプラットフォームネットワークでは、そのようなアプローチを変える必要があります。今日のセキュリティ対策は、まず可視性を実現したうえで、そのインテリジェンスを利用する適応型の統合セキュリティフレームワークを動的に構築する必要があります。境界のないデジタルエコノミーの範囲とスケール、および今日のデジタルビジネスの変化する要件に適応できないベンダーに、未来はありません。


どの領域でも、犯罪者は予測不可能な側面を持っていることは、よく知られています。犯罪者は、システムの欠陥や脆弱性を探して自らの利益となるように利用しようとします。したがって、セキュリティシステムの設計では、攻撃が予測不可能であることを前提としている必要があります。

BlackNurse DDoS攻撃は、新しく登場してきた脅威の1つです。フォーティネットはこの脅威に対して、IPSシグネチャBlackNurse.ICMP.Type.3.Code.3.Flood.DoSを使用するコンテンツベースの保護機能、およびFortiDDoSテクノロジーのビヘイビアベースの保護機能を提供して組織を保護します。FortiDDoSを導入することで、このような予測不可能な攻撃を簡単に阻止できるので、セキュリティ管理者があらかじめ知識を得たり計画したりする必要がありません。デバイス、そして提案されたデバイスの実装アプローチにより、シグネチャを使用しなくともこのような攻撃から自動的に保護します。

BlackNurse DDoS攻撃

ICMPは、インターネットで広く使用されているプロトコルです。主として診断情報およびエラーメッセージの報告に使用され、またSSL、VPN、高可用性(HA)環境におけるノード間の接続を確認するためにも使用されます。このプロトコルはタイプとコードを使用することから、実装がTCPとUDPに非常に似ています(インターネット上の2つのエンドポイント間で情報を交換するためにソケットが使用するポートと同様)。タイプは256種類、実行可能なコードは256種類あり、IANAによりそれぞれ異なる目的に割り当てられています。大抵のネットワークエンジニアが知っているICMPプロトコルとしては、次のようなものがあります。

  • タイプ8、コード0:エコー要求(Pingに使用)
  • タイプ0、コード0:エコー応答(Pingに使用)
  • タイプ3、コード0:ネットワーク到達不能
  • タイプ3、コード1:ホスト到達不能
  • タイプ3、コード2:プロトコル到達不能
  • タイプ3、コード3:ポート到達不能


図1:BlackNurse DDoSのロゴ

デンマークのある企業が最近発見した数件のDDoS攻撃は、一部のクライアントに対するICMPトラフィックを利用した小規模のものです。BlackNurseと呼ばれるこの攻撃は、ICMPパケットのタイプ3、コード3を利用するDDoS攻撃であり、一部のネットワーク機器でCPUの処理のオーバーロードを引き起こします。

FortiDDoSと詳細なパケットインスペクション

FortiDDoSアプライアンスは、ハードウェアロジックを使用して、さまざまな観点からパケットインスペクションを実行します。その中には、レイヤー3、4、および7の多くのパラメータも含まれます。たとえば、レイヤー3ではすべてのプロトコルが分類され、レートの測定が行われます。レイヤー4では、FortiDDoSはすべてのTCPポート、UDPポート、ICMPタイプおよびコードのインスペクションをそれぞれの方向について実行し、また各SPP(Service Protection Profile)のインスペクションも実行します。レイヤー7では、HTTPパケットについてURL、ホスト、ユーザーエージェント、リファラーなどのインスペクションを実行します。また、DNSパケットについてはメータリングクエリ、応答、クエリタイプ、応答タイプなどを継続的に監視します。これにより、各パラメータについてベースラインとなる正常レートを判断できます。攻撃は巧妙に仕組まれることもありますが、攻撃パケットに類似性があるとパラメータのいずれかにピークが示されます。このため、ICMPのタイプ3、コード3に突然表れるBlackNurseのような攻撃は、FortiDDoSハードウェアロジックにより自動的に認識され、即座に阻止されます。

FortiDDoSアーキテクチャの主なメリットの1つは、攻撃者がスクリプトをこれらのタイプとコードの別の組み合わせに変更してもスクリプトを阻止できることです。

FortiDDoSにより保護されたネットワークが外部との通信にICMPのタイプ3、コード3を使用していない場合は、ハードウェアACLをICMPのタイプ3、コード3に使用して、トラフィックのパフォーマンスを犠牲にすることなく攻撃の完全なブロックを即座に実行できます。使用されていないプロトコルとサービスに、同様のACLを使用できます。

FortiDDoSのシステム推奨と保護

FortiDDoSは、トラフィックのベースラインの判断を可能にし、また実際のトラフィックに基づいてしきい値を推奨します。これらのあまり使用されないプロトコルおよびサービスでのトラフィックは、通常は非常に小さいことが想定されます。したがって、アプライアンスのシステム推奨セットアップは、これらのあまり使用されないプロトコルについて低いしきい値を保持します。BlackNurseなどの攻撃が実行されると、通常範囲から外れたトラフィックの急増が確認され、自動的に攻撃が阻止されます。

フォーティネットチームは、引き続きDDoSのこの亜種を監視し、その識別と阻止に関するデータが公開された場合は、速やかに追加情報を提供してきます。