industry-trends

進化する脅威環境 - 2018年の予測を振り返る

Fortinet FortiGuard Labs Threat Research

この数カ月にわたり、FortiGuard Labsチームは今年初めに発行した記事「フォーティネットが予測する2018年の脅威」で紹介した傾向の進化を追跡してきました。この中間アップデートでは、この予測と関連する技法やマルウェアで見つかった進化の最新情報を提供します。特に、短期間で開発された先駆的なスウォームボットとハイブネットについては再度取り上げる必要があります。また、標的にされる重要インフラストラクチャの増加、マルウェアエクスプロイトの自動化の開発、ボットネットのC&C(コマンド&コントロール)を匿名化するためのブロックチェーンテクノロジーの使用といった傾向についても説明します。

もちろんこれらの傾向は、孤立して発生しているわけではありません。こうした脅威の傾向は、デジタル変革によって促進されている従来独立していたシステム同士の統合、たとえば企業内のITおよびOTネットワークの統合やスマートシティといった大規模なハイパーコネクテッド環境をサポートするための大規模システムの統合と同じ時期に発生しています。例を挙げると、マルウェア開発者は、自動化機能やSCADAを狙った新しいエクスプロイトをマルウェアに積極的に追加しているため、マルウェアは従来のネットワークだけでなくOTネットワークを標的とする攻撃でも使用できるようになり、重要インフラストラクチャの侵害が可能になっています。また、この種の攻撃を仕掛ける犯罪組織や国家を防御するためのブロックチェーンベースのC&Cシステムも登場しています。


ハイブネットとスウォームボット

私は、統合型の自律的スウォームインテリジェンスを基盤とするスケーラブルアーキテクチャへのボットネットの進化についての記事を数回書いてきました。スウォームベース攻撃は、エージェン同士を間接的に協調させるコンセンサスベースのソーシャルネットワークメカニズムなどを活用して、システムの侵害に要する時間を大幅に短縮することができます。アリやミツバチなどの大群(スウォーム)をなす昆虫は、このプロセスを活用して資源の収集や作業負荷の分散を管理しています。同様に、人工的なスウォームは、収集されたインテリジェンスを即座に共有し、短期間で試行錯誤を繰り返した後、特定のエクスプロイトを有するスワーム内の特殊メンバーを活用して、特定の攻撃を脆弱性に適用することができます。新たに開発されたこの技法によって、システムの侵害に必要な時間が短縮されるだけはありません。複数のデバイスを標的とするスウォームベースのボットネットによって適用できる同時に実行可能な大量の攻撃は、従来の防御システムを短時間で圧倒することができます。

今年の春に初めて検出された「Hide 'N Seek」と呼ばれるIoTボットネットの出現によって、スウォームとして機能するボットネットが実現に大きく近づきました。このボットネットは、カスタムビルドのピアツーピア通信を使用して複雑で分散化された手法で通信し、さまざまな悪質なルーチンを実装します。また、複数の改ざん防止技法を活用してサードパーティによるハイジャックやポイズニングを防止します。さらに、デバイスがリブートされても生き残り、侵害したデバイスに留まり続ける初のIoTボットネットマルウェアでもあります。

「Hide 'N Seek」は、双方向コマンドもサポートしているため、大規模なボットネット内の単一のノードが要求することも応答を受信することもできるため、Miraiで使用されたような単一のプログラム済みペイロードを配信するのではなく、増加するデバイスに対して同時にさまざまなエクスプロイトを実行することができます。この技法が開発されたことは、スウォームが自律的に動作するために必要な通信フィードバックメカニズムを実現する上で特に重要です。

「Hide 'N Seek」は、家庭用オートメーションシステムを積極的に標的とする初のインザワイルドマルウェアでもあります。FortiGuard Labsでは、今年初めに研究者によって開発されて以来、慎重にこのボットネットマルウェアを監視してきました。このマルウェアは当初はルーター、IPカメラ、DVRを狙っていましたが、最新バージョンではクロスプラットフォームデータベースソリューションとスマートホームデバイスも標的にしています。

2020年までに接続されるIoTデバイス数が204億台に達すると予測されていること、またエンドユーザーが家庭やビジネスの自動化のために導入するこれらのデバイスセグメントが増加していることから、サイバー犯罪者や国家が今後長期的にこの領域への積極的な攻撃を継続することは容易に予測できます。


標的にされる重要インフラストラクチャ

Hide 'N Seekの例でわかったように、サイバー犯罪者は複数の悪質な攻撃をボットネットにロードすることで、ボットネットの影響を最大限に高めています。Miraiベースのボットネットのもう1つの亜種であるWICKEDは、最近ツールキットに少なくとも3つの新しいエクスプロイトを追加したため、パッチが適用されていないIoTデバイスを効率的に標的にできるようになりました。また、国家に支援された高度な攻撃であるVPNFilterも、SCADA/ICS環境を標的にすることが可能です。VPNFilterは、データを抽出できるだけでなく、産業制御システムを含むデバイスを完全に操作不能の状態にすることもできるため、重大な新種の脅威と言えます。侵害したデバイスは、個別に停止させることも、集中管理型のトリガーを使用してすべてを同時に停止させることも可能です。

VPNFilterは、今年5月に初めて文書化され、Cyber Treat Alliance(CTA)に情報が共有されました。CTAはフォーティネットが共同創設した組織で、業界をリードするセキュリティリサーチチームで構成されています。VPNFilterは、弊社が数年にわたって追跡しているIoTを標的とする脅威の一部をなしています。VPNFilterは、増加の一途をたどるIoTベースデバイスを標的とし、膨大な数のルーターとスイッチを侵害していることに加え、MODBUS SCADAプロトコルを監視したSCADA/ICS環境も標的とし、重要インフラストラクチャ環境への侵入に使用できるWebサイト資格証明を盗み出します。Modbusは、OT環境内のプログラマブル論理制御(PLC)装置で使用するために開発されたオープンなシリアル通信プロトコルで、ネットワークをまたがってさまざまなタイプの産業電子デバイスを接続するためにOTオペレータによって幅広く使用されています。

「Hide 'N Seek」と同様に、VPNFilterも、データの抽出、コマンドの実行、ファイルの収集、デバイスの管理などの幅広い侵害を実行できます。また、すでに説明したように感染したデバイスを操作不能にできるので、コマンド1つでネットワークまたはネットワークセグメントをオフラインにできてしまいます。


自動化によるダークウェブエコノミーの強化

サイバー犯罪者が最新のネットワークセキュリティツールの機能を凌ぎたいなら、マルウェアに自動化を追加することが不可欠です。サイバー犯罪の開発者も、ダークウェブマーケットプレースで提供中の高度なサービスに自動化を追加しています。自動化の追加は、機械学習機能の実装、そして最終的にはサイバー攻撃へのAIの実装に向けた重要なステップでもあります。

AutoSploitは、リモートホストの悪用を自動化する強力な攻撃ツールです。AtutoSploitは、特定の接続デバイスの場所を突き止めるように設計された高度なオンライン検索エンジン(ShodanやZoomeyeなど)を通じて特定の標的の情報を収集します。また、標的やホストのリストをカスタマイズするオプションも含まれています。犯罪者は、このプログラムを使用してプラットフォーム固有の検索クエリを入力し、候補者のリストを生成することができます。ハッカーが攻撃対象のデバイスを選択すると、AutoSploitはペネトレ―ションツールであるMetasploitのライブラリを活用して、標的デバイスとすべての関連するエクスプロイトを自動的にマッチさせます。その後、いずれかのデバイスに侵入できるまで、これらのデバイスに対してエクスプロイトを体系的に実行します。侵害に成功すると、プロキシとカスタムユーザーエージェントを使用してその情報が報告され、オペレータへのトラフィックのトレースが阻止されます。

AutoSploitはオープンソースなので、限られた技術的スキルしか持たない人でも、ほぼ完全に自動化されたシステムを通じて標的攻撃を仕掛けることが可能になり、サイバー犯罪組織を運営できるようになるため、データの盗用やランサムウェアの配信が成功する機会が爆発的に増加します。自動化機能の利用が拡大することで、現在および将来のサイバー犯罪組織のROIに大きな影響が及ぶとともに、サイバー犯罪の潜在的な収益力に対する関心が今後も高まると考えられます。ROIは、現在進行中のスウォーム技術開発の重要な促進材料でもあるため、アジャイル開発、リソースの分散化、C2の分散化、機械学習と統合スウォームコミュニティの一部として機能する専用スウォームボットの組み合わせによる自律的適応性などが取り入れられ、サイバー犯罪のビジネス機能の最適化に役立っています。

サイバー犯罪グループはビジネスとして機能することから、合法的な企業と同様にリソースの使用やリソースへの投資について決定を下します。エクスプロイトを購入するか、構築するか、または既存のエクスプロイトを再利用するかの決定は、人的スキルやツール(作成済みのエクスプロイトや使用可能なインフラストラクチャ)やキャッシュフローなどの現在の資産を評価する財務モデルに基づいており、リスク対ROIを考慮して決定が下されます。

たとえば、計画しているスピアフィッシング攻撃で使用できる新しいゼロデイエクスプロイトがない場合には、調査して新しいエクスプロイトを開発することができます。しかし、ダークネットで購入した方が割安な場合もあります。サイバー犯罪者が標的にしているネットワークと、ネットワークの侵害に必要なマルウェアがともに複雑化していることを考えると、単独の犯罪組織が攻撃チェーンのすべての要素の優れたスキルを持つことは困難です。そのため今日のサイバー犯罪者は、独自のツールの記述やデータの管理などの特定の領域を専門とし(データは販売も可能)、その専門技法とオープンソース市場ですでに提供されている技法を組み合わせて使用するか、提供されていない技法を購入または委託する傾向があります。


スウォームネットワークの構築

AutoSploitなどのツールは、新しい世代のスウォームネットワークを構築するための重要な新しい構成要素です。侵害されたデバイスで構成されるボットネットにこの自動化された機能を挿入すると、攻撃が協調的な統合システムの一部として機能できるようになります。自動化によって、攻撃の各手順で決定を下す人間モニターの使用にかかるオーバーヘッドが排除されるため、攻撃者は大幅なコスト削減を実現できます。スウォームネットワークの自動化は大きな前進と言えます。大規模ネットワークの制御に人を使用するのは非常に効率性が悪く、特に攻撃対象領域にさまざまなタイプのOSやデバイスが含まれる混在環境では、エクスプロイトの実行、ペイロードの配信、データの取得、検出への対応に独立したメカニズムが必要になるためです。


C&Cでのブロックチェーンの使用

FBIやInterpolなどの組織がサイバー攻撃者を追跡して逮捕しようと懸命に取り組んでいるため、サイバー犯罪者は検出、特定、捕獲を回避する新しい手段の発見を余儀なくされています。ビットコインによって、私たちは個々の参加者のプライバシーを侵害せずに取引を実行するために多数のエンティティ間に導入するシステムを構築できることを学びました。この機能を実現したブロックチェーンは、匿名C2システムを構築する技術の候補として挙げられています。最近まで、このシステムの構築は理論に過ぎませんでした。しかし現在では、セキュリティ研究者であるOmer Zohar氏がブロックチェーン技術を使用して、イーサリアムネットワーク上に構築されたテイクダウンに耐えられるボットネット向けC&Cインフラストラクチャを構築することに成功しています。

ボットネットにとっての最大の課題は、コントローラとの通信を維持することです。C2通信は、どのボットネット環境でも最も脆弱なリンクであり、ボットネット運用者が検出やテイクダウンにさらされています。したがって、1)自動化機能を使用してスウォームを構築し、2)スウォームインテリジェンスを活用してリソースを使用し、3)Fast Fluxネットワーク(マルウェア配信サイトを隠匿するためにボットネットに使用される技法)やP2P通信などの脆弱なC2ソリューションとリプレースするために、ブロックチェーンを使用して自律的スウォームとの安全な最後のコンタクト/通信ポイントを構築すれば、複数の要素が統合された1つの興味深いソリューションを開発できます。

多くの人はブロックチェーンをデジタル通貨の視点でしか考えていませんが、ブロックチェーンは幅広い機能を確保するためにも活用できます。たとえば、安全なブロックチェーン通信は、データの改ざん、盗聴、MITM攻撃、リレー攻撃の影響を受けません。またノードが常にC2サーバを検出できるため、高可用性が保証されます。さらに、高度な拡張性も提供します。任意の数のインプラントと多数のトランザクションがサポートされており、制限となるのはブロックチェーンの実行に必要なオーバーヘッドのみです。ブロックチェーンに接続できるのは有効なインプラントだけなので、リプレイやハニーポッティングなども防止できます。ブロックチェーン技術の最大の利点の1つは匿名性です。ブロックチェーンは、警察によるネットワークオペレータに関する情報収集を阻止するため、危険を伴う新しい課題をもたらしています。また、単一の障害ポイントも論理的なパスも存在しないため、ネットワークの敵対的テイクオーバーを防ぎ、テイクダウンにも耐えることができます。

しかし、ブロックチェーンの使用にはコスト面の懸念もあります。たとえば、2018年8月11日時点でのブロックの上限は6,700,000で、これは1つのノードがトランザクションで10720バイトのデータしか書き込めないことを意味します。また、この取引には8.60ドルのコストがかかり、平均で完了に1733秒(約28分)かかります。このコストも、現在のガス価格を受け入れるブロック数によって異なります。現在は約60%に過ぎないため、より多くの料金を払わなければならない可能性があります(「ガス」とはイーサリアムで使用される用語で、適切な料金を計算するためのアクションに必要なコンピューティングリソースを指します)。一時データをトランザクションとして書き込み、攻撃者がこれを通信チャネルとして利用する場合、当初はコストを安く抑えられるかもしれませんが、ボットネット内のインプラント数が増加すればコストは増大します。攻撃者からすれば、通信コスト以外にも考慮すべき問題があります。イーサリアム仮想マシンコード(EVMC)が(取引データとともに)ブロックチェーン上で公開されるため、他者によって容易に逆コンパイル可能なことです。また、攻撃者はインプラントにイーサトークンを含める必要があるため、インプラントの1つが第三者に侵害されるとすべての資金を失ってしまいます。


まとめ

攻撃者が新しいボットネットを開発して導入するコストとは対照的に、防御者の視点からすると集中管理型ボットネットを破壊するコストは非常に安いため、サイバー犯罪者には2つのオプションがあります。1つは、ボットネットをより低いコストで開発し、継続的にテイクダウンが行われても(ボットネットがテイクダウンと次のテイクダウンの間で利益を上げている限り)不利益を被らないようにすることです。もう1つは、先行投資を増やしてより堅牢なボットネットを開発することです(このボットネットをより長く活用し、高い収益を確保します)。最初のオプションの方が簡単そうに思えますが、ダークネット市場にどれだけ多くの専門業者が存在するかを考えてみてください。つまり、すでに特定のグループがボットネットの分散化サービスの開発を開始している可能性は高いはずです。長期的に見て、こうしたサービスを使用するアプローチは論理的にも経済的にも理にかなっています。そのため私たちは、今後大規模なボットネットベースのキャンペーンで、攻撃者が一層自動化・分散化された技術を使用すると見ています。

一方、C2やその他のサービスにブロックチェーンを使用することで、攻撃者が多くのメリットを得られる可能性はありますが、その透明性とコストの高さを考慮すると、ブロックチェーンがコモディティランサムウェアや汎用マルウェアのために広く使用されることはないでしょう。しかし、資金が豊富なグループによって実行される価値の高い標的攻撃で使用される可能性は残ります。たとえば、(ビットコインや類似する暗号通貨で支払われる)ランサムウェアキャンペーンを実施する、またはクリプトマイニングマルウェアを配布する犯罪者グループは、利益の一部をスマートコントラクトを実行するインプラントに積極的に費やす可能性があります。

確実に言えるのは、次に起こることを受け入れる準備をしておく必要があることです。攻撃者は常に攻撃を増やす創造的な手段を見出してきました。その傾向は今後も続くはずです。しかし、注意深く追跡と分析を実施し、サイバー攻撃で活用される基盤の経済モデルを理解することによって、情報に基づいてサイバー攻撃の今後の方向性を予測し続けることができます。予測を行うことで、私たちは自分たち自身や相互接続が進むデジタル世界を犯罪計画からプロアクティブに保護できるはずです。


FortiGuard

最新の脅威に関する詳細については、四半期ごとの脅威レポートの最新版をご覧ください。 FortiGuard Labsでは、脅威インテリジェンス情報(英文)を毎週お届けしていますので、ぜひご購読ください。