持続的標的型 攻撃(APT): 徹底的な防御

WHITE PAPER
標的型攻撃 | 2012 7月
持続的標的型
攻撃(APT):
徹底的な防御
Russell Miller
CA Technologies Security Management
標的型攻撃
目次
概要
3
セクション1:課題
4
持続的標的型攻撃(APT):
従来とは異なる対応が必要
セクション2:ビジネスチャンス
7
多層防御
セクション3:メリット
14
リスクを削減!
セクション4:結論
14
セクション5:参考資料
15
セクション6:著者について
16
2
標的型攻撃
概要
課題
組織を様々な脅威から保護することは、
ますます困難な課題になっています。攻撃は複雑さを増し、標的型攻
撃の一種である持続的標的型攻撃(APT)の出現により、組織は攻撃の対象となる自身の脆弱性を以前より認
識するようになりました。RSA SecurityやGoogle、Northrup Grummanなどの企業は、自身がAPT攻撃のター
ゲットであったことに気がつきました。過去に重大なセキュリティ侵害の被害を受けていないからといって、今
後も安全だという保証にはなりません。APTの標的になった組織は、検知されないよう数か月あるいは数年に
わたって間隔をあけ攻撃が行われるなど、セキュリティ管理者が通常直面するのとは異なる課題に直面しま
す。セキュリティ侵害による損害も増大しているため、
この問題は上層部にとってもいっそう現実的なものに
なっています。
ビジネスチャンス
APT攻撃に対する防御については、特効薬は存在しません。多層防御を使用して組み合わせることで、侵害が
起きる可能性を減らし、侵害が発生したとしても損害を軽減する必要があります。
標的型攻撃に対する防御の初期のアプローチは、
ファイアウォールや侵入検知システムを使用して境界を保
護し、異常動作を検知してブロックするというものでした。このアプローチは特定の種類の攻撃に対する防御
には効果を発揮することもありますが、
「スピアフィッシング」や「ソーシャルエンジニアリング」など、すべての
攻撃ベクトルに対してセキュリティを確保できるわけではありません。
ポイントセキュリティ製品は技術ベースのものであってもそれ以外であっても、組織をAPT攻撃から保護する
には不十分ですが、現在のクロスドメインセキュリティソリューションの登場によって、かつてないほど効果的
な保護が可能になっています。特権アイデンティティ管理、情報の保護と制御、内部インフラストラクチャのセ
キュリティは、従来別々に考えられて来ましたが、現在はこれら組み合わせてITインフラストラクチャとデータ
センタを補完的に保護することができます。
メリット
持続的標的型攻撃を理解し、
これに対する防御をすることによって、組織は攻撃のターゲットにされた場合のリ
スクを軽減できます。軽減できるリスクには金銭面だけでなく、評判や運用上のリスク、法的なリスクもありま
す。
APT攻撃に対して使用できるセキュリティの総合的な視点を持つことができれば、それほど高度ではない攻撃
や自動化された攻撃、あるいは内部関係者による攻撃から身を守ることにもなります。セキュリティの包括的
なアプローチには、
コンプライアンスの向上、
クラウドベースサービスへの対応、仮想化セキュリティの向上、
コスト削減など、他にも多くのメリットがあります。
3
標的型攻撃
セクション1:課題
持続的標的型攻撃(APT): 従来とは異なる対
応が必要
持続的標的型攻撃(APT; Advanced Persistent Threat)
は、従来のセキュリティリスクとは全く異なる問題を
提示しています。Ponemon Instituteの見積りによると2011年におけるセキュリティ侵害の平均コストは550
万ドルで、1セキュリティ侵害は企業の上層部にとっても重大な懸念事項となっています。
APT定義
持続的標的型攻撃とは、標的とする対象を絞った長期的で高度な攻撃のことを指します。攻撃者は国家の支
援を受けていることが多く、他国の政府から価値の高い機密情報を盗み出そうとします。また、攻撃元や攻撃
対象は民間組織の場合もあります。この用語は2006年に米国空軍が使い始めたのが最初です。2
The National Institute of Standards and Technology (NIST)は、APT攻撃を次のように定義しています。3
「持続的標的型攻撃とは、高度な専門知識と十分なリソースを持つ攻撃者が、複数の攻撃ベクトル(サイバー
攻撃、物理的な攻撃、詐欺など)
を使用して目的達成の機会を作りだすための攻撃で、通常その目的とは、組織
の情報技術インフラストラクチャ内に足がかりを築いて拡大し、継続的な情報の盗用、任務やプログラム、組
織の重要な側面の妨害、
また、将来そうした行為を行えるよう準備することにある。持続的標的型攻撃はまた、
長期間にわたり繰り返し標的を追い続け、抵抗する相手の防御に対応して、目的の達成に必要なレベルのイン
タラクションを執拗に維持する」。
その定義には様々なものがありますが、持続的標的型攻撃とは何かを明らかにするには次の3つの言葉が役
立ちます。4
• 高度: 攻撃者は、ターゲットの脆弱性を利用できる高度な技術能力を有します。これには大規模な脆弱性
コーディングスキルを持っているだけでなく、それ
データベースやセキュリティ上の弱点にアクセスでき、
までは知られていなかった脆弱性を見つけ出し利用する能力も含まれることがあります。
• 持続的: 多くの場合、APT攻撃は長期間にわたって行われます。一時的な機会を利用する短期間の攻撃と
異なり、APT攻撃は数年間にわたって続くことがあります。インターネットベースの攻撃からソーシャルエ
ンジニアリングまで、複数の攻撃ベクトルを使用することがあります。重要度の低いセキュリティ侵害を時
間をかけて組み合わせ、もっと重要なデータへのアクセスに達することがあります。
• 脅威: 脅威があるということは、動機と攻撃を成功させる能力の両方を持った攻撃者がいるということで
す。
組織化されたグループが大規模な攻撃の一部として自動化ツールを使用することはありますが、単に自動化
ツールがあるだけではAPT攻撃とは考えられません。
2011 年に行われた攻撃の 50% が大企業を標的としており、これはデータ盗難の
64% を占めています。 5
4
標的型攻撃
攻撃の4つの段階
典型的な持続的標的型攻撃は、次の4つの段階で構成される可能性があります。
図A.
持続的標的型攻撃の
4つの段階
特権の引き上げ
偵察 :
初期侵入 :
とコントロール
継続的な悪用 :
の拡大 :
特権の引き上げ
1. 偵察: 組織の脆弱性についての調査。
ドメインクエリなど基本的な調査から、
ポートや脆弱性のス
偵察 :
初期侵入これには
:
継続的な悪用
:
とコントロール
キャンが含まれることがあります。
の拡大 :
2. 初期侵入: 脆弱性を利用してターゲットのネットワークに足がかりを作ります。これは高度な技術的手法を
使用する場合や、
スピアフィッシング
(特定のターゲットを標的としたフィッシング)
などを使用して単一シス
テムへの通常のユーザアクセスを獲得する場合があります。
「ソーシャルエンジニアリング」や人を利用す
ることも、アクセスを獲得するのによくある方法です。
3. 特権の引き上げとコントロールの拡大: 攻撃者はネットワーク境界への侵入に成功すると、さらなる特権
を得て重要なシステムへのコントロールを獲得しようとします。後でネットワークに簡単にアクセスできる
ように、
この段階で「バックドア」ツールを設置することもあります。
4. 継続的な悪用: 攻撃者は一度コントロールを確立すると、継続的に機密データのエクスポートを行うこと
があります。
第3から第4の段階は、検知されるリスクを減らすために数年間をかけて行われることがあります。
APTが他の攻撃と異なる点
APT攻撃と「通常」の脅威との決定的な違いは、特定の組織が標的とされることです。
「境界」を防御し標準的
なセキュリティコントロールを使用すれば、標準的な攻撃からは組織を保護できるかもしれませんが、APT攻撃
に対抗するには十分ではありません。執拗な攻撃者は新しい脆弱性が見つかるまで時間をかけたり、一見ささ
いな脆弱性を複数組み合わせて大規模でダメージの大きい攻撃へと発展させることができます。
このような脅威に直面したとき、通常のやり方では対応できません。以前は多くの攻撃者が侵入しやすいター
ゲットを選んでいたため、多くの組織にとっては、
インターネットに接続する他の組織や企業より効果の高いセ
しかしAPT攻撃の登場によって、強い動機を持ち、別のターゲットに向
キュリティを備えるだけで事足りました。
かわずに時間をかけて脆弱性を探す敵に打ち勝つことが必要になったのです。
APTは攻撃にかける期間が長いこともあって、検知が特に困難になっています。標準的なセキュリティ侵害で
は、短期間で大量のデータがエクスポートされることがあるため、
ファイアウォールや侵入検知システムによる
検知が可能です。
しかしAPTの攻撃者は数か月、あるいは数年をかけてターゲットとするデータをエクスポート
することがあるため、
フル機能を備えた優れた構成のシステムでも検知は困難です。
5
標的型攻撃
目的
ターゲット
ターゲットを絞るという性質から多くの場合、APT攻 APT攻撃はしばしば政治がらみで国家が資金を出し
撃の犯人は標準的なインターネットハッカーとは異
ているという性質があるため、特定の種類の組織が
なる目的を持っており、単なる盗難や遊びではなく、 狙われるリスクが高くなります。
たとえば次のような目的が中心であることが多く
• 政府機関
なっています。
• 防衛機関や防衛関係の業者
• 政治的な操作
• 重要な社会基盤システム(公益事業、通信システ
• 軍事スパイ
ム、輸送システムなど)
• 経済スパイ
• 政治団体
• 技術スパイ
• 金銭的な恐喝
• 金融機関
• テクノロジ企業
実例
RSA
2011年、RSA SecurityはAPT攻撃の被害を受けたと発表しました。6攻撃者は内部のユーザをだまし、Adobe
Flashのゼロデイ脆弱性を悪用したスプレッドシートを添付した電子メールを開かせ、初期侵入を達成しまし
た。そこから特権のレベルを上げ、バックドアを設置し、他のシステムへのコントロールを獲得しました。
攻撃者は、SecurIDとして知られる二要素認証トークンの関連情報を保管するRSAシステムにアクセスするこ
とができました。この情報には「シード」値が含まれていた可能性があり、その値は60秒で変更されるワンタイ
ムパスワードの生成にRSAがトークンとともに使用しているものでした。ソースコード自体が盗まれた場合は、
攻撃者はSecurID実装の脆弱性や暗号そのものさえ見つけることが可能です。
Operation Aurora
Operation Auroraとは、Google、Adobe、Rackspace、Juniper Networksなど多数の大企業を標的として行わ
れたAPT攻撃です。メディア記事はYahoo、Northrup Grumman、Morgan Stanley、Symantec、Dow
Chemicalなど、他にも多くの企業も狙われたことを示唆しています。7中国の共産党政治局が、米国や他の西
洋諸国への大規模な組織的作戦の一部として攻撃を指示したと考えられています。8
APT 攻撃は検知が困難です。 Verizon の 2012 年データ漏洩 / 侵害調査報
告書によると、すべての組織の 92% と大規模組織の 49% が外部からの通
知でセキュリティ侵害について気がついたとしています。 9
6
標的型攻撃
セクション2:ビジネスチャンス
多層防御
持続的標的型攻撃(APT)
への防御の鍵は、多層防御です。狙いを定めた攻撃者は、十分な時間があればほと
んどのネットワーク境界に侵入できます。防御を成功させるには次のことが必要です。
1. 最初の侵入を難しくする
2. アカウントが侵入された場合に、特権を引き上げられる可能性を減らす
3. 侵入されたのが特権アカウントであっても、そのアカウントによって引き起こせる損害を制限する
4. 侵入されたアカウントや疑わしい活動を攻撃プロセスの初期段階で検知する
5. いつ、誰によって、どのような損害が起きたかを判断できるよう、司法調査に使用できる情報を収集する
ネットワーク境界でのファイアウォールや侵入検知システムによる保護は、上記の1番目と4番目の防御にし
か役立ちません。もっと積極的な保護戦略が必要です。
早期の検知
セキュリティ侵害は、攻撃者が内部ネットワークへのアクセスを確立し、多量のデータが損害や盗難を受けた
とは、
コストのかかる損害対策や後始
後に検知されることがよくあります。この時点ではAPT攻撃への「防御」
末、継続的なモニタリング作業などになります。APT攻撃に対し無理のないコストで管理しやすい防御を行う
ための鍵は、できるだけ早い段階で脅威を検知することにあります。攻撃の初期段階で攻撃者はまずネット
ワークにちょっとした足がかりを作りますが、
この段階で組織はシステムセキュリティをシステム管理から切り
離したり、特権の引き上げや特権の不正使用の試みを検知および防止したり、
オペレーティングシステムのロ
グ以外でもユーザアクティビティを監査し記録するなど
(こうした監査や記録は攻撃者にはわからない可能性
があります)、様々な技術を使用して侵入を検知することが可能です。
早期の検知に加え、APT攻撃に対する多層防御の中心となるのは、特権アイデンティティ管理や情報の保護と
制御、内部インフラストラクチャのセキュリティです。これらの手法についての詳細は、後のセクションで説明し
ます。
特権アイデンティティ管理
特権アイデンティティ管理(PIM)
ツールは、Windowsの「Administrator」やUNIX/Linuxの「root」など、管理
者アカウントを管理およびモニタします。PIMシステムは次のことを行います。:
• 管理者アカウントにも「最小限の特権 "Least Privilege"」の原則を実施する
• 特権ユーザパスワード管理機能を使用して共有アカウントへのアクセスを管理する
• アカウンタビリティを確保しセキュリティ侵害の調査に役立てるために、ユーザアクティビティを追跡する
7
標的型攻撃
最小限の特権によるアクセス
すべてのユーザは、業務を遂行するための必要最小限の特権を付与されるべきです。この考え方は多くの組
織によって理解はされていますが、実際の導入となると、特に管理者アカウントに関して実行されないことが
よくあります。一定レベルの特権アクセスを要求する個人は通常、関連する管理者アカウントへのパスワード
を付与されますが、
このアカウントは複数のユーザによって共有されています。
APT攻撃の増加で認識する必要があるのは、特権アクセスは「オールオアナッシング」の決定である必要はな
いということです。各ユーザに対しては、特定の限られた作業のみを達成できる権限を許可することが可能で
す。過去においては、
これはUNIXやLinuxシステムでは「sudo」ツールを使用して行われていましたが、現在の
アクセス制御ツールではUNIXやLinuxのシステムの両方について集中してアクセスを許可または拒否できる
ようになっています。
セキュリティモデル : セキュリティをシステム管理から切り離す
通常のオペレーティングシステムのセキュリティモデルは、特権ユーザと標準ユーザの2階層になっています。
しかしAPT攻撃に対して防御するには、もっと高度なモデルが必要です。このモデルは「最小限の特権」や「職
務の分離」
といった標準的なセキュリティ原則に基きます。少なくとも次の3つの主要な管理者役割を定義す
る必要があります。
• システム管理者: システム自体の管理者は、サーバソフトウェアの更新、設定の変更、ソフトウェアのインス
トールなど必要な業務を行うための特権を必要とします。ただしシステム管理者は、重要なセキュリティ設
定を変更したりセキュリティ関連の記録は見ることができないようにする必要があります。
• セキュリティ管理者: セキュリティ管理者はセキュリティの設定や構成を更新および変更し、セキュリティ関
連のログファイルを閲覧できる必要があります。ただしセキュリティ管理者は、
ソフトウェアのインストール
やシステム上の機密データへのアクセスはできないようにすべきです。
• 監査人: 監査人はセキュリティ設定を確認しログファイルを閲覧できる必要がありますが、システムに変更
を加えることはできないようにする必要があります。機密ファイルへのアクセスが必要な場合もあります
が、アクセスはすべて読み取り専用にすべきです。
その他の種類の管理者は、データベース管理者やその他の特に機密性の高いアプリケーションの管理者な
ど必要に応じて内容を定めるべきです。
多階層のセキュリティモデルを使用することで、次の2つの目標を同時に達成できます。各個人ができる操作
を制限することで、内部の管理者によるインサイダーの脅威に対して防御でき、外部の攻撃者に対してはAPT
攻撃の実施をかなり困難にすることができます。攻撃者がシステムへのフルアクセスを得るには、1つの「スー
パーユーザ」アカウントに侵入すれば可能だったのが、複数のアカウントへのアクセスを獲得することが必要
になるのです。
きめ細かい制御
きめ細かい制御はセキュリティの実践方法として優れているだけでなく、APT攻撃による損害の軽減に特に役
立ちます。攻撃者は管理者特権を獲得すると、通常、バックドア「ルートキット」を設置して機密データのエクス
ポートを開始します。適切なアクセス制御があれば、攻撃者が特権アクセスを獲得していても操作できる内容
を制限でき、機密ファイルへのアクセスや悪意あるコマンドの実行、
プログラムのインストール、サービスの停
止や開始、
ログファイルの変更などの行為を防止できる可能性があります。きめ細かい制御が実施されたシス
テムでは、攻撃者は以前は単一のアカウントで行っていた攻撃を、複数のアカウントに侵入して行わなければ
ならないのです。
8
標的型攻撃
きめ細かいアクセス制御の実施は、組織のセキュリティの最大の脆弱性の1つである、ユーザというリスクも低
減できます。攻撃者は「ソーシャルエンジニアリング」
と呼ばれる手法を使用して従業員やその他の内部関係
者をだまし、従業員のアカウントへのアクセスを得るために使用できる情報を提供させたり、その他のセキュリ
ティ上の弱点を明らかにすることがよくあります。重要なシステムやデータへの従業員のアクセスを制限する
ことで、
ソーシャルエンジニアリングによって攻撃者がアカウントにアクセスした場合に引き起こされる損害を
減らせます。
共有アカウント管理
共有アカウント管理(または「特権ユーザパスワード管理」)
は、APT攻撃に対して非常に重要な防御です。特権
アイデンティティへのアクセス獲得(しばしば特権の引き上げを通じて行われる)
は、攻撃の成功にとって重要
な中間段階です。特権ユーザパスワード管理ツールは、次のことができる必要があります。
• 暗号パスワードを安全に保管する
• ポリシーに従いパスワードの複雑さと定期的な自動変更を管理する
• すべてのアクセスに一元化されたポータルを通過するよう求め、管理者アカウントへのアクセスを制限す
る
•「自動ログイン」機能を使用し、権限のあるユーザであっても特権アカウントへのパスワードを知ることが
ないよう防止する
• 緊急時のアカウントへのアクセスを提供する(これは追加の制御で、承認が必要)
• スクリプトでのハードコートされたパスワードの使用を排除する(スクリプトは平文で保存されることが多
く、悪意あるユーザによる盗難の可能性がある)
こうした機能は、パスワードの共有を防止するだけでなく、パスワードが個人のパスワードファイルから、ある
いはキーストロークロギングによって盗難されないよう防止します。すべての特権アカウントログインが中央
プロキシを通過するよう要求することで、セキュリティ侵害が起きた際に組織はすべてのログインとアクティ
ビティを追跡できるため、調査の作業と損害の軽減に役立ちます。
ユーザアクティビティレポート
特権アカウントで行われている行為について把握することは、APT攻撃を検知し初期攻撃が行われた場合の
損害を軽減するために重要な要素です。APT攻撃はその性質から通常、大量のデータをエクスポートするた
め、適切なツールを使用すれば検知できる可能性があります。ユーザアクティビティログは、
どのようなシステ
ムとユーザのアクティビティがシステムやネットワークデバイス上で起きているかを証明するため、ポリシー違
反の特定やセキュリティ侵害の調査のために使用できます。
HIPAA、CA SB 1386、および米国各州の違反通知法などの法規制では、影響を受けた人物や組織にセキュリ
ティ侵害を公開するよう組織に求めています。ユーザアクティビティログでは、セキュリティ侵害の調査に使用
でき、誰が何を行ったかだけでなく、
どのようにして起きたかが分かるので、内部の制御を修正してプロセスを
改善することができます。
9
標的型攻撃
ユーザアクティビティレポートツールには次の機能が必要です。
• すべてを追跡する:
¬ ログイン、特に特権アカウントや共有アカウントへのログイン。ソースIPや、共有アカウントにアクセスし
ログインとログアウト両方の日時を含む。
た元のユーザID、
¬ 共有アカウントアクティビティを元のユーザIDまで遡る
¬ コマンド。コマンドラインとGUIのいずれで入力されたものも含む。
• 異常動作を検知する:
¬ 疑わしい活動を識別しアラートを生成する
¬ ログ相互関連付け機能を提供し、監査ログの複雑なパターンの分析によってユーザアクティビティとそ
れを行った個人を関連付けることに重点を置く。
• 侵害を調査する:
¬ 共有アカウント環境で「誰が何をしたか」を証明する
¬ ユーザとリソースのアクティビティ調査とポリシー違反の識別を促進できる、視覚的なログ分析ツールと
ドリルダウン機能を提供する
侵害が起きた場合に、
これらの機能は組織が次のことを理解するために役立ちます。
• 攻撃者がアカウントにアクセスできた方法
• そのアカウントを利用して攻撃者が行った活動と損害の内容
• 同じか同様の方法を使用した攻撃を今後防止する方法
• 攻撃者は誰だと考えられるか、どこから来たのか
• 規制当局にどの情報を報告するか
ログは管理者から保護される必要があることを覚えておくことは重要です。特権ユーザは、ログがローカル
システム上のどこに保管されているか特定でき、組織内で使用されている監査ポリシーを見つけることがで
きます。適切なきめ細かい制御が実施されていなければ、特権ユーザはシステムへのフルアクセス権を有す
るため、ローカルのログファイル内のレコードを削除することで自身のトラックを隠ぺいできます。組織はロ
グを、
こうした特権ユーザによってアクセスできないリモートの場所に保管すべきで、また、ローカルログファ
イルを削除する試みが行われていないかシステム全体をモニタする必要があります。
情報の保護と制御
APT攻撃では、攻撃の最終目的は機密情報の盗難であるため、データを制御することは防御の成功のために
不可欠な要素です。機密データをAPT攻撃から保護するには、次の4つの状態のデータを保護し制御する必要
があります。
• アクセス中のデータ。不適切な役割によってアクセス試行されている機密情報。
• 使用中のデータ。ローカルのワークステーションまたはラップトップコンピュータで処理されている機密
情報。
• 移動中のデータ。ネットワーク上で送受信される機密情報。
• 待機中のデータ。データベース、ファイルサーバ、またはコラボレーションシステムなどのリポジトリに保
管されている機密情報。
10
標的型攻撃
これを実行するには組織は、データの不適切なアクセスや利用が検知された場合に制御を実施するポリシー
を定義する必要があります。ポリシー違反(知的財産へのアクセスを試みる、情報をUSBドライブへコピーす
る、情報を電子メール送信するなど)が発生した場合、
ソリューションはアラートを発すると同時に侵害を軽減
する必要があります。
データセキュリティの取り組みの中心となるのは情報の分類です。情報の内容や保存場所を把握していなけ
れば、包括的なデータ保護プログラムを実施することは不可能です。組織はその機密レベルに基づいて、機密
情報を正確に把握し分類する必要があります。これには知的財産のほか、個人を特定できる情報、個人の保健
情報、その他の公開用ではない情報も含まれます。
情報を適切に分類し、ポリシーを定義し、制御を導入したら、次に組織はアクセスとすべての機密情報の処理
リムーバブル
をモニタし制御できます。これには機密データへのアクセスや読み込みという単純な試みから、
デバイスへのコピーや印刷、ネットワーク外への電子メールによる送信、SharePointなどのリポジトリに保管さ
れたデータを探し出すなどのユーザアクションが含まれます。
内部インフラストラクチャのセキュリティ
ネットワーク境界の保護と特権アイデンティティおよびデータの保護は、APT攻撃に対する多層防御に不可欠
な要素ですが、内部ITインフラストラクチャを保護することもまた重要です。これには適切なネットワークの
アーキテクチャとセグメンテーションに加え、適切な構成と、個別のサーバやデバイスの保護、および環境の保
護が含まれます。
予期しない、外部化されたセキュリティ
攻撃者は既知のセキュリティ防御に対して戦略を練り、戦術を活用します。また、一般的なオペレーティングシ
ステムのコマンドや機能、ユーティリティを使用して情報を収集し、
システムをモニタし、
コントロールを拡大す
る操作を行います。セキュリティの専門家はシステムに予期しない要素を加えることで、攻撃者の基本的な思
い込みを逆に利用できます。たとえば、一見システムログが保護やモニタリングを行っていないように見える
ファイルとコマンドを、外部ツールによって保護しモニタすることが可能です。つまり、攻撃者から見える許可
は、必ずしも実際に施行されている許可であるとは限らないということです。これによって組織は、攻撃者が許
可の限度を試す際に、
オペレーティングシステムの許可を確認したり外部ポリシーに違反しているところを検
知できます。
セキュリティ管理を外部化しオペレーティングシステムの管理から分離する必要があるのは、
この重要な理由
のためです。システムへの初期アクセスに成功した後、通常の攻撃者はオペレーティングシステムの制御を迂
回するために、特権のレベルを上げようと試みます。このアクセスでは、攻撃者はセキュリティメカニズムを出
し抜いてうまく
「トラックを隠せる」
と考えています。外部セキュリティ機能があれば多くの場合で、攻撃者が特
権レベルを上げたりシステムのセキュリティコントロールを変更したり、許可されていない特権を実行しようと
試みたときに、APT攻撃プロセスのかなり早い段階で攻撃者を検知し阻止することが可能です。攻撃者が従来
のOSレベルの制御やログの迂回に成功しても、外部の検知プロセスなら気づかれずに攻撃者を検知できま
す。要するに組織はアクセス制御ポリシーを知られることなく、
しかも強力で予期されない方法で実施するこ
とができるのです。
また、標準的なシステムコマンドは変更が可能です。管理者が「sudo」などの機能を名前変更すれば、元の
sudoコマンドを使用する試みはすべてアラートを発して侵害の早期検知につなげることができます。
11
標的型攻撃
サーバの強化
機密情報をホストしているサーバはすべて、万一侵害が起きてもデータの漏洩や拡散の可能性を最小限に抑
えられる方法で構成しておく必要があります。これには以下があります。
• ソフトウェアファイアウォールを使用して受信および送信を制御し、ソースIPやプロトコル(SSH、TELNETな
ど)、TCPポートによってパケットを制限して、安全性の低いプロトコル(FTPなど暗号化されていないサー
ビス)
をブロックする
• 明示的に指定された場合(アプリケーションのホワイトリスティング)を除いて、すべてのアプリケーション
の実行およびインストールをブロックし、
コード実行の悪用や「バックドア」
ソフトウェアのインストールを防
止する
• アプリケーションの「ジェイリング」。リスクの高いアプリケーションについて許可できるアクションを定義し
て許可し、
この限界を超える動作を制限する。たとえば、Oracleプロセスやサービスを所有する論理IDに基
づいてアクセス制御リストを作成し、Oracleデータベース管理サービスから発信されたアクション以外を
すべて制限することも可能です。
• ログファイルへの変更を防止する
• ファイル整合性モニタリングを有効にし、
「root kits」などによって行われる重要なファイルへの変更を検
知する
• 機密性の高いアプリケーションディレクトリファイルへのアクセスを制御する(たとえば給与アプリケーショ
ンのみが給与ファイルを開けるようにするなど)
• 機密ファイルへの変更をリアルタイムで検知する
一貫したセキュリティ
分散コンピューティングに共通の問題は、
プラットフォーム全体で様々なセキュリティコントロールの機能が
あり使用できることです(たとえばUNIXファイル/ディレクトリコントロールはWindowsとかなり異なりま
す)。このことは次のように、攻撃に利用される多数の問題につながる可能性があります。
• ビジネスセキュリティモデルではなくシステムモデルに対応したセキュリティポリシー
• セキュリティポリシーはシステムの制約に対応する必要がある
• セキュリティ管理の複雑さが増すことで起きるエラーや手抜かり
APT攻撃に対する包括的な防御を提供するには、すべてのプラットフォームに対して同じようにセキュリティ
構成を適用できることが必要です。制約や不一致がある場合は把握して追跡する必要があります。
これは、組織がオペレーティングシステムだけに頼るべきではないもう1つの理由です。外部ツールは環境全
体のセキュリティパラダイムに適用するためにあらゆる状況に対応するプラットフォームを提供でき、一元的で
合理化された、
ビジネス固有のセキュリティアプローチを可能にします。
仮想化セキュリティ
仮想システムの急増により、仮想環境はAPTの攻撃者の主要なターゲットになっています。Gartnerのレポート
「2011年半ばの時点では、x86のアーキテクチャのワークロードのうち、少なくとも40%がサーバ上
によると、
で仮想化され、
さらに、
インストールベースでは、2012年から2015年の間に5倍になると予測されています
(市場でいずれのワークロードも増加し、普及率は75%以上)。」10
12
標的型攻撃
ハイパーバイザも、得られるアクセスレベルの高さから、重要なターゲットになっています。攻撃者はハイパー
バイザに侵入すると、そのハイパーバイザ上で実行している仮想マシンのすべてにほぼ完全にアクセスでき
ます。オペレーティングシステムのセキュリティによって直接のログインは防止でき、暗号によって機密データ
は保護できますが、
こうした方法では狙いを定めた攻撃者に抵抗することはできないでしょう。ハイパーバイ
ザへの管理制御権を得れば、仮想マシン全体を外部環境にコピーすることができ、
また、
「総当たり攻撃」手法
を使用したりキーファイルを上書きしてホストベースのセキュリティを迂回することが可能です。
仮想環境を保護する場合も、管理者に重点を置き、最小限の特権の原則を適用することが必要です。まず、特
権ハイパーバイザアカウントへのアクセスは、すべてのアクションをモニタおよび記録して厳密に制御する必
要があります。次に、物理環境と同様に、特権ハイパーバイザアイデンティティは必要なアクションの実行のみ
に限定すべきです。たとえば財務管理者は、人事システムではなく、経理部門の管轄の仮想マシンのみにアク
セスできるようにすべきです。
まとめ
どのセキュリティツールも単独では、能力が高く十分なリソースを持つ攻撃者の継続的で意を決したAPT攻撃
から組織を保護することはできません。APT攻撃に対する防御戦略の目標は、できる限りネットワークへの侵
入を困難なものにし、セキュリティ侵害を受けた場合の損害の量や盗難される情報の量を制限し、侵害をでき
るだけ早く検知することにあります。
境界セキュリティは初期の侵害を防止するために必要な要素ですが、
これだけでは決して十分ではなく、侵害
が発生した後の損害の軽減にはほとんど役立ちません。これを軽減するための鍵は、特権アイデンティティ管
理、
データの分類と制御、
インフラストラクチャセキュリティをインテリジェントに組み合わせることにありま
す。
標準的な特権アイデンティティ管理ツールは、ルールセットに基づきアクセスを制限したり許可できます。この
機能は適切な職務分離を提供することができる一方、本質的には厳密なソリューションです。特権は時間がた
ち役割が変更されれば変更される可能性がありますが、
これは基本的には受身のソリューションです。
「コンテンツ中心」の考え方は、APT攻撃に対する積極的な防御の新たな先駆けとなるために必要なものです。
これは、要求を許可するかどうか判断する際に、
データインテリジェンスをあらゆる決定に統合することを意味
します。これはデータへのアクセスとその使用のパターンを認識し把握して行う必要があります。たとえば、次
のような点に注目する必要があります。
• アクセスするデータタイプにおける変化。ある管理者は特定のタイプのデータ(運用レコードなど)に一
貫してアクセスしていたが、機密性の高い財務情報や顧客データへのアクセスを要求するようになった。
• データの使用における変化。ある管理者は通常、特定のアプリケーションを介して読み取り専用アクセス
要求によって機密データにアクセスしていたが、外部ハードドライブやUSBスティックにデータをエクス
ポートしたり電子メールで送信するようになった。
• データの量における変化。ある管理者は週に100MBの機密データにアクセスしていたが、週に500GBの
機密データへのアクセスを要求するようになった。
• データアクセスの頻度における変化。管理者は、機密性が非常に高いデータに月に1回アクセスしていた
が、突然同じデータに毎日アクセスするようになった。
13
標的型攻撃
こうした変化自体は侵害が起きたことを示すものではありませんが、動作が変化したことが示されています。
特権ユーザアクセスをインテリジェントに制御するシステムは、アクセス要求を検討する際に、
こうした要因
をすべて考慮に入れる必要があります。このデータインテリジェンスは、
リソースへのアクセスを即時に拒否
するか、アクセスを許可しておいて疑わしいアクティビティを示すアラートを生成するか、いずれかに使用で
きます。
セクション3:メリット
リスクを削減 !
持続的標的型攻撃(APT)のターゲットにされた組織は、多数の種類の損害に直面します。攻撃者は知的財産や
戦略文書を盗み、競争力に影響を与える可能性があります。顧客データが盗難されれば顧客の反感を買った
り、評判が傷ついたり、法的措置につながることがあります。個人の保健情報や財務レコードの盗難は、法規制
コンプライアンスの問題につながる可能性があります。
持続的標的型攻撃に対して包括的に防御するプログラムの2つ目のメリットは、他の脅威、外部からの自動攻
撃や内部関係者による脅威から組織を保護するために役立つことです。APT攻撃の損害を軽減するために使
用される技術の多くはまた、管理者を含めた内部アカウントへのアクセス制限も行います。特権ユーザに対し
てもアクセスを制限し職務を分離することで、不正を働く管理者や他の悪意ある内部ユーザに対しても組織
を保護できるのです。
このアプローチが他と違う点は、脆弱性や新しい侵害についての特定の知識は必要なく、境界防御に依存して
いないことです。これらの技術を使用して、組織はセキュリティモデルを適用し、
ビジネスルール、
データの機
密性、異常動作に基づきアクションを許可したり拒否したりできます。このモデルはプラットフォーム全体に一
律に適用でき、
オペレーティングシステムのセキュリティと分離できるため、APT攻撃に対して防御しプロセス
の初期段階で攻撃を検知するための効果的な手段を提供できます。
セクション4:
結論
標的型攻撃は広く増加しています。RSAのような企業のセキュリティ侵害は大々的に報道されており、評判の
上でも収益面でも広範囲な影響を受けることになるでしょう。
多層防御の考え方は新しいものではありません。これはすべてのセキュリティプログラムにとって基本的な側
面です。ここで新しいのは、外部の攻撃者からの損害を防ぐために、内部の特権アイデンティティの保護に重点
を置いていることです。ネットワーク境界がかつてのようなセキュリティの要塞でなくなった現在、アイデン
ティティの管理はよりいっそう重要さを増しています。つまり、
「アイデンティティは新しい境界」になっている
のです。
14
標的型攻撃
APT攻撃など内部外部両方の脅威に対する防御にアイデンティティを使用する際は、
「コンテンツ中心」の考え
方も重要な要件となるべきです。データインテリジェンスをすべてのアクセス判断の一部として使用すること
で、今日の組織はユーザが行うすべてのアクションに関連するリスクをよりよく把握することができます。機密
データへのアクセス要求の分析と理解は、かつてないほどコンテキスト中心で行われています。特定のアク
ションの許可やブロックを行うための固定ルールに依存するのではなく、
データを使用してユーザアクティビ
ティをより明確に把握することができきます。
標的型攻撃に対する防御において有利な立場を確保するためには、セキュリティプログラムの基礎として特権
アイデンティティ管理とコンテンツ中心の考え方を利用します。
セクション5:
参考資料
1 Ponemon Institute.2011 Cost of Data Breach Study:United States:http://www.symantec.com/
content/en/us/about/media/pdfs/b-ponemon-2011-cost-of-data-breach-us.en-us.pdf
2 http://taosecurity.blogspot.com/2010/01/what-is-apt-and-what-does-it-want.html
3 NIST Special Publication 800-30 Revision 1, Guide for Conducting Risk Assessments, http://
csrc.nist.gov/publications/drafts/800-30-rev1/SP800-30-Rev1-ipd.pdf
4 “Advanced Persistent Threat”, Wikipedia, http://en.wikipedia.org/wiki/Advanced_persistent_
threat
5 Verizon, 2012 Data Breach Investigations Report:http://www.verizonbusiness.com/resources/
reports/rp_data-breach-investigations-report-2012_en_xg.pdf
6 http://www.rsa.com/node.aspx?id=3872
7 http://en.wikipedia.org/wiki/Operation_Aurora
8 http://www.nytimes.com/2010/11/29/world/29cables.html?_r=2&hp
9 Verizon, 2012 Data Breach Investigat ions Report:http://www.verizonbusiness.com/resources/
reports/rp_data-brea ch-investigations-report-2012_en_xg.pdf
10 Gartner Inc., Magic Quadrant for x86 Server Virtualization Infrastructure, Thomas Bittman,
George J. Weiss, Mark A. Margevicius and Philip Dawson, June 30, 2011
Gartner does not endorse any vendor, product or service depicted in its research publications,
and does not advise technolog y users to select only those vendors with the highest ratings.
Gartner research publications consist of the opinions of Gartner's research organization and
should not be construed as statements of fact. Gartner disclaims all warranties, expressed or
implied, with respect to this research, including any warranties of merchantability or fitness
for a particular purpose.
15
標的型攻撃
セクション6:
著者について
Russell Millerは、ネットワークセキュリティの分野において倫理的ハッキングから製品マーケティングまで、5
年以上にわたり様々な職務に従事してきました。現在はCA ControlMinderTMの特権アイデンティティ管理と仮
想化セキュリティ製品のマーケティングを管理しています。Russell MillerはMiddlebury Collegでコンピュー
タサイエンスの理学士号を、MIT Sloan School of ManagementでMBAを取得しています。
CA Technologies は、メインフレームから分散、仮想、そしてクラウド
まで、すべての IT 環境にわたる専門知識を備えた、 IT マネジメントソ
フトウェアおよびソリューションを提供する会社です。 CA Technologies
は、 IT 環境の管理とセキュリティの強化を実現し、お客様がより柔軟な
IT サービスを提供できるよう支援します。 CA Technologies の革新的
な製品とサービスは、 IT 組織がビジネスの機敏性を向上させるのに不
可欠な洞察と管理を可能にします。グローバルフォーチュン 500 の大
半の企業が、 IT 管理に CA Technologies を利用しています。詳細につ
いては、 CA Technologies の Web サイト ca.com/jp をご覧ください。
Copyright © 2012 CA. All rights reserved. Microsoft、SharePointおよびWindowsは、米国Microsoft Corporationの米国およびその他
の国における登録商標または商標です。Linux®は、米国およびその他の国におけるLinus Torvaldsの登録商標です。UNIXはThe Open
Groupの登録商標です。本書に記載のすべての商標、商号、サービスマーク、ロゴは、該当する各社に帰属しています。本文書は情報提供の
みを目的としています。本文書に含まれる情報の正確性または完全性についてCAは一切の責任を負いません。本書は、適用される法律で
認められる範囲でCAが「現状のまま」提供するものであり、いかなる種類の保証も伴いません。これには、特定の目的に対する市場性または
この文書の使用によって直接的ま
適合性、非違法性についての黙示の保証が含まれますが、
これに限定されるものではありません。CAは、
たは間接的に生じた損害について、たとえCAがかかる損害の可能性について明確な通知を受けた場合でも、一切責任を負いません。これに
CS2548_0712
は、利益の損失、事業の中断、営業権、データの損失が含まれますが、
これに限定されるものではありません。