マルウェアおよび標的型攻撃による データ侵害

ホワイトペーパー
製品概要
マルウェアおよび標的型攻撃による
データ侵害
「54%のデータ漏洩/ 侵害で、
サーバーが攻撃されている
–Verizon 2013年度データ漏洩/
侵害調査報告書
高度な標的型攻撃はこれまで以上に集中的且つ、持続的なものであり、手法
はより一層洗練されてきています。
このような次世代脅威は複数の段階で
構成されており、既存のセキュリティ製品・ソリューションを回避するように
仕組まれています。多くの場合、侵入ポイントとして個人を狙っています。
1人のユーザを侵害するだけで、攻撃者は企業ネットワークに侵入し、ビジネ
スの原動力となるデータへのアクセスを得ることができるのです。結局のと
ころ、組織のセキュリティは信頼する社員に依存しているのです。
組織は、所有するデータ資産に対し、高い価値を見出しています。
データベー
スには、
クレジットカード情報、個人情報(PII)
、個人の健康情報(PHI)等が含
まれており、
ファイルサーバには、知的財産、取引データ、競合情報、法律文
書、財務情報等が保存されています。
サーバ内には機密データや重要なビジネス・アプリケーションが集中してい
ながらも、
セキュリティが甘いことが多く、サイバー攻撃の被害に遭う可能性
が高くなっています。
攻撃の動機
高度な標的型攻撃の動機には様々なものがあります。各攻撃には特定の目的があり、
狙った標的に対して行われます。攻撃は、特定の業界または会社に限定されません。
規模の大小に関わらず、高度な標的型攻撃の「餌食」
となるのです。
データ侵害の影響
攻撃者と考えられる動機:
以下は、マルウェアの侵入によるデータ侵害
の例です。
政府機関
サイバー攻撃者は、約400万人の個人情報を
盗みました。攻撃に対応するために1,400万ド
ルが費やされました。
政府機関は経済的または政治的な利得のために高度な標的型攻撃を行っています。
通常は長期間目立たないようにネットワーク内に潜伏し、ゆっくりと会社データを掘り
起こします。例えば、将来の戦争や国際市場での競争力を高めるために軍用品のデザ
イン等の専門書類を盗もうとします。政府機関は、重要なインフラ基盤、軍事力および
技術、知的財産、ビジネス・データ等の様々な機密データを取得しようとします。
Chesapeake Energy Corporation
犯罪集団
第三者金融会社が狙われ、
リースに関する交
渉情報が盗まれました。
この情報漏えいによ
り、最も競争力のある価格を提示したにもか
かわらず、Chesapeakeの借地契約販売は台無
しになりました。
産業化したハッカーグループは、デジタル情報を略奪するために組織を攻撃します。
ほとんどの場合、利益を目的としており、
クレジットカード情報、個人情報、知的財産
等、換金可能なデータを狙います。
このようなデータ侵害/漏洩への対策費用は高額
となり、
またSarbanes-OxleyやHIPPA等の規制順守違反に関連する罰金も課せられるの
で、会社にとって多大な損失となります。
コカ・コーラ
ハクティビスト
サウスカロライナ州
ハッカーは会社幹部を標的にし、中国の
ジュース会社の24億ドルでの買収に関連す
る取引データを盗みました。
コカ・コーラは、
非常に有望な市場への重要な参入機会を失
いました。
日産自動車
会社の情報システム・ネットワークに感染し
たマルウェアにより、ハッカーは社員のユー
ザIDおよびパスワードを盗み、
さらに、機密
ファイルも盗み出しました。電気自動車の動
力伝達装置に関連するデザインが盗まれま
した。
2
ハクティビストは、政治的主張、イデオロギー、そして個人的信念のために組織を狙い
ます。
このようなグループは、
自分たちの主張を支持するために、企業のインフラ基盤
を侵害し、知的財産や機密データを暴露し、
そして狙った組織を追い込みます。ハク
ティビストは、
しばしばオンライン・コミュニティを活用して戦術および活動を話し合い、
参加者を募るためにソーシャル・ネットワークを利用します。彼らは、
自動化攻撃や
DDoS攻撃を好みますが、最終的には上記の攻撃者と同じようなテクニックを使用し
ます。
高度な標的型攻撃の分析
高度な標的型攻撃は、従来のセキュリティ・ソリューションを回避するという明確な目
的を持って複数の戦術やツールを使用します。様々なツールを使用するにも関わら
ず、
このような攻撃には通常よく似たパターンがあります。
「侵害の40%はマルウェアに
起因」
–Verizon 2013年度データ漏洩/
侵害調査報告書
•攻
撃者は、目標とする組織内の特定人物のソーシャル・ネットワークを検索すること
から始めます。
•攻
撃者は、企業ネットワークへのアクセスを獲得することを目的としてこのような人
物にマルウェアを送付し、セキュリティの回避を試みます。
• そして攻撃者は会社データの保存場所を選別して目的とする情報を見つけます。
•攻
撃者は、退去前に、後で戻ることのできる侵入経路を作成する場合があります。
それぞれの高度な攻撃は異なった方法で行われますが、多くの場合似通った特定の
特徴があります。以下のセクションでは、高度な標的型攻撃の典型的な7つの段階を考
察します。
標的型攻撃の7つの段階
組織を探る
ユーザを感染させる
ログインして最初の
探査を開始する
「スピアフィッシング攻撃で
特権を持つ
組織内での
機密情報を入手しようとして
機密データを盗む
ユーザになりすます
足場を固める
いる攻撃者にとって、経営幹
部と管理職は絶好の標的で
痕跡を隠滅して
す。
また、一般のユーザーより 再訪問の準備をする
公の権限や威厳があるだけ
でなく、会社の機密情報に近 段階1:組織を探る
ハッカーは、
ソーシャル・エンジニアリングを活用して目標の組織の人物またはグル
づく権利も備えています」。
–Verizon 2013年度データ漏洩/
侵害調査報告書
ープを見つけることから始めます。
この段階において、盗もうとする特定データに関連
する内部関係者または目標とする組織のデータ・サーバへのアクセス権を持つ人物
を、サイバー犯罪者は探し出します。例えば、攻撃者は特定組織のデータベース管理者
(DBA)を見つけるためにオンラインのプロフェッショナル・ネットワークであるLinkedIn
を検索するかもしれません。
段階2:ユーザを感染させる
目標とする組織内の人物が特定できれば、攻撃者は様々なハッキング・ツールを悪用
してマルウェアに感染させ、ユーザのデバイスを支配します。マルウェアに感染させる
手段の例:クライムウェア、
スピア・フィッシング、
ドライブバイダウンロード、
クロスサイ
ト・スクリプティング(XSS)。
3
• クライムウェア - 自動化された拡張性の高い、大量生産されたマルウェアの一種。例
えば、
ブラックホール・エクスプロイトキットは、悪意のあるペイロードを被害者に
送り込むことを目的として作成者からライセンスを獲得することができます。
• スピア・フィッシング - 組織内の特定の人物またはグループを狙ったEメールが使用さ
れます。
このような悪意のあるEメールは、信頼できる発信源から送られているように
見え、
リンクをクリックしたり添付書類を開いたりするような行動を取るように受信者
を誘導します。被害者が行動すると、
スパイウェア等の悪意のあるプログラムがデバ
イスにインストールされます。
• ドライブバイダウンロード - 同意や認識なしに悪意のあるプログラムがユーザのデ
バイスに自動的にダウンロードされます。
ドライブバイダウンロードはウェブサイト
へのアクセス時やHTML形式のEメールの閲覧時に行われたり、ユーザがダウンロー
ドしたアプリケーションと同時にインストールされます。
• クロスサイト・スクリプティング - ハッカーは、信頼できる発信源のように見えるリンク
に不正なコードを挿入します。
リンクをクリックすると、
ウェブリクエストの一部として
プログラムが送信され、ユーザのデバイス上で起動します。
これにより、ハッカーは
ユーザのデバイスへのコントロールを手に入れます。
「まず電子メールの添付ファ
イルを使ってシステム に入口
を作り、次いで、
そのシステム
に別のマルウェアをインス
トールし、
さらに企業の各シ
ステムにインストールすると 段階3:ログインして最初の探査を開始する
いう方法もよく使われます」 侵害された内部関係者より入手した認証情報を使用し、サイバー犯罪者はネットワー
–Verizon 2013年度データ漏洩/
侵害調査報告書
「断固とした攻撃者は、手強
いスキルやリソースを活用し
て被害者の環境に侵入し、
任務を達成するまで気付か
れずにいます」。
–Verizon 2013年度データ漏洩/
侵害調査報告書
クに侵入して会社データの略奪を開始します。高度なテクニックのひとつに、ネット
ワークのアーキテクチャに関連する書類をまず探し出す方法があります。
このような
書類を手に入れることで、攻撃者は企業リソースを素早く操作できるようになります。
高度な標的型攻撃は、形跡を残さないようにします。
こうすることで、攻撃者は見つか
ることなく長い時間ネットワーク内に留まることができます。
段階4:組織内での足場を固める
標的型攻撃のこの段階において、攻撃者は他のユーザ名やパスワードを盗もうとしま
す。各ユーザは異なるデータアクセス権を持っているので、ハッカーはそれらを悪用し
てより迅速にシステムを探索し、求める情報を見つけます。サイバー犯罪者はまた、バ
ックドアをインストールして足場を強化します。
これには、今後のアクセスのための偽
ユーザ・アカウントの作成や、セキュリティを回避して後でネットワークに侵入するた
めの抜け道を残すこと等があります。
段階5:特権を持つユーザになりすます
社員認証情報を盗んだ後、攻撃者は侵害したユーザの特権を拡張して
「パワーユー
ザ」になろうとします。なぜなら、特権ユーザ・アカウントはしばしば厳重に監視されて
いるため、特権ユーザではない内部関係者のアクセス権限を拡張することで見つかる
可能性を低減します。企業データへのアクセスを拡大して、様々なデータにアクセスす
ることを目的としています。
段階6:機密データを盗む
標的型攻撃のこの段階において、ハッカーは組織のシステム内での存在を確立し、狙
っている機密情報を盗むことができます。
段階7:痕跡を隠滅して再訪問の準備をする
機密データを盗んだ後、攻撃者は侵入の痕跡を隠滅しようとします。例えば、作成した
仮アカウントの削除、存在を記録したログの削除、
レジストリ設定のリセット等です。
ハッカーはまた、拡張したアクセス権限を元に戻して存在が見破られないようにしま
す。後で戻って追加の偵察活動を行うために、余計なアカウントを非アクティブにして
おきます。
4
従来型の防御法を補完
「シグネチャー検出を回避す
るような攻撃の場合、予防に
重点を置いた方法によって
情報資産を保護しなければ
ならないケースがありますが
・・・これまでの経験から分か
るように、特定の脆弱性の検
出エクスプロイトに集中して
も勝利はありません」。
–Verizon 2013年度データ漏洩/
侵害調査報告書
10年ほど前のことを振り返ってみると、サイバー攻撃者は基本的に秩序や洗練さに欠
けたただのオンライン破壊者でした。攻撃目標は明確に定義されていませんでした。
例えば、2001年のアンナ・クルニコワ・ワームは、新聞の見出しに掲示されて作成者が
起訴されましたが、被害は200,000ドル(USD)以下だったと見積もられています。多くの
場合、
このような攻撃者は「スクリプトキディ」
または「デジタル・グラフィティ・アーティ
スト」
と呼ばれ、
自分の能力を見せつけるために何か簡単なことを行うものでした。今
日、脅威は破壊者によるものではなく、政府関係者、犯罪組織、ハクティビスト等のプ
ロのグループによるものです。
サイバー脅威が進化したことは明確ですが、セキュリティに対する支出に変化はあり
ません。効果的に組織を守るための新しいテクノロジーは出現していますが、ほとん
どの組織が導入および継続して依存しているソリューションは問題の本質に対処して
いません。今日、ネットワーク・ファイアウォール(次世代型ファイアウォールを含む)に
対して市場が費やしている金額は70億ドル(USD)であると、調査会社は見積もっていま
す。IPS(侵入防止システム)の割合はセキュリティ支出のうちの12億ドルであり、
ウイル
ス対策プログラム等のエンドポイント保護ソリューションにはさらに30億ドルが費や
されています。
もしこれらのソリューションが高度な標的型攻撃に対して非常に効果的
であれば、データ侵害のニュースの数は大幅に少ないものとなるでしょう。
従来型の防御が現在の攻撃に対する対策として十分でない理由
何よりもまず、従来のアプローチは攻撃の最終目標であるデータ資産に焦点を当てて
いません。
ファイアウォールやIPSのほとんどは、ネットワーク周辺に設置されています。
データ資産を保護するために必要なアプリケーションおよびデータに特化していませ
ん。例えば、ネットワーク・ファイアウォール次世代型ファイアウォールは、データの不
正使用からの保護を目的に誤った方向に焦点が当てられています。
これらは組織外の
アプリケーションにアクセスする企業ユーザを保護しますが、組織内のアプリケーショ
ンまたはデータを保護しません。
これらのソリューションの技術的アプローチは問題を悪化させます。次世代型ファイ
アウォールに組み込まれた侵入防止システムおよびIPS技術は共にシグニチャに基
づいています。同様に、ほとんどのエンドポイント保護ソリューションは、
シグニチャ・
ベースでマルウェアに対処します。
シグニチャは、素早く変異を続けるマルウェアやゼ
ロデイ攻撃に対してほとんどまたは全く効果がありません。一部の次世代型ファイア
ウォールはマルウェア分析エンジンを搭載していますが、データベース、
ファイルサー
バ、SharePointサイト等のデータ・リソースを攻撃から保護するためのアプリケーション
およびデータへの理解が欠けています。
組織は、投資の世界の「バランスを取り戻す」
というコンセプトに基づき、セキュリ
ティ・ポートフォリオのバランスを取り戻すことで、状況を改善することができます。
つまり、本来の問題に対処できない従来型のセキュリティ・アプローチへの過度の
投資を続ける代わりに、組織は攻撃者が狙っているデータ資産を保護できる新しい
ソリューションに投資をシフトする必要があります。
5
機密データおよび重要なビジネス・アプリケーション
を保護する方法
知的財産、取引データ、個人情報等の機密データを盗もうとするハッカーは、データ
ベース、
ファイルサーバ、
アプリケーションがどこにあるかを熟知しています。構造およ
び非構造化データを保護することはマルウェアや標的型攻撃に対処するためのセキュ
リティの第一歩です。
標的型攻撃から
組織を守るための
8つのステップ
(英語)
インフォグラフィックを見る
このセクションでは、次世代の脅威から組織を守り、データ保護の堅牢化のために必
要である重要な機能を紹介します。
機密情報を見つけて分類
最低でもビジネスデータを保護することが条件であり、セキュリティへの取り組みに集
中するために機密データを見つけることができるソリューションを導入するべきです。
財務情報、個人健康情報、個人情報等、SOX、HIPPAおよびその他により規制されている
データを識別することから始めるべきでしょう。
また、法律文書、ビジネス計画、知的財
産等の機密データを分類することが重要です。
セキュリティポリシーの構築
機密データを特定した後、
データまたはアプリケーションへのアクセスに関するセキュ
リティ・ポリシーを設定し、ポリシーに違反した場合、組織が速やかに対応できるように
するべきです。内部関係者が侵害されたり、機密データにアクセスしようとする悪意の
ある攻撃を受けた場合、
その行為を検知および停止する機能があることが重要です。
自動ソリューションに装備されているデフォルトのポリシーは、既知のセキュリティリ
スクへの初期対処に適しています。標準ポリシーを適用した後、特定のビジネスニー
ズに適応するようにセキュリティポリシーをカスタマイズすることが重要です。
アクセス権のレビューおよび合理化
多くの組織は、ユーザアクセス権を完全に把握しておらず、
どのようにアクセスが許可
されたかを理解するのは困難だと考えています。通常ユーザは異なるグループのメン
バーシップや引き継がれた権限などを通じて複数のパスからデータへのアクセス権
を取得します。ユーザ権限管理フレームワークは、セキュリティ担当者による過剰なユ
ーザ権限や攻撃者に悪用されている可能性がある休眠中のユーザ・アカウントを特定
します。
アクセス状況の監査および分析
データセキュリティ・ソリューションは、すべてのデータ・アクセス状況をモニタできな
ければ完全とは言えません。監査から入手したローデータからさらなる見識を導き出
すための分析が必要です。セキュリティ侵害が発生した場合、
または疑わしいふるま
いを調査しなければならない場合、セキュリティ担当者が膨大なデータをインタラク
ティブに鑑別することを可能にする優れたフィルタリングおよび詳細分析機能を装備
していることが重要です。同じ分析プラットフォームには、ビジネス利害関係者に対し
てより高い透明性を提供するレポートを作成する機能がなければなりません。
6
不審な振る舞いを検出
ビデオ [3:31]
マルウェアおよび標的型
攻撃への防御に関する
事例
このビデオでは、ハッカーがソー
シャル・エンジニアリングの手
法を使い、マルウェアを悪用し
てデータベース管理者に標的
型攻撃を仕掛ける様子を紹介し
ています。ハッカーはデータベー
ス管理者の認証情報を悪用して
クレジットカード情報を盗みま
す。Imperva SecureSphereは、
データベースの使用状況をモ
ニターするために導入されてお
り、未知のマルウェアおよび標
的型攻撃に対する効果的な対
抗手段であることが証明されて
います。
ビデオを見る
7
包括的な監査証跡を基に、組織はユーザ・アクセスの一般的なパターンの基準値を設
定することができ、マルウェア侵入時に発生する不審な振る舞いを識別することができ
ます。
その後、セキュリティポリシーにより、
データベースまたはファイルへの疑わしい
アクセス活動に対して警告を出したりブロックしたりできます。モニターしている使用
状況とユーザの振る舞いの基準値を比較することで、不正な活動や攻撃を特定します。
感染デバイスの特定
マルウェアに感染した内部関係者を特定する機能は、組織にとって重要です。マルウェ
ア検知ソリューションは、マルウェアに感染したデバイスを組織に警告し、感染デバイ
スを隔離および修正するための適切な処置をサポートします。
効果的なマルウェア防御ソリューション
The Imperva-FireEye Solution
効果的なマルウェア防御には、マルウェア検知システムにより始動するデータベース
やアプリケーション周辺の多階層による保護が挙げられます。ImpervaおよびFireEye
は、マルウェアに感染したシステムからのアプリケーションおよびデータへのアクセ
スを自動的に制限する包括的なセキュリティ・ソリューションです。FireEye Malware
Protection Systemは感染したホストを特定し、Imperva SecureSphereにその情報を伝達
します。SecureSphereは、
この情報を基に感染した機器からの重要なアプリケーション
およびデータベースやファイルサーバ内の機密情報へのアクセスを阻止します。
FireEyeとImpervaの連携ソリューションにより、組織はマルウェアに感染した機器を
特定することができ、マルウェアに感染した内部関係者からの重要アプリケーション
および機密データへのアクセスを防止するようアクセス制御を強化できます。
Imperva SecureSphere Business Security Suite
SecureSphereはビジネス・セキュリティにおける業界最先端のソリューションです。
包括的な統合アプリケーション・セキュリティおよびデータ・セキュリティを実現し、
データ漏えいを防ぎ、法規制コンプライアンスを合理化、データのリスク管理に対し
継続的なプロセスを確立します。
データベース・セキュリティ製品
Database Activity Monitoring
データベースのデータ使用状況に対する完全な監査と可視性を実現
Database Firewall
重要なデータベースに対する使用状況の監視とリアルタイム保護
Discovery and Assessment Server
データベースの脆弱性診断、設定管理、データ分類
User Rights Management for Databases
機密データベースに対するユーザのアクセス権限のレビューと管理
ADC Insights
SAP、Oracle EBS、PeopleSoft向けの事前定義コンプライアンスおよびセキュリティ・レポート
およびルール
ファイル・セキュリティ製品
File Activity Monitoring
ファイルのデータ使用状況に対する完全な監査と可視性を実現
File Firewall
重要なファイル・データに対する使用状況の監視と保護
SecureSphere for SharePoint
SharePointのアクセス権限およびデータ使用に関する可視性および分析、そしてWebベースの
脅威に対する保護
Directory Services Monitoring
Microsoft Active Directory上の変更に対する監査、
アラート、そしてレポート
User Rights Management for Files
機密ファイルに対するアクセス権限のレビューと管理
WEB APPLICATION SECURITYの製品
Web Application Firewall
オンラインでの脅威に対する的確で自動化された保護
ThreatRadar Reputation Services
レピュテーション・データを活用し、悪意あるユーザーおよび自動化された攻撃を防御
ThreatRadar Fraud Prevention
不正行為を働くマルウェアやなりすましを素早くかつ容易に阻止
このホワイトペーパーをネットワークで共有する
www.imperva.jp
© Copyright 2013, Imperva.無断複写・転載を禁じます。ImpervaおよびSecureSphereは、Impervaの登録商標です。その他すべてのブランドまたは製品名は各社の商標または登録商標です。WP-MTA-0613.1