現実のサイバー攻撃において、あなたがスパイ映画で見たことはすべて忘れてください。ハッカー達が企業のネットワークを急襲し、探しているデータを素早く見つけ、速やかに逃げ出す、などということは現実にはありません。サイバー攻撃は、数ヶ月ではないにしても何週間も時間もかけて進行する作戦であり、最終目標に到達するためにはいくつものステージが存在します。

ネットワーク内に何週間もマルウェアが検知されぬままに潜んでいると考えるだけで、セキュリティの専門家は冷や汗を流すかもしれませんが、長期間にわたる複雑な作戦は、実際には企業側にも探知の機会を提供します。攻撃ライフサイクルの各ステージとハッカーの取る行動は、セキュリティの専門家にも、悪意あるプロセスを検出し、作戦全体を明らかにするチャンスが与えてくれるのです。

サイバー攻撃における現実は、「セキュリティを守るためには頑丈な高い壁を作れば良い」という考え方を一掃するものです。経験豊かなハッカー達は、機密情報を求める組織がバックにいるとか、潤沢な資金を持つサイバー犯罪グループであるとかにかかわらず、企業側のセキュリティをくぐり抜ける方法を見つけ、侵入して来ます。

「マルウェアの振る舞い」に基づく検知ツールを使用してサイバー攻撃の兆候を見つける

きちんとした防御策と行動検知を組み合わせることで、企業のネットワークに侵入して来るウィルスやマルウェアを発見できます。その名前が示すように、行動検知とは、マルウェアのハッシュやその他の従来型の侵入のサイン(それらはファイアウォールやアンチウイルスプログラムによる検知を避けるために容易に変更が可能です)を探すのではなく、ハッカー側の行動を詳細に調べることで検知する手法です。例えばハッカーのツール、手法、手順(TTP: Tactics, Techniques, and Procedures)などを調べ、分析します。

TTPの開発は時間とコストのかかるプロセスであり、ソフトウェアの開発と同様に、デベロップメント、プロトタイプ、データテスト、システムチェックなどの段階を含んでいます。TTPの作成がいかに複雑であるかを考えると、それらを変更することは非常に困難もしくは不可能です。TTPを検知することは、攻撃者の最も大事な資産を見つけたということです。TTPを十分に検知し、マルウェアを駆除した後、全体的な攻撃作戦が続行されるのを確認できなくなった場合、攻撃者たちは作戦を休止して再編成を行っているか、または作戦を中止したことが考えられます。 

例えば、サイバーリーズンが発見した、アジアにおける大規模なサイバー攻撃では、ファイルレス型のマルウェア攻撃で使用していたPower Shellツールが検知され、シャットダウンされた後、ハッカー達は一旦作戦を中断しました。しかし彼らは4週間後、サイバーリーズンが実装したPower Shellの実行制限を迂回できる新たなツールを手にして、再び攻撃を開始しました。

すべての攻撃が、攻撃ライフサイクルの全フェーズを含んでいるわけではありません。例えば、ある特定の攻撃フェーズが繰り返されることもあります。 大切なことは、攻撃の各フェーズは、企業側にも潜んでいるウィルスやマルウェアを発見する機会を提供するということです。例えば、過度のポートスキャンを発見することで、企業側がウィルスの感染拡大を検知できたケースを紹介します。

過度のポートスキャンを発見することで感染の拡大を検出

ハッカー達が攻撃の感染拡大フェーズへと移行する場合、彼らはネットワーク上に存在する他のマシンと、それらが使用しているプロトコルを調べるために企業のネットワークをくまなくスキャンして調べます。ハッカー達は、マルウェア感染の拡大に使用できるオープン状態のポートを探しているのです。

この情報を取得するために、ハッカー達は社内ネットワークすべてのポートを列挙します。例えば、IPアドレスが10.00.17であるマシンが存在するとします。攻撃者は、オープンされているポートが見つかるまで、このマシンのすべてのポートを試します。例えばポート443がオープン状態であることを攻撃者が発見した場合、彼らは、そのオープンポートに対応するプロトコルで利用可能な脆弱性や弱点がないかどうかをチェックします。

過度のポートスキャンが見つかったことは、ハッカー達が偵察を行っており、企業ネットワークのマッピングを行おうとしていることを意味しています。侵入検知ツールはポートスキャンを検知できますが、何が通常常務のスキャニングで何がハッカーの偵察なのかを判定するのは困難です。ネットワークは、常にお互いに話しかけているコンピュータやアプリケーションで溢れているため、雑音を取り除くには多くの手間と時間がかかります。 但し、もしあなたが自社ネットワーク上のデバイスが通常アクセスするポートと宛先の数を知っているならば、攻撃を示す異常な状態をすぐに検出できます。複数のマシン間でのポートの列挙を特定することが、ハッカーによる内部偵察の初期段階を検知し、攻撃が他のマシンに拡大することを防ぐことにつながります。

#サイバー攻撃 #ハッカー #マルウェア #セキュリティ