私が定期購読しているIT系雑誌のひとつに『IT Leaders』というものがあるのですが、最新号の付録になっている「モダンマルウェアの脅威と対策」(Palo Alto Networks社)の内容が興味深かったので、一部を抜粋しながら、最近のクラッカー(悪意あるハッカー)事情に触れてみたいと思います。
まず、そもそもの前提として、今日のクラッカーは組織化されていることを知っておきましょう。15年前であれば、自己顕示欲に溢れた個人による能力誇示が主目的であったため、クラッキングによって受ける被害は実害を伴うことはそれほど多くありませんでした。ですが、2013年のクラッキング行為は、金銭目的による組織だった犯罪行為と化しています。そのため、驚くほどに高度な技術を使って執拗に攻撃してきます。
有名な事件としては、2011年4月にソニーPlayStationのネットワークにクラッカーが侵入し、1億人以上のユーザーのクレジットカード情報を不正入手しました。その規模の大きさから、被害総額は2兆円を超えると騒がれたほどでした。
他にも、ごく最近のニュースにて、2007年から数年かけて米国のカード決済会社Heartland Payment Systemsが1億6000万件以上のクレジットカード情報を盗み出されたことが、米司法省の発表で明らかになっています。これらのカード情報は1件10ドル〜50ドルで売買されていたそうです。
こうした事件を引き起こしているクラッカー達が使っているモダンな攻撃手段は、「感染」→「潜伏」→「通信」→「命令/制御」の4工程がセットになっています。各工程の主要なツールは以下に示した通りです。
- 感染
フィッシングメールのURLをクリックしたり、感染した画像をブラウザで表示してしまったりすることでウイルスが感染する。この時点ではマルウェア(悪意あるプログラム)をPCにこっそり仕込むだけ。かつては「感染したことを気付かせる」ためのデモがよく見られたが、現在は「感染したことに気付かせない」ことを重視。 - フィッシング(SNS、Twitter、メール、メッセンジャー)
- 通信の隠ぺい(SSL、IM、P2P)
- 遠隔操作(シェルアクセス)
- マルウェアの送り込み(ドライブバイダウンロード)
- 潜伏
せっかく仕込んだマルウェアが削除されないよう、システムの最上位権限を奪うためのルートキットなどがPCにインストールされる。これによってセキュリティ上の裏口(バックドア)が作られ、クラッカーからの指示を受けつけてしまう。ブートキットを使われると、ディスクを暗号化していても無駄。アンチウイルスソフトも無効化される。 - ルートキット/ブートキット
- バックドア(Poison Invy)
- アンチ・ウイルス対策(MBR感染)
- 通信
感染したマシンと攻撃者をつなぐための方法として、ネットワーク上で検知されない通信方法が用いられる。乗っ取ったマシンを複数介して攻撃者の所在が分からないようにする。 - 暗号化(SSL、SSH、カスタム)
- プロキシ、リモートデスクトップ、アプリによるトンネル
- ポート回避(オープンなポートでのトンネル)
- ファストフラックス(ダイナミックDNS)
- 命令/制御
攻撃者が発するコマンド。 - 一般的なアプリ(ソーシャルメディア、P2P)
- 設定ファイルのアップデート
- 実行ファイルのアップデート
- バックドアとプロキシ
ちなみに、現在活動中のマルウェアのうち、大手アンチウイルスソフトで検出できるのは55〜90%程度であることがNSSラボの研究で明らかになっています。検出率が低い理由のひとつが、一部のマルウェアはコードを書き換えて変身する能力を備えているから。この種のマルウェアはパターンファイルで検出することが困難です。
そのような検出しづらいマルウェアを使って構築された、クラッキング命令の踏み台となるマシンのネットワークは、ボットネットと呼ばれます。スパム送信やサーバ負荷攻撃(DDoS攻撃:Distributed Denial Of Service Attack)を行う際によく使われるので、名前を聞いたことがある人も多いでしょう。
残念ながら、このボットネットによって標的にされたシステムやネットサービスは、攻撃が止むまでひたすら耐えるしかないのが現状です。なにせ、どこから攻撃してくるのか分からないのですから、対症療法で都度アクセス禁止の措置を取るしかありません。
ですが、ボットネットをはじめとするモダンな攻撃に対して、効果的な対策が各所で検討されており、次世代ファイアウォールとして世の中に出回り始めています。一言でいえば、ネットワーク上のすべてのトラフィックを総合的に分析できるという代物。ネットワークセキュリティの統合管理ソリューションという感じです。
余談になりますが、この種のソリューションを売り出しているパロアルトネットワークス社に対して、同業のチェックポイント社は、『事実か誇大宣伝か』という挑発的なコピーで同社の優位性を主張しており、比較表を眺めてみると面白いです。
リンク先には、ほかにもこんな言い回しが。
『アプリケーション層での対策に特化するPalo Alto Networks社のアプローチは、顧客のセキュリティ・リスクを高めるおそれがあります。一方チェック・ポイントは、アプリケーション層とネットワーク層の両方を考慮する重要性を認識しており、あらゆるリスクを評価したうえで強力なセキュリティを実現しています。』
『デフォルトでポートを開き、ネットワークを危険にさらすパロアルトネットワークス社の製品』
『パロアルトネットワークス社の製品ではPCI監査に不合格となるおそれ』
『キャッシュポイズニングを許すパロアルトネットワークス社の製品』
いやぁ、欧米企業は相手を叩くネガティブキャンペーンが本当に好きですね。というか、チェックポイント社はパロアルトネットワークス社を親の仇のごとくバッシングしている様は、日本人的にはもにょもにょ感じるところがあります。
ちょっとやりすぎでは?と感じるところがあるのですが、どうやらパロアルトネットワークス社の創業者は2005年までチェックポイント社の開発者だったようですね。チェックポイント社のファイアウォール製品に不満を持ってスピンアウトしたように思えます。実際、パロアルトネットワークス社のユーザー事例を読むと、チェックポイント社から顧客を奪いまくっている姿が目に浮かぶため、相当恨みを買っているのではないでしょうか。
ということで、本題よりも余談の方が興味深い次世代ファイアウォールの話でした。
posted by 吉澤準特 at 03:28
|
Comment(0)
|
TrackBack(0)
|
業界裏話