Living in the Flat World

「世界はフラットになっている」と考えれば、世の中の変化も少し違った見方ができるはず!その考え方のもと、ITを中心に日常生活から世界のニュースまで幅広い題材を取り上げるブログ。

情報セキュリティ

標的型攻撃(7) ~DLLインジェクション~


本日トレンドマイクロさんが主催するセミナーを受講させていただいた。タイトルは「相次ぐ標的型サイバー攻撃!!今の対策に自信はありますか?」。10月末から12月初旬にかけて、札幌、仙台などの各都市で開催していたらしく、さすがセキュリティ専業ベンダーだけあって動きが早い!この日は、3回ある東京開催の最終日だったが、100名近い受講者を集めており、やはり標的型攻撃対策への関心の高さをうかがわせた。

TrendMicro
 

実際のセミナーの内容の多くは、私がこれまでにこのBlogに書いてきたことであり、標的型攻撃に対する防御の難しさを再確認することができた。トレンドマイクロさんの訴えを、誤解を恐れず乱暴に要約すると下記のようなものだろうか。

「標的型攻撃は、『これで大丈夫!」と言うような決定打はなく、いくつもの対策を多重で行う必要がある。セキュリティ総合ベンダーであるトレンドマイクロは、入口対策も出口対策でも、有効な製品を提供している。」
教科書的に言われている対策としては全くその通りであるが、「対策を継続的に運用することに、結構な手間とスキルが必要である」ことは、やはり予想した通りだった。特に出口対策においては、不審な通信を早期に「発見する」ための製品は提供していても、「発見した後にどのように行動するか?」に関しては、「別途サービスでどうぞ」となるらしい。
繰り返しになってしまうが、私が以前から提唱しているXenAppを使った出口対策であれば、手間とスキルを必要とせずに継続的な対策が可能となることを強調したい。

さて、実はここからが今日の本題。
セミナーでは、私の全く知らなかった興味深いトピックをひとつ教えてもらった。それが今日のエントリのタイトルの「DLLインジェクション」だ。これはマルウェア(悪意のあるプログラムのこと。一般的にはウィルスとも言われる)による攻撃の手法のひとつで、Internet Exolorerなどの既存のプログラムにDLL(Dynamic Link Library)を注入(Injection)することによって、その既存プログラムになりすましてマルウェアが悪事を働くと言うもの。

このDLLインジェクションがなぜ重要かと言うと、パーソナルファイアウォールによる出口対策を無力化してしまうためだ。通常のファイアウォールが基本的にポート番号などの通信の内容によって通信の許可/拒否を決めることに対し、パーソナルファイアウォールの場合は、通信を行うプロセスによって通信の許可/拒否を設定できる。DLLインジェクションを使わない素直なマルウェアであれば、そのマルウェア自身のプロセスが通信を行うために、うまく設定されたパーソナルファイアウォールであれば通信を拒否できる。

ところが、このDLLインジェクションの手法を用いると、Internet Explorer(iexplore.exe)のような通信を許可しなければならないプロセスを、マルウェアが背後から操るように通信を行うため、残念ながらパーソナルファイアウォールによる防御は役に立たないことになる。
下記はそのイメージ図。

DLLInjection



改めて言うまでもないが、この標的型攻撃は実にやっかいな代物である。そして、より一層やっかいになるべく進化する余地さえもありそうだ。
DLLインジェクションに関しては、下記のサイトに詳細が記述されている。

Windows XPの延命策

今日も標的型攻撃関連の情報を集めようとWebで色々調べていたら、興味深い記事を発見した。

ITmedia エンタープライズ

詳細はリンク先を読んでいただきたいが、要約すると下記の通り。
・Windows XPは、もうすぐサポートが切れる
・サポートが切れて脆弱性が残ったWindows XPでWebを閲覧すれば、Webを通じて深刻なウィルスに感染してしまう
・ウィルス感染で重要情報が漏洩し、会社の信用失墜、はては経営破綻だって起きかねない
・Windows XPを使い続けると、会社がつぶれるかもよ!早くWindows 7に乗り換えなさい!
と言ったところだろうか。

記者も書いている通り、これは「最悪シナリオ」ではあるが、「絶対起きない」とも言い切れないことだ。注意を喚起すると言う点では、意義のある記事だと思う。

一方で、記事に欠けている視点がある。いまだに多くの企業がWindows XPを使い続けている理由だ。別に新しいパソコンに買い換えるコストがもったいないわけではない。「Windows XPでしか動作しないアプリケーション」がまだまだ多くあり、それらアプリケーションをWindows 7対応させるコストが計り知れず大きいから躊躇しているのだ。

また、仮に必要な投資として、それらアプリケーションをWindows 7用に改修することに決めたとしても、今度はまたWindows 7対応したアプリケーションの寿命を心配しなければいけない。永遠に新OS対応のメンテナンスコストが発生し続ける。だとすれば、少しでもXPを延命してWindows 8の登場を待つほうが長期的なメンテナンスコストが安いだろうと考えるのは自然なことだろう。

ただし、それはセキュリティのリスクと隣あわせだと言うことは上記の記事の指摘の通りだ。

いやいや、そんなことはない。セキュリティのリスクを犯さなくてもWindows XPを使い続ける方策、そして何よりも様々なアプリケーションのメンテナンスコストを削減する方法は明確に存在する!

このようにすれば良いのだ!

Windows XPの中で、(本来XPでは動作しないはずの)Internet Explorer 9が動いている。

実はこれ、標的型攻撃のような高度なサイバーアタックに対する防御策として私が提案した「外部インターネット閲覧用のWebブラウザをCitrix XenAppで仮想化して、LANと隔離する」と言う方法なのである。(詳しくはこちら)

元々この手法は、最近ニュースで騒がれている「標的型攻撃」に対する防御手段として考えた。実はそれだけではなくて、Windows XPの延命策、最終的には企業内アプリケーションのメンテナンスコストの削減にもなる「一石二鳥以上」の手法なのだ。

是非ご検討いただきたい。


標的型攻撃(2) ~その巧妙な仕組み~

昨日のエントリでは、「標的型攻撃」と呼ばれるサイバーアタックが、昨今特定の企業・団体に対して行われていること、またその対策が極めて難しいために、深刻な被害が出始めていることを紹介した。今日は、この標的型攻撃の仕組みについて、もう少し掘り下げてみたい。

標的型攻撃の説明をする前に、次の架空の物語を読んでほしい。これは、PCを使って仕事をするビジネスマンのごく平凡な行動について書いたものである。

Aさんは、ある大手製造業に勤務している。彼が朝会社に来て最初に行う仕事は、朝までに届いたメールを自席のPC(Windows XP)でチェックすることだ。今日は、取引先の広報部門からのメールが届いていた。そのメールによると、その取引先は所謂M&Aにより、近々別会社と合併して社名も変わるらしい。メールには、「○○社との合併と社名変更について.pdf」と言うPDFドキュメントが添付されていた。そのPDFを開くと、取引先の社長名による合併を知らせる正式レターの体裁になっていた。ちなみにAさんのPCでは、Adobe Readerは3年前のPC導入時のものを、特にバージョンアップせずにそのまま使っている。その後Aさんは、そのお知らせのことは特に気にもとめず、いつもの仕事を始めた。PCからは時折社内の技術情報データベースにアクセスしたり、ときには公開論文の情報を仕入れるため、PC上のWebブラウザ(Winodws XPなのでIE6)を使って、様々なインターネット上のWebページを閲覧した。


どうだろう?平凡すぎるくらい平凡で、業種や職種による微妙な違いはあれど、多くのビジネスマンが普段仕事でやっていることではないだろうか?察しの良いかたは既にお気づきのように、赤字部分が、結果として今回の事件を引き起こした要因である。「危険な要因」を、ひとつひとつ検証することで、攻撃の仕組みを探ってみよう。

・取引先の広報部門からのメール
実はこのメール、攻撃者からの「なりすましメール」だったのだ。電子メールと言うものが、いとも簡単になりすましができてしまうことに、どれだけの人が気づいているだろう。物語のAさんも含め、ほとんど人が「差出人」欄の表示だけでメールの発信元を判断しているのではないか。メールソフトに表示される「差出人」欄は、メール送信者が自由に設定できるのだ。そこに「○○株式会社」と書かれていても、それが本当に「○○株式会社から来たものだと言う保障は全くない。」
一連の事件の攻撃者は、被害企業の取引先まで十分に事前調査した上で、疑われにくいような名前を詐称しているらしい。(一部報道によると、内閣府の実在の人物を語ったとも言われている)非常に巧妙なソーシャルエンジニアリングが行われているのだ。もちろん、メールに付加された正確な発信元アドレスまで偽装することは一気に難しくなるが、残念ながらそこまで確認する人は滅多にいないのが現実だ。

・メール添付のPDFを古いバージョンのAdobe Readerで開く
このPDFファイルこそ、攻撃の正体(広い意味でのコンピュータウィルス)だ。PDFをAdobe Readerで開いた時点でそのPCはウィルスに感染し、攻撃者の思い通りに操作できるようになってしまう。一連の事件での攻撃の巧妙さのポイントは3つある。
1つ目のポイントは、PDFの形式を取っていたこと。メールにexe形式のファイルが添付されている場合なら、それを開くことを躊躇する人は多いだろう。だが、PDFとなると(exeはもちろん、.docや.xlsに比べても)安心して開いてしまう人は多いのではないか。残念ながら、もはやPDFは安全とは言えない。Adobe Readerの脆弱性や、間接的に起動されるAdobe Flashの脆弱性を利用して、PDFを開くだけでPCを攻撃者から遠隔可能な状態にしてしまう。PDFも、exeと同様に慎重にならなくてはいけないし、Adobe ReaderやAdobe Flashも、セキュリティ上は常にアップデートをし続けないといけないのである。
2つ目のポイントは、ウィルス対策ソフトによる検知をくぐり抜けたこと。ウィルス対策ソフトがウィルスを見つけるのは、基本的にブラックリスト(指名手配リスト)との照合(パターンマッチング)によるものだ。--正確に言うと、パターンマッチング以外の検知手法も行われているが、主流はあくまでパターンマッチングである-- ウィルス対策ソフトメーカは、常に世界中の新種ウィルスを監視し、指名手配リストの更新に日々懸命の努力をしてくれている。世の中の多くのウィルスの場合は、被害拡大のために自己増殖を行うので、ある意味そのおかげでウィルス対策ソフトメーカがウィルスの繁殖を見つけやすくなる。しかしながら、今回の一連の事件で見つかったウィルス(=上記のPDFファイル)は、特定の企業・団体をピンポイントで狙ったものであり、自己増殖もしない。そのためウィルス対策ソフトメーカーがウィルスを発見する前に、被害企業でウィルスが「発症」してしまったようなのだ。
3つ目のポイントは、ウィルス感染時の「目に見える症状」が、ほとんど無かったこと。ユーザからは、普通にPDFファイルが開かれたこと以外は、何も見えないし感じないように出来ていた。感染の「症状」は、あくまでバックグラウンドで影に隠れて行われていたのである。そのため発見も遅れ、その間に被害を広めてしまったらしい。実はこのBlogを見ているあなたのPCも、既に感染しているかもしれないし、当の私のPCも「絶対大丈夫」とは言えないのである。


・PC上のWebブラウザでインターネット上のWebページを閲覧する
今回の一連の事件に限って言うと、Webページを閲覧する「行為」が被害を起こしたと言うわけではないようだ。それでもこれが危険だと言う理由は、PCからインターネットのWebページにアクセス「できること」こそ、攻撃を受けた大きな一因になってしまっているからだ。おそらく多くの企業で、社員が使う普通のPCから(何らかのフィルタリングはあれど)インターネットのWebページを閲覧できるようにしているはずだ。実はこれこそ、攻撃者が企業LAN内のPCを自由に操るための「窓口」になってしまっているのだ。
本来なら、インターネット(つまり企業LANの外側)から、企業LAN内にあるPCを直接的に攻撃することは不可能に近い。そもそもネットワークの構成として、インターネットから企業LAN内のプライベートIPアドレスに直接アクセスすることは出来ないのだ。しかしその逆(企業LANからインターネットへのアクセス)は、いとも簡単なことだ。一連の事件では、PDFファイルによってPCに感染したウィルスが、攻撃者の意図するサーバーに対して通信をし続けていたのだ。そしてそのネットワークアクセスは、外部Webページを閲覧するのとほぼ同じ動きとなるため、何のブロックも受けずに通信をし続けてしまう。こうなると、外部にいる攻撃者は、ウィルスが発症したPCを好きなように操ることができる。もちろん重要な情報も覗き放題である。
多くの企業が「外から内」へのアクセスを、非常に強固に守りを固めている一方で、それに比べると「内から外」へのアクセスは緩くなっている。今回の一連の事件の攻撃者は、この「緩さ」をも突いたと言える。

・PCから社内の技術情報データベースにアクセス
これも上記のインターネットアクセスと同様に、社内技術情報データベースにアクセスする「行為」が問題を引き起こしたわけではない。メールを受信したり、外部Webページを見たりするPCと「同じPC」から、重要な社内情報にアクセス「できること」が危険なのだ。
ごく一部の企業(銀行など)では、メールやWebなどのインターネットアクセス可能なネットワークと、それ以外のネットワークを完全に(物理的にも)分離している。セキュリティだけの観点では非常に賢明な方法だろう。とは言っても、ユーザは複数の端末を使い分けなければならず利便性に難があるし、なによりもコスト負担が単純に倍になってしまう。多くの企業が、そう簡単にできる対策ではない。



このように、多くの企業で普段なにげなく行っていることが、標的型攻撃への致命的な弱点となっていることがお分かりいただけたのではないだろうか。同時に、対策が極めて難しいことも実感していただいたはずだ。このままでは不安を煽るだけになってしまうので、次回のエントリからCitrix製品を使った効率的かつ効果的な対策について論じてみたい。




今回のエントリを書くにあたっては、いくつかのWebサイトの情報を参考にさせていただいた。
特に、下記の2つは非常に読み応えのあるものである。興味のある方々は、まずこの2つの記事からとりかかることをお勧めする。

・ITPro (要登録)

・IPA(独立行政法人情報処理推進機構) 報告書

標的型攻撃(1) ~3日連続一面TOPの衝撃~

サイバー攻撃に関するニュースが世間を騒がせている。我が家が購読している朝日新聞では、このサイバー攻撃に関する記事が、なんと3日間連続で一面トップに掲載されることとなった。
2011年10月24日朝日新聞
2011年10月25日朝日新聞
2011年10月26日朝日新聞
--特定のIT関連の出来事が、3日間連続で一般紙の一面トップになる事態は史上初めてではないか?前例あれば教えてほしい--
この一連のサイバー攻撃は、「標的型攻撃 (英語では"targeted intrusion"もしくは"targeted attack")」 と呼ばれ始めているが、仕組みを調べてみると、これはなるほど(悪い意味で)巧妙な攻撃だ。もしもこの攻撃の標的とされてしまったら、確実に身を守る方法は残念ながら「ない」と言わざるをえないだろう。
シマンテック、マカフィー、トレンドマイクロ と言ったウィルス対策ソフトの大手は、いずれもこの標的型攻撃への対策について、自社Webページを使って啓蒙している。
・シマンテック
・トレンドマイクロ
・マカフィー

いずれも対策も、具体的と言うよりは教条的で、実施が簡単とは言えないことが興味深いところだ。3社の主張を誤解を恐れず乱暴にまとめると、下記になるだろうか。
・常に注意する
・何重もの多段の対策をする
・被害を受けること前提で「影響が最小限」になるようにする

多くの企業IT担当者は、こらら対策を聞いても悩みが深まるばかりではないか。とは言っても、何らかの対策をしなければいけないことは確かで、悩んでばかりもいられない。
Citrixはセキュリティ製品のベンダーではないが、標的型攻撃への対策にはお役に立てることがあると考えているので、しばらくこのブログでは、標的型攻撃に関して論じてみたい。
 
<続く>
~2011年12月6日追記~
本文中では、「標的型攻撃」の英訳として「targeted intrusion」あるいは「targeted attack」と書いたが、「APT : Advanced Persistent Threat (直訳:高度で持続的な脅威)」のほうが一般的らしい。確かに、Googleで検索しても「Advanced Persistent Threat」のほうが、遥かに多くの記事がヒットする。
このBlogについて
シトリックス・システムズ・ジャパン
(株)
に勤務し、自社製品をこよなく愛する山田晃嗣のブログ。

このブログで表明されている見解は、私(山田晃嗣)個人のものであり、シトリックスによって承認されたものではありません。
また、必ずしもシトリックスの見解を反映したものでもありません。
The views expressed here are
mine alone and have not been
authorized by, and do not
necessarily reflect the views
of, Citrix.

ブログ作者山田晃嗣のプロフィールはこちらのページをご参照ください。

アクセスカウンター
  • 累計:

記事検索
  • ライブドアブログ