Living in the Flat World

「世界はフラットになっている」と考えれば、世の中の変化も少し違った見方ができるはず!その考え方のもと、ITを中心に日常生活から世界のニュースまで幅広い題材を取り上げるブログ。

標的型攻撃

「アプリケーション仮想化」と「プレゼンテーション仮想化」

これまで複数のエントリで、XenAppを使った「アプリケーションの仮想化」が、標的型攻撃への対策としてどんな他の対策よりも高い効果を発揮することを書いてきた。おかげさまで複数のお客様からこの件で問い合わせがあり、実際に導入を前提に進めているお客様もあることから、書いてきたことの正当性は疑い無いものと自負している。
辛いのは、このことが(少なくとも私がこれを言い出した2ヶ月前時点では)ほぼどこにも書いていなかったことだ。どこにも書いてない以上、そのことを知っている人は極めて少ないし、せっかくの良いものも使っていただけない。その対策として始めたのがこのBlogであるし、実はそれ以外にもIT関連雑誌やWeb系のメディアにも掲載いただくように、メディア各社さんにもこのことを説いて回る活動を進めていた。
実はその活動がようやく実ったのが下記の記事。

私自身が実名で登場して内容を説明するような記事形式を取っており、書いてある内容もこのBlogで書いてきた内容にほぼ等しい。(取材を受けたとき、まさにこの内容の説明を記者さんにしている)
ただ一点、記事の内容に補足説明させていただきたいことがある。人によっては、記事を読んで混乱してしまうかもしれない「用語の使い方」があるのだ。
TechTargetの記事で「プレゼンテーション仮想化」と書かれているるものは、私がこのBlogで書いてきた「アプリケーション仮想化」のことだ。「用語の使い方」が異なるだけで、内容的には全く同じものだと考えていただいて良い。

ではなぜこのような用語の使い方の違いが出るのか?
端的に言うと、「プレゼンテーション仮想化」はマイクロソフトの用語で、「アプリケーション仮想化」はシトリックスの用語だ。この2社で用語の定義が異なるために、このような面倒なことが起きてしまっている。
この種の用語定義が各社で異なる問題の場合は、「多数決」で決められることが多いと思うが、ただその「多数決」も単純ではない。「単純な会社の数」だけでなく、「声の大きい会社」や「影響力の大きい会社」には、それだけ「多数決に参加する人数」も増やす権利があるらしいのだ。したがってこの件に関してもマイクロソフトの影響力は当然大きく、おそらく記者さんもそれに倣った用語の使い方をするのは当然のことだろう。

シトリックスとしたら、「長いものには巻かれろ」とマイクロソフト用語に揃える選択肢もあるはずで、他の多くの用語で実際そうしているが、この「アプリケーション仮想化 vs. プレゼンテーション仮想化」の用語の違いに関しては、なぜか自己主張を通している。
まあ、個人的にも「プレゼンテーション仮想化」はしっくり来ないし、一般の人もイメージ掴みにくいと思うので、シトリックスの用語の使い方を支持したい。だからと言って、マイクロソフト用語を否定することも出来ないので、私が出来ることは、混乱を招かないように2社の用語の使い方の違いをこのように説明することだろうか。

もうひとつ混乱を招きそうなので説明が必要なことがある。実は、マイクロソフトが『アプリケーション仮想化』と言う用語を使うこともあるのだが、それはシトリックスが言うような「画面転送を使ったアプリケーション配信」ではなく、「アプリケーションの中身そのものをネットワークで配信」する技術のことだ。
具体的には、こちらに説明のある「App-V」と言うテクノロジーのこと。


それにしても、この種のIT用語って判りにくい。「人によって会社によって用語の定義が大きく異なる」ことは、なにも今回挙げた例だけではない。また、「名前から受けるイメージと実態が大きくかけ離れている」ことも珍しくない。
これら用語の判りにくさが生み出す誤解は、この業界にいる人々の無駄な労力をかなり浪費しているはずなので、用語を決める権限を持つ人たちには、さらに努力していただきたいところ。
まあ、その判りにくさを解消するために、私のような人間がいるわけなのだが・・・

「標的型攻撃」の英訳は「Advanced Persistent Threat」

2011年11月1日のエントリで、私は「標的型攻撃」の英訳を「Targeted Intrusion」もしくは「Targeted Attack」であると書いた。残念ながらこれら私が紹介した英熟語は、間違いではないものの、あまり一般的には使われておらず、昨今のサイバー攻撃のことは「Advanced Persistent Threat」 (通称APT)と呼ばれることのほうがより一般的らしい。ここで謹んで追加・修正させていただくとともに、この種の「新技術用語の正しい英訳」に関して、いつも私が苦労していると言う話を一席と言うのが今日のエントリの主題。

---------------------------

シトリックスのような外資系のソフトウェアメーカに勤務していると、どうしても英語でのコミュニケーションを取らざるをえないことがある。英語のコミュニケーション自体が苦労の連続なのだが、特定の技術用語、特に新しくできた技術用語を「正しく英訳」することは、その中でも難易度の高いものである。

次から次へと生まれる新語でも、「和訳」の場合はそれほど難しくない。なぜなら、新語の和訳には「正解」はないので、まあ間違った意味に取られない程度の日本語にしておけば合格点なのだ。特にIT業界における新語は、オリジナルの英語こそが絶対基準であり、そこから大きく離れなければ、カタカナになろうが不自然な日本語になろうが、大きく困ることはない。極端な話、日本語を読んで「?」と思えば、オリジナルの英文を読めば良い。不自然な日本語よりも、英文のほうが分かりやすかったりすることも珍しいことではない。


一番困るのは、オリジナルの英語から訳された「日本語訳」しか分からない場合に、そのオリジナルの英語を突きとめることだ。これは本当に難しい。曖昧さが許される和訳と違って、絶対的な正解が存在するので、意味としては合っていてもオリジナルと異なれば、それは不正解なのである。

「正しいオリジナル英語」を見つけるために、私がこれまで使っていた手口は、英文を和訳したドキュメントから逆翻訳すること。例えば、当初「標的型攻撃」の英訳を「Targeted Attack」としていたのは決して直訳したわけではなく、下記を参照していたことによる。



まず下の抄訳記事を、Googleで「標的型攻撃 抄訳」と検索して見つけ、その中の原文リンクから、オリジナル英文を探し出した。この種の和訳記事の場合、英文がオリジナルなので、英語としての正しさは安心できると言ってよい。(和文が不自然なことは往々にしてあるが)

なので、「Targeted Attack」も間違いではなく、このような用語も確実に存在はしている。日本語の「標的型攻撃」も、おそらく誰かが「Targeted Attack」を和訳したものなのだろう。しかしながら、冒頭に書いたように「Advanced Persistent Attack」のほうが一般的なようであるし、少なくともGoogleでは"Advanced Persistent Attack"で検索したほうが、より深い情報が得られることは事実だ。


標的型攻撃(7) ~DLLインジェクション~


本日トレンドマイクロさんが主催するセミナーを受講させていただいた。タイトルは「相次ぐ標的型サイバー攻撃!!今の対策に自信はありますか?」。10月末から12月初旬にかけて、札幌、仙台などの各都市で開催していたらしく、さすがセキュリティ専業ベンダーだけあって動きが早い!この日は、3回ある東京開催の最終日だったが、100名近い受講者を集めており、やはり標的型攻撃対策への関心の高さをうかがわせた。

TrendMicro
 

実際のセミナーの内容の多くは、私がこれまでにこのBlogに書いてきたことであり、標的型攻撃に対する防御の難しさを再確認することができた。トレンドマイクロさんの訴えを、誤解を恐れず乱暴に要約すると下記のようなものだろうか。

「標的型攻撃は、『これで大丈夫!」と言うような決定打はなく、いくつもの対策を多重で行う必要がある。セキュリティ総合ベンダーであるトレンドマイクロは、入口対策も出口対策でも、有効な製品を提供している。」
教科書的に言われている対策としては全くその通りであるが、「対策を継続的に運用することに、結構な手間とスキルが必要である」ことは、やはり予想した通りだった。特に出口対策においては、不審な通信を早期に「発見する」ための製品は提供していても、「発見した後にどのように行動するか?」に関しては、「別途サービスでどうぞ」となるらしい。
繰り返しになってしまうが、私が以前から提唱しているXenAppを使った出口対策であれば、手間とスキルを必要とせずに継続的な対策が可能となることを強調したい。

さて、実はここからが今日の本題。
セミナーでは、私の全く知らなかった興味深いトピックをひとつ教えてもらった。それが今日のエントリのタイトルの「DLLインジェクション」だ。これはマルウェア(悪意のあるプログラムのこと。一般的にはウィルスとも言われる)による攻撃の手法のひとつで、Internet Exolorerなどの既存のプログラムにDLL(Dynamic Link Library)を注入(Injection)することによって、その既存プログラムになりすましてマルウェアが悪事を働くと言うもの。

このDLLインジェクションがなぜ重要かと言うと、パーソナルファイアウォールによる出口対策を無力化してしまうためだ。通常のファイアウォールが基本的にポート番号などの通信の内容によって通信の許可/拒否を決めることに対し、パーソナルファイアウォールの場合は、通信を行うプロセスによって通信の許可/拒否を設定できる。DLLインジェクションを使わない素直なマルウェアであれば、そのマルウェア自身のプロセスが通信を行うために、うまく設定されたパーソナルファイアウォールであれば通信を拒否できる。

ところが、このDLLインジェクションの手法を用いると、Internet Explorer(iexplore.exe)のような通信を許可しなければならないプロセスを、マルウェアが背後から操るように通信を行うため、残念ながらパーソナルファイアウォールによる防御は役に立たないことになる。
下記はそのイメージ図。

DLLInjection



改めて言うまでもないが、この標的型攻撃は実にやっかいな代物である。そして、より一層やっかいになるべく進化する余地さえもありそうだ。
DLLインジェクションに関しては、下記のサイトに詳細が記述されている。

日経新聞の少し残念な記事

我が家は日本経済新聞は購読していない。しかし通勤電車内で下記の大見出しが目に入って、思わず会社近くのコンビニで一部購入してしまった。
img021
 「相次ぐサイバー攻撃・災害 企業、サーバー集約し防御」

まさに私の最近の興味の中心が一面トップで扱われているではないか!
だが実際の記事内容は、残念ながら期待はずれだった。

見出しからは「サーバー集約がサイバー攻撃への防御になる」と読めるが、それにしては記事に書かれた根拠があまりにも薄弱。これでは読んだ人の多くが間違った期待を抱いてしまうか、サーバー集約に対してかえって懐疑的になってしまうかではないか。

--------------------以下日経新聞からの引用------------------------------
企業内クラウドで集約先のデータセンターが攻撃されたり、被災したりすれば全社の情報システムが機能しなくなる恐れがあるが、サーバーが数百カ所に分散している現状に比べれば、数カ所に集約した企業内クラウドの方が防御策を講じやすい。
(中略)
これらデータセンターは震度7に耐えられる強固な構造を持ち、自家発電装置も備えている。情報通信技術の専門家を集中的に配置し、サイバー攻撃への防御力も高める。
--------------------以上日経新聞からの引用------------------------------

サーバー集約によって、地震などの自然災害や停電への耐性を高まる理由は、まあ納得できる。データーセンターの物理的な耐震化や自家発電装置は、まさに直接的に被害を防いでくれるものだ。それに比べると、「サイバー攻撃への防御力を高める」根拠が、「情報通信技術の専門家を集中的に配置」することだけと言うのは実に寂しい。


誤解していただきたくないのだが、サイバー攻撃への対処としては、サーバーが分散しているよりは集約しているほうが好都合だと私も考えている。ただしサーバー集約は、サイバー攻撃への防御を高めるための複数ある手段のうちのほんの1つであり、しかも他のより重要かつ直接的な手段を行うための、間接的な手段(手段のための手段)でしかない。

サーバー集約の他の「より重要かつ直接的な手段」とは具体的に、「重要情報の隔離」であったり「トラフィックの監視」だったりするのだろうが、残念ながらそれらには全く触れられていない。さらには、相変わらず分散されたままのはずのユーザ端末(パソコン)についても何も記述はない。実際のサイバー攻撃では、まずユーザ端末から狙われるのだが。


まあ一般紙でそこまで詳細を書く余裕がないことは理解できる。それなら今回の記事の場合は「災害対策」までで止めておいたほうが良かったと思う。サイバー攻撃対策はもちろん重要だ。だあれば、自然災害対策やクラウド(実はこれについても説明不十分)とは切り離して、あらためて別記事でもう少し深く取り上げるべきだろう。

あらためて取り上げることを期待してますよ、日経新聞さん。


標的型攻撃(5) ~やっぱり出口対策~

11月5日のエントリで、標的型攻撃に対しては出口対策を真っ先にすべきと訴えたが、これは私だけの主張ではないらしい。Googleで「標的型攻撃 出口対策」と検索してみると、いくつかの読み応えのある記事が見つかった。

日経ビジネスオンライン
日経ビジネス記者 戸川 尚樹氏

ITPro
情報処理推進機構(IPA)相馬 基邦氏

ITPro
情報処理推進機構(IPA)相馬 基邦氏

ITPro
日経コミュニケーション記者 白井 良氏


いずれの記事も「ウィルス(マルウェア)の侵入を防止することはほぼ不可能」としたうえで、出口対策の必要性を説いている。私も全くその通りだと思う。ただしその出口対策として「具体的に何をやるべきか?」となると、どの記事の主張も効果が限定されるか、実施が難しいかになっているように思える。

例えばプロキシサーバーの設置が提案されているが、これは作者自身が効果が限定的であることを認めている。あとはトラフィック監視、ログ監視と言った施策は、運用継続自体に高度なスキルと人的コストが必要な一方で、「確実に出口を防ぐ」とまでは言えないように思う。

手前味噌で恐縮であるが、私が提案した「外部インターネット閲覧用のWebブラウザの仮想化と隔離」のほうが、遥かにシンプルかつ確実な方策だと確信しているのだが。

上記引用した作者の皆様、勝手にリンクを貼って記事を批評して恐縮でございます。反論などございましたら、是非コメント欄に書き込みをお願いします。

標的型攻撃(4) ~また朝日で一面TOP~

今日も朝日新聞は、サイバー攻撃関連記事を一面トップに持ってきた。
朝日新聞
 
今日からスタートした中国軍の能力や戦略を探る連載記事の一環らしいのだが、その連載第1回の主題が、空母でもステルス戦闘機でもなく「サイバー戦」だと言うことが非常に興味深い。

まず最初に、記事を読んで残念に思ったことから。ジャーナリズムの観点で見て朝日のこの記事は、自ら目的として掲げた「中国軍の能力や戦略を探る」ことを達成できていない、落第点の記事だと思う。

そもそも軍隊がサイバー戦争に備えることなど、「なにをいまさら」と言った常識レベルの話だし、記者の独自取材による新ネタも乏しい。「軍とつながりのある職業訓練校のコンピュータ実習室が、一連のサイバー攻撃の拠点となっているらしい」と言うのが、この記事の柱の一つだ。しかしその根拠として書かれていることと言ったら、取材に基づく一次情報としては「特に警備が厳しかった」と言う程度のものだけ。あとはいわゆる「関係者の話」に基づいた、「何かアヤしい」程度の情報しか取り上げられていない。この程度の記事なら、普通にそのあたりの無報酬のブロガーでも書けることだろう。取材費のたっぷり使える天下の朝日新聞なら、もう少し踏み込んで欲しかった。

記事中で唯一目新しい情報と言えたのが、記事を書いた朝日の峯村健司記者に送られた「標的型攻撃メール」に関する実録(詳細後述)なのだが、これは「中国軍特集」とは関係ない、独立した記事にすべきではないか。「記者が受け取った攻撃メールは中国軍が関与している」とする理由が薄弱すぎて、「中国軍に関する記事の一環」として取り上げるのは、ともすると悪意のある印象操作とも取れる。


期待が大きかっただけに苦言を呈してしまったが、我々一般市民への「注意喚起」と言う点では、今回の朝日の記事は非常に意義深い(だからBlogで取り上げている)。サイバー戦は、まさに「今そこで起きていること」であり、我々が(正しい知識を得たうえで)注意しなければいけないことは間違いないからだ。

上記で「唯一面白い」とした、記者に実際に送られた「標的型攻撃メール」の記述を紹介しよう。ことし4月に、峯村記者が下記(一部のみ抜粋)のようなメールを受け取り、その添付ファイルがまさにウィルスだったとのこと。
朝日新聞2
 
幸いなことに、この攻撃メールは、攻撃メールとしては相当に未熟で、峯村記者も怪しいと感じて添付ファイルを開くことはなかったらしい。日本人読者からのメールを装っているが、よくよく読むと「ニュスを拝読したいことがあります。」だとか、「中国海軍の実力がわかりになることがあります。」だの、「軍艦見たいの船をみました」と言った(全て原文のまま)、普通の日本人ならまず書かないようなおかしな日本語になっている。また、添付ファイル(ウィルスの正体)は、「.rar」の拡張子の付いたファイルになっており、これも一般には使われない圧縮形式だ。

ただしこの未熟な攻撃メールの実録は、「将来にわたる安心材料」には全くならない。攻撃者の側に立って考えると、上記した攻撃メールの未熟さを改善することは、それほど難しいことではないからだ。日本語が十分に堪能な人間を雇って自然な日本語に書き直し、添付ファイルの拡張子を「.pdf」にするだけで、騙されて添付ファイルを開く者は相当数いるだろう。加えて、記事中の攻撃メールでは「はじめましてメール」でいきなり攻撃を仕掛けてきたが、何度か通常のやりとりをして安心させたうえで攻撃メールを送りつけることは、攻撃者がその気になれば十二分に可能なことなのだ。

なお、記事には明確に書かれていなかったが、この攻撃メールに関して私が注目したい点が2つある。

1点目は、朝日新聞の峯村記者宛にピンポイントでメールが届いたこと。当然記者のメールアドレスが攻撃者に漏れていたわけだが、大手新聞者の記者のメールアドレスはどのように管理されているのだろうか?取材時に気軽にアドレスの書かれた名刺を渡したりしているのだろうか?もしくは一般のビジネスマンよりは厳重に管理されているのだろうか? (ご存知のかたがいたら教えてください) もしも厳重に管理されたうえでアドレスが漏れたとしたら、攻撃者の調査能力は大したものだ。いずれにせよ、新聞記者だけでなく我々一般のビジネスマンも、今後はメールアドレスを名刺に書いて気軽に渡す習慣は、考え直したほうが良いかもしれない。

2点目は、通常のウィルス対策ソフトでは添付のウィルスを検知出来なかったらしいこと。記事に明確に書いていないことが残念だが、メールに疑いを持った峯村記者は、添付ファイルの調査をわざわざ日本IBMの専門家に依頼したとのことなので、市販ソフトでは検知できなかったと判断することが妥当だろう。 (おそらくウィルス対策ソフトメーカへの配慮から明確に書かなかったと推測する) このことに関しても、改めてウィルス対策ソフトの限界を意識しておくべき教訓となるだろう。



一般紙の朝日新聞がここまで騒いでいるわけなので、サイバーアタック関連記事は今後も続くだろう。しばらくこのBlogでもウォッチしていきたい。

標的型攻撃(3) ~出口対策~

昨日までエントリで、「標的型攻撃」の巧妙な仕組みと、狙われる企業側の「弱点」について説明した。今日のエントリから、Citrix製品を使った効率的かつ効果的な対策について提案してみたい。既に過去のエントリで前置きが長くなったので結論を急ごう。私が提案する対策は次の2つだ。

1) XenAppを使った外部メール環境の隔離(入口対策)

2) XenAppを使ったインターネット閲覧環境の隔離と、端末上のWebブラウザからの直接的なインターネット参照のブロック(出口対策)

この2つは、それぞれ「入口」と「出口」を対策するものだ。いずれも狙われる企業側の「弱点」を補強する対策である。2つの対策の双方を実施すればそれだけ強い対策となるが、片方だけでも標的型攻撃への対策として相当な効果があると確信している。なぜなら標的型攻撃は、企業ネットワークの入口と出口をいずれも通過する必要があり、片方でも塞がれるとほぼ無力化してしまうからである。

「一つだけ取り入れるとしたらどちらか?」あるいは「2つとも取り入れるとして、どちらが先か?」と問われれば、2)の出口対策を実施していただくことを強くお勧めする。出口対策を先にお勧めする理由は複数あるが、最大の理由は入口対策に比べて導入が簡単で、利便性を損なう度合いが少ないことによる。他の理由も含めて、理由の詳細は後述する。

なお、このBlogの読者の中には「XenAppって何?」と言われるかたも多いと思う。別途機会を改めてXenAppを解説したいと思うが、当面はCitrixサイトの他、こちらこちらをご覧になっていただきたい。

以下、2)の出口対策について、さらに詳しく説明しよう。

対策の前にまず、一般的な企業でのWebアクセスについて復習する。どこの企業でも、基本的には下図のような仕組みになっているはずだ。(クリックで拡大)
一般的な企業LAN内からのWebアクセス

細かいことを言うと、Webプロキシサーバーが入っていたり、コンテンツフィルタリングをしていたりするかと思うが、残念ながらこれらは根本的な対策にはなっていない。私が訴えたいポイントは、ほとんどの企業が「ユーザ端末(パソコン)上のWebブラウザを使ってインターネット上のWebページを閲覧している(閲覧できる)」と言うことである。

「何を当たり前のことを言っているのか!」と言われそうだが、XenAppを使った出口対策とは、その「当たり前」を否定することから始まる。下の図を見ていただきたい。(クリックで拡大)
XenAppを使ったWebアクセスの隔離

注目していただきたい点は、「インターネットWebサイトを閲覧するWebブラウザは、ユーザ端末上では動いていない!」と言うことだ。ユーザ端末上では、Webブラウザが動作しているように見えるが、それは実際端末上で動作しているわけではなく、XenApp上で動作しているWebブラウザの「画面」が転送されてそれを遠隔操作しているに過ぎない。--最近流行の言葉で言えば「アプリケーション(Webブラウザ)が仮想化されている」とも言えるだろうか--

この仕組みの最大のポイントは、ユーザ端末から何らかの形でインターネットアクセスすることを、ネットワーク的に完全に禁止できることだ。一般的なWebプロキシサーバの導入も、「直接的なアクセスを禁止して間接的なアクセスのみ許可する」と言う観点では良く似ているが、XenAppを使った方法は、一般的なプロキシとは以下の点で完全に異なる。

一般的なWebプロキシを使った接続では、WebアクセスのTCPポート番号の変換は行われるが、HTTP通信の「中身」は、ほとんど手を加えられずに送られる。したがって、端末がウィルスに感染してそのウィルスがInternet Explorerのプロキシの設定を読み込めば(それは特別難しいことではない)、ウィルス自身もプロキシ経由の接続をしてしまえば、直接的にインターネットに接続しているのと何ら変わりない動作が可能である。

それとは違い、XenAppを使った「間接接続」では、ユーザ端末とXenApp間の通信はHTTP通信とは「中身」が全く異なる。ユーザ端末からXenAppへ送られるのは、キーボードの入力とマウスの動きの情報だけなのである。この仕組みによって、一連の事件で起きたような「ユーザ端末に感染したウィルスが、勝手に外部と通信する」事態を根本から防ぐことが出来るのだ。


これまで、ネットワーク的な仕組みを見てきたが、利用するユーザの視点に立つと、XenApp上のWebブラウザ利用は、下図のようなイメージになる。(クリックで拡大)
仮想IEの動作イメージ

Webブラウザが2つ立ち上がっているだけのように見えるが、よーく見ていただきたい。左上がIE6で、右下が(Windows XPでは本来動作しないはずの)IE9となっている。このIE9こそ、実際にはXenApp上で動作していて、画面転送・遠隔操作によってユーザ端末から利用できるようになっているものだ。一度起動してしまえば、ユーザは端末上のWebブラウザとほとんど同様に「仮想化されたWebブラウザ」を利用できる。

すぐ上で「ほとんど同様に」と書いたが、端末上のWebブラウザと仮想化されたWebブラウザでは異なることがある 何が異なるかと言うと、仮想化されたWebブラウザと、その他の端末上で動作するアプリケーションの間では「データ交換」が出来ないのだ。例えば、メモ帳で書いたテキストをコピーして、そのテキストをWebブラウザ内のフォームに「貼り付け」することは出来ないし、ユーザ端末上のファイルをWebブラウザを使ってインターネットサイトにアップロードすることは出来ない(注1)。

このWebブラウザとのデータ交換の無効化は、確かに不便なことかもしれない。しかしそれは、導入をためらうほど致命的なことだろうか?いや、それほど悪いことではないだろう。「外部インターネットを閲覧するためのWebブラウザ」に限定してデータ交換が出来なくなることは、ほとんどの企業で業務に支障がでるほどのこととは考えにくい。むしろ、「インターネットへファイルをアップロードできない」ことや「インターネットから端末にファイルをダウンロードできない」ことは、標的型攻撃への対策から離れたとしても企業のIT管理者にとって魅力的なことではないだろうか?

この「XenAppによるインターネットアクセスの分離」に関しては、実は一部の企業でこのような使い方が既に始まっている。それら企業がこのような対策を取り入れた一番の理由は、標的型攻撃への対策ではなかった。実は「インターネット経由で進入する脅威への入口対策」だったのだ。同じ対策が、標的型攻撃に対しては、出口対策にもなっていることは非常に興味深い。

さてここで少し、「1)入口対策」のことも触れてみよう。これを実施した場合に隔離の対象となるのはメールソフトである。入口対策のためには、これらメールソフトとその他のアプリケーションを隔離して、データ交換を禁止することになるわけだが、これは確かに利便性の面で悪い影響が大きいだろう。実はこのことが、「1)入口対策」よりも「2)出口対策」をお勧めする最大の理由なのだ。入口対策でメールソフトを隔離することは、セキュリティ面ではその効果が大きいものの、セキュリティ面以外に及ぼす影響があまりにも大きすぎる。
今日のエントリでは「2)出口対策」について詳しく説明したが、日を改めて「1)入口対策」についてもじっくり説明したい。


(注1)
実は、XenAppの機能としては、端末と仮想アプリ間のコピー/ペーストやファイル交換は可能である。しかし管理者側で定めるポリシー次第では禁止することも出来る。セキュリティ目的でXenAppの仮想アプリケーションを導入する場合、データ互換の機能は禁止することが妥当だろう。

標的型攻撃(2) ~その巧妙な仕組み~

昨日のエントリでは、「標的型攻撃」と呼ばれるサイバーアタックが、昨今特定の企業・団体に対して行われていること、またその対策が極めて難しいために、深刻な被害が出始めていることを紹介した。今日は、この標的型攻撃の仕組みについて、もう少し掘り下げてみたい。

標的型攻撃の説明をする前に、次の架空の物語を読んでほしい。これは、PCを使って仕事をするビジネスマンのごく平凡な行動について書いたものである。

Aさんは、ある大手製造業に勤務している。彼が朝会社に来て最初に行う仕事は、朝までに届いたメールを自席のPC(Windows XP)でチェックすることだ。今日は、取引先の広報部門からのメールが届いていた。そのメールによると、その取引先は所謂M&Aにより、近々別会社と合併して社名も変わるらしい。メールには、「○○社との合併と社名変更について.pdf」と言うPDFドキュメントが添付されていた。そのPDFを開くと、取引先の社長名による合併を知らせる正式レターの体裁になっていた。ちなみにAさんのPCでは、Adobe Readerは3年前のPC導入時のものを、特にバージョンアップせずにそのまま使っている。その後Aさんは、そのお知らせのことは特に気にもとめず、いつもの仕事を始めた。PCからは時折社内の技術情報データベースにアクセスしたり、ときには公開論文の情報を仕入れるため、PC上のWebブラウザ(Winodws XPなのでIE6)を使って、様々なインターネット上のWebページを閲覧した。


どうだろう?平凡すぎるくらい平凡で、業種や職種による微妙な違いはあれど、多くのビジネスマンが普段仕事でやっていることではないだろうか?察しの良いかたは既にお気づきのように、赤字部分が、結果として今回の事件を引き起こした要因である。「危険な要因」を、ひとつひとつ検証することで、攻撃の仕組みを探ってみよう。

・取引先の広報部門からのメール
実はこのメール、攻撃者からの「なりすましメール」だったのだ。電子メールと言うものが、いとも簡単になりすましができてしまうことに、どれだけの人が気づいているだろう。物語のAさんも含め、ほとんど人が「差出人」欄の表示だけでメールの発信元を判断しているのではないか。メールソフトに表示される「差出人」欄は、メール送信者が自由に設定できるのだ。そこに「○○株式会社」と書かれていても、それが本当に「○○株式会社から来たものだと言う保障は全くない。」
一連の事件の攻撃者は、被害企業の取引先まで十分に事前調査した上で、疑われにくいような名前を詐称しているらしい。(一部報道によると、内閣府の実在の人物を語ったとも言われている)非常に巧妙なソーシャルエンジニアリングが行われているのだ。もちろん、メールに付加された正確な発信元アドレスまで偽装することは一気に難しくなるが、残念ながらそこまで確認する人は滅多にいないのが現実だ。

・メール添付のPDFを古いバージョンのAdobe Readerで開く
このPDFファイルこそ、攻撃の正体(広い意味でのコンピュータウィルス)だ。PDFをAdobe Readerで開いた時点でそのPCはウィルスに感染し、攻撃者の思い通りに操作できるようになってしまう。一連の事件での攻撃の巧妙さのポイントは3つある。
1つ目のポイントは、PDFの形式を取っていたこと。メールにexe形式のファイルが添付されている場合なら、それを開くことを躊躇する人は多いだろう。だが、PDFとなると(exeはもちろん、.docや.xlsに比べても)安心して開いてしまう人は多いのではないか。残念ながら、もはやPDFは安全とは言えない。Adobe Readerの脆弱性や、間接的に起動されるAdobe Flashの脆弱性を利用して、PDFを開くだけでPCを攻撃者から遠隔可能な状態にしてしまう。PDFも、exeと同様に慎重にならなくてはいけないし、Adobe ReaderやAdobe Flashも、セキュリティ上は常にアップデートをし続けないといけないのである。
2つ目のポイントは、ウィルス対策ソフトによる検知をくぐり抜けたこと。ウィルス対策ソフトがウィルスを見つけるのは、基本的にブラックリスト(指名手配リスト)との照合(パターンマッチング)によるものだ。--正確に言うと、パターンマッチング以外の検知手法も行われているが、主流はあくまでパターンマッチングである-- ウィルス対策ソフトメーカは、常に世界中の新種ウィルスを監視し、指名手配リストの更新に日々懸命の努力をしてくれている。世の中の多くのウィルスの場合は、被害拡大のために自己増殖を行うので、ある意味そのおかげでウィルス対策ソフトメーカがウィルスの繁殖を見つけやすくなる。しかしながら、今回の一連の事件で見つかったウィルス(=上記のPDFファイル)は、特定の企業・団体をピンポイントで狙ったものであり、自己増殖もしない。そのためウィルス対策ソフトメーカーがウィルスを発見する前に、被害企業でウィルスが「発症」してしまったようなのだ。
3つ目のポイントは、ウィルス感染時の「目に見える症状」が、ほとんど無かったこと。ユーザからは、普通にPDFファイルが開かれたこと以外は、何も見えないし感じないように出来ていた。感染の「症状」は、あくまでバックグラウンドで影に隠れて行われていたのである。そのため発見も遅れ、その間に被害を広めてしまったらしい。実はこのBlogを見ているあなたのPCも、既に感染しているかもしれないし、当の私のPCも「絶対大丈夫」とは言えないのである。


・PC上のWebブラウザでインターネット上のWebページを閲覧する
今回の一連の事件に限って言うと、Webページを閲覧する「行為」が被害を起こしたと言うわけではないようだ。それでもこれが危険だと言う理由は、PCからインターネットのWebページにアクセス「できること」こそ、攻撃を受けた大きな一因になってしまっているからだ。おそらく多くの企業で、社員が使う普通のPCから(何らかのフィルタリングはあれど)インターネットのWebページを閲覧できるようにしているはずだ。実はこれこそ、攻撃者が企業LAN内のPCを自由に操るための「窓口」になってしまっているのだ。
本来なら、インターネット(つまり企業LANの外側)から、企業LAN内にあるPCを直接的に攻撃することは不可能に近い。そもそもネットワークの構成として、インターネットから企業LAN内のプライベートIPアドレスに直接アクセスすることは出来ないのだ。しかしその逆(企業LANからインターネットへのアクセス)は、いとも簡単なことだ。一連の事件では、PDFファイルによってPCに感染したウィルスが、攻撃者の意図するサーバーに対して通信をし続けていたのだ。そしてそのネットワークアクセスは、外部Webページを閲覧するのとほぼ同じ動きとなるため、何のブロックも受けずに通信をし続けてしまう。こうなると、外部にいる攻撃者は、ウィルスが発症したPCを好きなように操ることができる。もちろん重要な情報も覗き放題である。
多くの企業が「外から内」へのアクセスを、非常に強固に守りを固めている一方で、それに比べると「内から外」へのアクセスは緩くなっている。今回の一連の事件の攻撃者は、この「緩さ」をも突いたと言える。

・PCから社内の技術情報データベースにアクセス
これも上記のインターネットアクセスと同様に、社内技術情報データベースにアクセスする「行為」が問題を引き起こしたわけではない。メールを受信したり、外部Webページを見たりするPCと「同じPC」から、重要な社内情報にアクセス「できること」が危険なのだ。
ごく一部の企業(銀行など)では、メールやWebなどのインターネットアクセス可能なネットワークと、それ以外のネットワークを完全に(物理的にも)分離している。セキュリティだけの観点では非常に賢明な方法だろう。とは言っても、ユーザは複数の端末を使い分けなければならず利便性に難があるし、なによりもコスト負担が単純に倍になってしまう。多くの企業が、そう簡単にできる対策ではない。



このように、多くの企業で普段なにげなく行っていることが、標的型攻撃への致命的な弱点となっていることがお分かりいただけたのではないだろうか。同時に、対策が極めて難しいことも実感していただいたはずだ。このままでは不安を煽るだけになってしまうので、次回のエントリからCitrix製品を使った効率的かつ効果的な対策について論じてみたい。




今回のエントリを書くにあたっては、いくつかのWebサイトの情報を参考にさせていただいた。
特に、下記の2つは非常に読み応えのあるものである。興味のある方々は、まずこの2つの記事からとりかかることをお勧めする。

・ITPro (要登録)

・IPA(独立行政法人情報処理推進機構) 報告書

標的型攻撃(1) ~3日連続一面TOPの衝撃~

サイバー攻撃に関するニュースが世間を騒がせている。我が家が購読している朝日新聞では、このサイバー攻撃に関する記事が、なんと3日間連続で一面トップに掲載されることとなった。
2011年10月24日朝日新聞
2011年10月25日朝日新聞
2011年10月26日朝日新聞
--特定のIT関連の出来事が、3日間連続で一般紙の一面トップになる事態は史上初めてではないか?前例あれば教えてほしい--
この一連のサイバー攻撃は、「標的型攻撃 (英語では"targeted intrusion"もしくは"targeted attack")」 と呼ばれ始めているが、仕組みを調べてみると、これはなるほど(悪い意味で)巧妙な攻撃だ。もしもこの攻撃の標的とされてしまったら、確実に身を守る方法は残念ながら「ない」と言わざるをえないだろう。
シマンテック、マカフィー、トレンドマイクロ と言ったウィルス対策ソフトの大手は、いずれもこの標的型攻撃への対策について、自社Webページを使って啓蒙している。
・シマンテック
・トレンドマイクロ
・マカフィー

いずれも対策も、具体的と言うよりは教条的で、実施が簡単とは言えないことが興味深いところだ。3社の主張を誤解を恐れず乱暴にまとめると、下記になるだろうか。
・常に注意する
・何重もの多段の対策をする
・被害を受けること前提で「影響が最小限」になるようにする

多くの企業IT担当者は、こらら対策を聞いても悩みが深まるばかりではないか。とは言っても、何らかの対策をしなければいけないことは確かで、悩んでばかりもいられない。
Citrixはセキュリティ製品のベンダーではないが、標的型攻撃への対策にはお役に立てることがあると考えているので、しばらくこのブログでは、標的型攻撃に関して論じてみたい。
 
<続く>
~2011年12月6日追記~
本文中では、「標的型攻撃」の英訳として「targeted intrusion」あるいは「targeted attack」と書いたが、「APT : Advanced Persistent Threat (直訳:高度で持続的な脅威)」のほうが一般的らしい。確かに、Googleで検索しても「Advanced Persistent Threat」のほうが、遥かに多くの記事がヒットする。
このBlogについて
シトリックス・システムズ・ジャパン
(株)
に勤務し、自社製品をこよなく愛する山田晃嗣のブログ。

このブログで表明されている見解は、私(山田晃嗣)個人のものであり、シトリックスによって承認されたものではありません。
また、必ずしもシトリックスの見解を反映したものでもありません。
The views expressed here are
mine alone and have not been
authorized by, and do not
necessarily reflect the views
of, Citrix.

ブログ作者山田晃嗣のプロフィールはこちらのページをご参照ください。

アクセスカウンター
  • 累計:

記事検索
  • ライブドアブログ