知っておきたい「サイバー攻撃が起きる理由」と「MITRE ATT&CK」の関係。防御への活⽤⽅法も

昨シーズンはシマンテック製品に関する疑問を中⼼にお答えしてきた本セミナーですが、今シーズンでは範囲を広げまして、セキュリティ全般も扱っていければと思います。

では、サイバー攻撃が起きる理由について私からご説明をさせていただきます。まず、現代は「情報に価値がある」ようになっています。たとえば個⼈情報はマーケティングや製品開発に活⽤できますし、ホームページやSNSでの情報発信は企業の信頼につながっています。昨今はDXにより、情報資産の活⽤促進が叫ばれている状況です。

サイバー攻撃が⽣じる理由は、主に以下のように考えられます。

個⼈情報や特許情報、⼝座情報などを得るなど、利益、⾦銭の獲得が⼤きな⽬的になっていることが多いです。

世界情勢などもあると思いますが、社会的主張、政治的主張のためにサイバー攻撃を利⽤することもあります。ハッカーグループにより、政府のウェブサイトが落ちてしまったという話を⽿にすることも多いのではないでしょうか。

そういえば、JAXAに対してサイバー攻撃があったってニュースもありましたね。

JAXAくらいだと、⾦銭なのか政治的なものなのか、またちょっと判断がつきにくいところで、どちらも考えられますね。事件が起こると、報道などを通して多くの⼈に主張が届くので、それを⽬的として⾏われるサイバー攻撃ということです。

あとは、映画なんかで⾒るような、パソコンにすごく詳しい少年が興味本位でシステムに侵⼊しちゃったようなケースですね。ただ、最近はあまり⼤きな理由、動機にはなっていません。

さて、今のサイバー攻撃というのは急速にビジネス化が進んでいます。

「ターゲティング」「キャンペーン」など、私がマーケティングをしながら⽿にする単語は、サイバー攻撃に関してもよく⾒かけますね。何か関係あるのでしょうか？

はい、サイバー攻撃でもターゲティングをしますし、攻撃を広げるための活動をキャンペーンと呼びます。上の図はマルウェア付きのメールをばらまく攻撃のイメージ図です。キャンペーンを通して引っかけた⼈から搾取を実際に⾏うのが刈り取りで、こうしたステップを踏んでいるのがビジネス化と⾔われる最たるところかと思います。

なるほど。

そして、次の図は標的度別に攻撃の種類を分類した図です。

マス/コンシューマー向けの攻撃なら、個⼈携帯にメールやSMSなどに「カード使い過ぎですよ」や「荷物が届きました」というメッセージを送ります。でも、メッセージ内のURLをタップしても何も起こらなくて、クリックした事実だけが収集されることもあります。それで「この⼈は押しちゃう⼈だ」と捕捉するわけです。

なるほど。うまい。⾯⽩いですね。

また、次に有名なのが脆弱性攻撃です。ファイアウォールなどを狙った攻撃も多いので注意するようによく⾔われますよね。ファイアウォール製品は有名な製品に偏りやすいので、⼤きなメーカーほど狙われやすいです。少し前に、SSL-VPNの脆弱性をついた攻撃が話題になりました。

ありましたね。結構⼤きな話題になっていました。

特定の企業を狙う場合は、スピアフィッシングやソーシャルエンジニアリングといった⼿法を使います。

「スピアフィッシング」は普通のフィッシングとは何か違うのでしょうか？

フィッシングは⿂を釣るために釣り針を垂らして待つイメージで、スピアフィッシングは銛を持って突きに⾏くイメージです。つまり、標的が明確になっている攻撃です。

「ソーシャルエンジニアリング」というのは？

これは、⼈vs⼈で実際に攻撃をすることです。例えば、電話でそれらしいことを⾔って⼆段階認証のためのコードを聞き出すような、⼈の⼿でできる攻撃ですね。

ある意味、⼿抜きですね(笑)。

しかし、特定の企業から⼤きなものを窃取しようとした場合、こういう⼿⼝のほうが効率的なこともあります。

確かに。うまくいかない可能性が⾼いけど、⼀発当たると⼤きいということですか。

はい。こうした標的選定から侵⼊までをもう少し詳しく⾒ていくと、標的収集の後は情報収集を⾏います。情報収集ではダークウェブ（※）なども使われます。

ダークウェブでは、攻撃に使うボットネットが売られていることもあります。つまり、潜⼊済みで後は攻撃するだけですという状態です。また、企業で使われているメールアドレスや機器のIPアドレス⼀覧なども販売されています。これもビジネス的ですよね。こうしたダークウェブへはTorやDuckDuckGoなどの利⽤者を追跡できないブラウザでしかアクセスできません。

誰かわからないようにしつつ、標的を調べることができるのですね。

それで得た情報や⼿段を使い、実際にデリバリー（配布）をして引っかかった⼈に侵⼊を⾏います。実際に侵⼊が始まると、次の図のように「横展開」「探索」が⾏われます。つまり、他にも感染させることができる対象や、⻑期的に潜伏できるところを探しながら、最終的に「破壊」「窃取」「悪⽤」「潜伏」などのインパクトを与えます。

最終的にランサムウェアやリソースハイジャックなどの攻撃になりますが、またボットネットを作って（仕⼊れて）売る場合もあります。ランサムウェアも暗号化だけでなく情報を収集しておいて⼆重脅迫を⾏ったり、マルウェアに感染したマシンを暗号通貨のマイニングに使ったり、⽅法はさまざまです。

企業のサーバーとかスペック⾼そうだし、電気代などもかかりませんし、マイニングもスムーズにできそうですね。

そういうことですね。さて、昔は単体のランサムウェアではLockBitやBlackCatのように作者が固有名詞で出ることはありませんでした。しかし、作者が同じ攻撃が多くなれば、攻撃経路の多くが共通してくるわけですね。それなら、攻撃の流れを体系化することで防御ができそうだと思いませんか？

そうですね。ある程度似ている攻撃であれば、体系化できれば守りやすそうですね。

はい、そこで出てきたのが、この後にお話をするMITRE（マイター）です。

はい、それでMITREについてですが、正式にはMITRE Corporationと⾔いまして、⽶国の安全保障を広くサポートしている⾮営利組織です。

サイバーセキュリティの他にも、いろいろな注⼒分野があるのですね。

そうですね、サイバーセキュリティのイメージが⼤きいかと思うのですが、航空宇宙分野や健康医療とか、政府のイノベーションなどもやっていたりします。

確かいろいろな分野で論⽂を発表したり研究したりしていますよね。特にセキュリティ関係者にとっては気になる組織ではないかと思います。

そうですね。CVEの番号なんかも出していますしね。脆弱性番号を発⾏していて、シマンテックも脆弱性の情報提供や連携をしています。

シマンテック、ちゃんと貢献していますね。

はい。で、そのMITREが体系化してくれたのがこのMITRE ATT&CK（マイターアタック）というフレームワークで、⾒たことがあるという⽅も多いと思います。

こちらは、上のところで先ほど「侵⼊」と呼んでいたところを戦術（Tactics）と呼んでいて、下に関連する⼿法（Techniques）という形でまとめられています。この⼿法については、どんな攻撃者グループが主に利⽤しているとか、どんなソフトが悪⽤されているとか、どんなログが残っているか、どんな緩和策があるか、等の情報もまとめられています。

⾯⽩そうですね。そういえば、EDR製品やいろんなセキュリティ製品がこのMITRE ATT&CKと連携して情報出していると思うのですが、これを⾒れば攻撃に使われているソフトや緩和策なども⾒えてくるってことですね。

その通りです。EDR製品を使っていると「T1105」のような番号がログの横に出ることがあるかと思います。これがMITREのTechniquesのIDになっていまして、リンクをクリックすると該当のページを参照できます。もちろん、シマンテックのEDRもそのようになっています。

なるほど。ありがとうございます。

これはオマケになりますが、MITREにはMITRE ENGENUITY（マイターエンジェニュイティー）という⼦会社があり、ここでATT&CK Evaluationsというサービスを提供しています。これは実際の攻撃者の攻撃を再現して⾏う評価テストで、いろいろな企業の製品が参加しており、シマンテック製品もこのテストに参加しております。

ここまでMITREについてのご説明ありがとうございました。それで、このMITREの情報を使って、セキュリティをもっと強固にできるのでしょうか？

そうですね。先ほどのTechnique IDの情報を使えば、防御に実際に役⽴てることが可能です。ここからは、シマンテック製品でのケースについてお伝えしていきます。

ぜひお願いします。

シマンテックではSymantec Endpoint Security（以下SES）という製品がありまして、SESにはEnterprise（以下SESE）とComplete（以下SESC）というエディションがございます。SESEは、エンドポイント保護やクラウド管理、モバイルの共有などの機能を持つ、エンドポイントの保護プラットフォームです。SESCは、SESEの機能にプラスしてシマンテック独⾃の防御策であるAdaptive Protection機能と、さらにEDR、脅威ハンティングなどがバンドルされている上位版です。

この中のAdaptive ProtectionがMITRE ATT&CKと関連する機能でして、エンドポイントの動きを90⽇間監視することで、業務で利⽤してない脆弱性を遮断し、お客様の状況に合わせて最適なポリシーを提案できます。

この機能の裏の仕組みとしては、お客様の環境からログを取得して、お客様環境で⽣じたイベントを監視・学習してヒートマップ化を⾏っています。そして、⼀個⼀個のマスがMITRE ATT&CKで定義されている⼿法になっております。

なるほど。では、そこでMITRE ATT&CKのフレームワークをうまく活⽤して守るための防御機能を提供していると。

はい。「T1059」などの表⽰が出ますので、こうした振る舞いが社内でどれだけ起こっているかを確認できます。⻘い丸なら、まだ社内ではまだ普及していないけど、悪⽤されて裏⼝になる可能性があるから、もう閉じておきませんかと推奨対応を提案してくれます。このように情報を利⽤して改善策につなげることも可能です。

では、SESEではサイバー攻撃は防御できないのでしょうか？

SESEもエンドポイント保護プラットフォームですので、多層防御がしっかり⾏われています。基本的なマルウェアの検知などいろいろな保護機能がありますが、特にご紹介したいのがIPS機能です。

図は攻撃の流れをアイコンで表⽰したものですが、⼀定の攻撃段階から、端末がC2サーバーと呼ばれる外部のサーバーと通信を⾏うようになります。この通信の到達前に停⽌できれば、これ以上の攻撃は進まないことになりますよね。そのためには、外部から来る通信のパケット⾃体を監視することが⼤事です。これにより、攻撃の着弾前に検出して⽌められるのがシマンテックのネットワーク型IPSです。

ネットワーク型ということは、他の種類のIPSもあるのでしょうか？

はい。たとえばホスト型IPSがあります。実際に攻撃をされて、通信を受け取った後にPC内のレジストリを変更されたとか、システムファイルに何を追加されたとか、そういった攻撃を起因として検知する種類のものをホスト型IPSと⾔います。

では、ホスト型だと少しやられながら検知する、ということですね。それなら絶対ネットワーク型のIPSのほうがいいですね。

同感です。ネットワーク型のIPSなら着弾前に⽌めるため、インシデントとしてもカウントされないのもいいところですね。

EDRだと、結構アラート疲れもありますから、アラートにも上がらないのはいいですね。シマンテックだと、IPSでも守ってくれるし、SESCならAdaptive Protectionでも守ってくれるし、というところですね。

はい。この2製品については、攻撃を⽌めるというところと、攻撃される可能性を低くするという観点でお選びいただけるとよいかと思います。