もっと知りたいセキュリティのこと

TOUCH THE SECURITY

TOUCH THE SECURITY vol.03

サイバーキルチェーン ~標的型攻撃とアタッカーの活動を知る~

セキュリティサービスグループ編集部

サイバーキルチェーン ~標的型攻撃とアタッカーの活動を知る~

特定の団体や人物をターゲットとして、巧妙な仕掛けの下に機密情報の持ち出しや破壊活動を試みる「標的型攻撃」。現在、情報システムにおける最も大きな脅威の一つです。この標的型攻撃、アタッカーはどのようなフローを経て、彼らのミッションを遂行するのでしょうか。例えば「何者かがシステムにマルウェアを放ち、大量の機密情報を抜き出す」という行為。これは偵察から活動痕跡の消去に至るまでの、幾つもの連続する動作によって成り立つはずです。

「敵を知り己を知れば百戦危うからず」とは孫子の言葉ですが、今回は標的型攻撃における一連のフローを解説しつつ、攻撃者の活動イメージについて考察してみましょう。

サイバーキルチェーン 標的型攻撃のフローはモデル化されている

「サイバーキルチェーン」という言葉をご存知でしょうか。これはアメリカの宇宙船・航空機製造会社「ロッキードマーチン」が、標的型攻撃における一連の行為を以下のフローとしてモデル化、提示したものです。

サイバーキルチェーン

Reconnaissance(偵察) ターゲットの抱えるセキュリティホールに対する諜報活動。
Weaponization(武器化) 洗い出されたセキュリティホールを基に、攻撃コードや配布するマルウェアを作成。
Delivery(配送) メールや不正なサイトを媒介して、攻撃コードやマルウェアをターゲットに送り込む。
Exploitation(攻撃) ユーザーは意図せず攻撃コードを実行させる。
Installation(インストール) 攻撃コードの実行などをトリガーに、システム内にマルウェアがインストールされる。
Command and Control(遠隔制御) 潜伏するマルウェアに対する遠隔操作。
Actions on Objectives(目的の達成) 遠隔操作によって、目的の行動を達成。

必ずしもフローの流れに沿わない事例もあるかと思われますが、先ずは基本的な流れとして理解頂ければと思います。例えば、多くの方は標的型攻撃という言葉より「メールの添付ファイルを開いてしまう」という動作を想起されるかもしれません。これはサイバーキルチェーンに照らしわせた場合、「Exploitation(攻撃)」に相当する動作となります。こちらについては次章で更に触れて行きます。

標的型攻撃とアタッカーの活動

ばら撒き型の攻撃と異なり、標的型攻撃の大きな特徴はアタッカーの意図(機密情報の搾取、破壊・妨害活動など)がより明確である点です。愉快犯的な要素も含まれる前者に対して、後者は大きな犯罪組織や国家レベルの関与とされる事案も多く、その攻撃プロセスもより巧妙、且つ執拗であるとされます。更には攻撃に関するアンダーグラウンドな市場が存在する背景等も意識しながら、サイバーキルチェーンのそれぞれのフェーズを詳しく見て行きましょう。

◆Reconnaissance(偵察)

アタッカーがターゲットの組織に関する偵察活動を行うフェーズです。以下の様な活動を通じて、侵入の糸口を探るものです。

(例)
  • インターネット上に公開された情報へのアクセス(組織図や社員情報、メールアドレス、SNSでの会話、Git上でオープンアクセスとなっているファイル、HTMLソースのコメントなど)
  • ターゲットに対する接触(スキャン行為や、フィッシングメールの送付など)
  • ソーシャルエンジニアリングの手法を介する情報の持ち出し

例えばアタッカーの目的が特定の機密情報にあると仮定する場合、これにアクセス権限を与えられる可能性の高いユーザーの情報、あるいはそのユーザーと接触の可能性のある別ユーザーの情報といった具合に、アタッカーが価値を見出していく事は想像に難くありません。

◆Weaponization(武器化)

偵察行為で得られた情報を基に、アタッカーがターゲットへ届ける攻撃要素を準備するフェーズ。侵入シナリオに基づき、マルウェア(実行ファイルや不正なドキュメントなど)や攻撃コードなどを生成します。

◆Delivery(配送)

アタッカーの作成した攻撃要素が、何らかの手段を介してターゲットへ届けられるフェーズ。代表的な手口であるメールへの添付をはじめ、不正なサイトへの誘導、あるいはターゲット組織のユーザーが日ごろ利用するサイトに罠を作って待ち構える(水飲み場攻撃)など、Webブラウザを介する引き渡しの手口も存在します。

◆Exploitation(攻撃)

ターゲットへ届けられた攻撃要素がトリガーされるフェーズ。冒頭でも述べたメール添付のファイルの実行、あるいはターゲットの脆弱性(ブラウザやJava、Adobe Flashといった拡張機能など)をつくドキュメントやコードの仕込まれた罠サイトへのアクセス、といったアクションが次フェーズに繋がって行きます。

◆Installation(インストール)

前段のアクションによりインストールされたマルウェア(ドロッパー)により、内包していたRAT(Remote Access Tool)と呼ばれる遠隔操作用のマルウェアを展開、またはアタッカーの用意するサーバよりこれをダウンロードするなど、ケースによっては様々なマルウェアがインストールされて行きます。

◆Command and Control(遠隔制御)

アタッカーの用意するC&Cサーバを通じてRATへ遠隔制御を行い、ネットワーク内の偵察や勢力の拡大、権限の昇格など、目的の遂行に向けた活動を繰り返していきます。

◆Actions on Objectives(目的の達成)

潜伏活動の結果、ターゲットに対する最終的な目的を達成します。目的の達成後、自身の活動痕跡に対するハウスキーピングが図られる場合もあります。

以上簡素ではありますが、サイバーキルチェーンというモデルを基に、標的型攻撃に関する大きな流れを解説しました。「不審なメールの受信」「添付ファイルの開封」といった象徴的な動作の前後にも、更なるアタッカーの恣意的な行動が、いくつも存在する事がお分かり頂けたのではないでしょうか。

セキュリティエンジニアとして ~攻撃者の視点に立ち、プロアクティブな発想を~

1. 筆者の業務「脆弱性診断」とサイバーキルチェーン

筆者の主な業務は、Webアプリケーションやネットワーク基盤に対する「脆弱性診断」です。セキュリティホールの調査という行為の特質上、サイバーキルチェーンにおける「Reconnaissance(偵察)」及び「Weaponization(武器化)」に対して、アタッカーの行為と親和性の高い業務となります。よってサイバーキルチェーンの全てのフェーズに対して、脅威や可能性を追求する事はできません。しかし、アタッカーが「Reconnaissance(偵察)」で得られるターゲットの情報のうち、これがパブリックへ開示された要素であった場合、ここに意図せぬ内容や示唆的な情報が含まれていないかを判断するのは診断士の業務です。また「Weaponization(武器化)」で描くシナリオは、正に我々が日々追い求める「脆弱性」の悪用の積み重ねでもあります。

(例)SQLインジェクションを発見したが、クライアントのシステムが個人情報を持っていない為、影響度は少ないと判断 → 抜かれる情報はなくても、SQLインジェクションを介してマルウェアを埋め込まれていたらどうなのか?

上記の例のように、「大丈夫だろう」と考えてしまうことが診断士にとって最初のミスに繋がりかねない、その先には最大のリスクに繋がりかねないという部分を日々考えながら診断することが大切になってきます。

2. まとめ「敵を知り己を知れば百戦危うからず」

冒頭に挙げた孫子の言葉「敵を知り己を知れば百戦危うからず」は、セキュリティエンジニアにおける基本になると考えられます。システムの不具合や異変を単体でみると軽微と思いがちですが、アタッカーがどのようなトリガーで攻撃を仕掛けてくるのか、全ての面において「脆弱性に繋がるのではないか?」と疑問を持つ事が、被害を最小に抑える取組みへと繋がるはずです。