標的型攻撃対策で注目のデジタルフォレンジック、効果を最大化する先進技術とは

執拗さを増している近年の標的型攻撃への対抗策は、マルウェアへの感染が防げないことを前提に、その被害を最小化する手法に重点が移っている。中でも脚光が当たっているのは、電子的記録を解析し、その事象に関わる証拠を抽出して対策を打つ「デジタルフォレンジック」である。これまではデータ収集と専門家による分析に時間がかかり、十分な効果が発揮できないという課題を抱えていた。これら問題を解決できる先進技術を紹介した上で、ビジネスの現場に導入することの価値を解説する。

感染後の対応を大きく左右する内部調査のスピード

ターゲットとなる組織を定め、組織内部のPCを踏み台にして執拗に攻撃を仕掛ける「標的型攻撃」が、セキュリティ上の大きな問題になっている。最近ではデータを暗号化して使用不能にした上で身代金を要求する、「WannaCry」に代表されるランサムウェアの被害が拡大するなど、攻撃手法も高度化し続けている。

従来のように、マルウェアを水際で防いで内部ネットワークに入れない、PCのエンドポイントセキュリティでマルウェアの感染を防ぐ、といったアプローチでの対応は難しくなってきた。マルウェアの亜種は想像を絶するスピードで増え続けており、マルウェア発見のためのシグネチャが公開される前に、侵入されてしまう危険性が高まっているからだ。

これからのサイバー攻撃への対応は「感染することを前提に」する必要がある。そのための手法として注目されているのが「デジタルフォレンジック」である。

これはセキュリティ上のインシデントやサイバー犯罪が発生した際に、PCやサーバなどの記録媒体に残された電子的記録を解析し、その事象に関わる証拠を抽出するというアプローチである。標的型攻撃が発覚した時点でデジタルフォレンジックを適切に実施して感染範囲を特定すれば、それ以上の感染拡大の防止や、攻撃目的(機密情報の不正入手やデータ暗号化による脅迫など)が遂行される前に対処する、といったことが可能になる。

ここで重要なのがスピードである。攻撃発覚のタイミングからどれだけの時間で調査が完了するかによって、その効果は大きく左右されてしまう。

現在の一般的なデジタルフォレンジックは、ハードディスク(HD)からのデータ収集と専門家によるデータ分析を、感染が疑われる全てのPCやサーバに実施する必要があり、非常に長い時間を要してしまっていた。感染範囲の把握までに数週間から数カ月かかることも珍しくない。その間に、感染がさらに拡大し、被害が大きくなってしまうのだ。

しかし、この問題を根本から解決できる技術が既に登場している。それはどのようなものなのか。以下で紹介していこう。

攻撃状況を迅速に可視化できる高速フォレンジック

その技術とは、富士通研究所が開発した「高速フォレンジック」である。ネットワーク機器のミラーポートにデータ収集用のサーバを接続し、ここから必要な情報を収集するというものだ。これならHDからデータを集める必要がなく、システム構成や運用方法を大きく変えることなく導入できるというメリットもある。

通信データを収集・分析してセキュリティ対策に活かすというアプローチは、決して新しいものではない。既にこのようなソリューションは提供されており、米国政府機関では通信パケットのフルキャプチャーを実施している。

しかし、全パケットの収集・分析はデータ量が多すぎるため、一般的な企業では現実的なアプローチとは言い難い。まるで砂漠の中から砂金を探すようなものであり、徒労に終わる危険性が高いのだ。

富士通研究所 セキュリティ研究所所長の武仲 正彦は「富士通の高速フォレンジックには、通信のフルキャプチャーとは異なる二つの特長があります」と語る。第1は、パケットからWindowsの遠隔操作コマンドを再編成し、収集・蓄積している点だという。「実行された操作コマンドはユーザー情報とひも付けされて記録されます。そのため『誰がいつどのような遠隔操作をしたのか』を迅速に特定できます」。

第2は、標的型サイバー攻撃に特有の動作(攻撃属性)を定義し、それを元に遠隔操作の証跡から「攻撃の可能性の高い通信」を識別できる点だ。さらに、識別された攻撃属性を自動的に連結し、「攻撃シナリオ」を抽出することで、攻撃の進行状況も可視化できる。どのPCを起点にし、どのように感染が拡大していったのかを、一目瞭然な形で提示できるのである(図1)。

なお、これら二つの特長は、富士通研究所が開発した独自技術で実現できており、現在特許出願中だという。

図1:富士通研究所が開発した「高速フォレンジック」の二つの特長。(1)通信をフルキャプチャーするのではなく遠隔操作コマンドを再編成し、ユーザー情報にひも付けた状態で証跡ログを保存。(2)この証跡から攻撃属性にもとづく攻撃シナリオ抽出を行い、攻撃進行状況を可視化する。図1:富士通研究所が開発した「高速フォレンジック」の二つの特長。
(1)通信をフルキャプチャーするのではなく遠隔操作コマンドを再編成し、ユーザー情報にひも付けた状態で証跡ログを保存。
(2)この証跡から攻撃属性にもとづく攻撃シナリオ抽出を行い、攻撃進行状況を可視化する。

続きは、こちらからお読みいただけます

標的型攻撃対策で注目のデジタルフォレンジック、効果を最大化する先進技術とは

概要

  • 感染後の対応を大きく左右する内部調査のスピード
  • 攻撃状況を迅速に可視化できる高速フォレンジック
  • 5年の研究を経て実用化、2017年7月には正式提供も
  • WannaCry感染のケースでは被害の低減が可能

ページの先頭へ