ニュース

Windows XPサポート終了で遠隔操作ツールも世代交代、紛れ込む手口が巧妙に

 “標的型攻撃”で企業・組織のネットワークに侵入し、内部データの収集・外部送信などを行う遠隔操作ツール(RAT)が世代交代し、自身の存在を隠す手口がより巧妙になっているという。トレンドマイクロ株式会社が4月にとりまとめた「国内標的型サイバー攻撃分析レポート 2015年版」で、“気付けない攻撃”の高度化が進んでいることを指摘している。標的型メールに添付される文書ファイルとして、一太郎のゼロデイ脆弱性を突く手口の割合が増加しているほか、Microsoft Officeの不正マクロが復活の兆しを見せていることも報告している。

遠隔操作ツール最多は、2014年に登場したばかりの「EMDIVI」

 2014年1月~12月にトレンドマイクロの国内法人ユーザーから解析依頼のあったRATの検体から100件を無作為抽出して調査したところ、RATのファミリー別内訳は、「EMDIVI」が35%、「PLUGX」が32%、「POISON(Poison Ivy)」が9%、その他が24%だった。

 EMDIVIは2014年に登場したばかりのファミリーだが、いきなり最多となった。また、2013年に登場したPLUGXも、2013年1月~12月の前回調査時の21%から増加している。一方で、前回調査時には23%で最多だったPOISONは減少しており、RATの世代交代が一気に進んだとしている。

 トレンドマイクロによると、POISONは2010年ごろから存在している古いRATで、Windows 7以降のOSへの対応で修正が必要な場合もあるのだという。2014年4月のWindows XPサポート終了により、標的組織内のOS環境の変化に対応するかたちで、攻撃者も新種のRATに移行してきたものとみている。

遠隔操作はウェルノウンポートの標準プロトコルを使用、正規通信に紛れ込む

 これら新種のRATは、指令元となるC&Cサーバーからのダウンロード/アップロード、任意のWindowsコマンドの実行など、遠隔操作可能な基本的な内容はこれまでのRATと同じだが、PLUGXやEMDIVIはC&Cサーバーとの通信に一般的なHTTPを用いる点で異なる。「正規の通信の中に自身の通信を紛れ込ませ、ネットワーク上の挙動監視の目を免れるための手口と言える」としている。これに対し、「以前のPOISONは独自プロトコルを使用しており、その通信は特徴的で特定しやすいものだった」。

 特にEMDIVIでは、2014年5月に登場した当初はHTTPのPOSTメソッドにより遠隔操作内容をBASE64形式で通信していたが、8月ごろに確認されたバージョンからは、通信内容を独自暗号化した通信、HTTPのGETメソッドやHEADメソッドを使用した通信、取得したCookie内に遠隔操作コマンドが含まれているパターンなども確認されているという。

(「国内標的型サイバー攻撃分析レポート 2015年版」より)

 このほか、EMDIVIを使う攻撃者の特徴として、C&Cサーバーを日本国内の正規サイトに設置する手口も確認。国内のレンタルサーバーで運用されているウェブサイトを改ざんしてC&Cサーバーとして使用するというもので、管理やセキュリティ対策が行き届いていない中小企業や個人のサイトが悪用される。

 そうしたサイトでは改ざんに気付かれずにC&Cサーバーを運用し続けられるほか、標的組織内に侵入することに成功したRATの通信先として怪しまれないことも理由にあると考えられる。すなわち、RATとC&Cサーバーとの不審な通信を検知するのに、組織内の端末が普段は通信しない海外サーバーとの接続に着目して監視する方法があるが、これをくつがえすのが攻撃者の狙いというわけだ。

 RATの検体の通信先となっているC&Cサーバーを特定できた82件について、IPアドレスをもとに設置国を割り出したところ、最も多かったのは日本の44%で、米国の18%、香港の15%を上回った。2013年の調査では、米国が40%で最多で、次いで香港の15%で、日本はこれに次ぐ6%だった。国内の割合が7倍以上に増えたことになる。

(トレンドマイクロのプレスリリースより)

 C&Cサーバーとの通信の傾向は、RATの検体が使用していた156のポート(複数ポートを使用する場合は重複してカウント)を解析した結果の統計データにも出ている。HTTP 80番ポートが69%、HTTPS 443番ポートが19%、DNS 53番ポートが4%、SMTP 25番ポートが1%で、残り7%がハイポートだった。ウェルノウンポート(TCP/IPの主要プロトコルで使用されている1023番以下のポートのこと)が93%を占めており、また、HTTPとHTTPSだけで88%に上る。

 また、ウェルノウンポートを使用するRATの通信のうち、そのポート標準のプロトコルを使用しているものが84%に上り、独自プロトコルや53番ポート上でのHTTPプロトコルなど、ウェルノウンポートで定義とは異なるプロトコルが使用されているのは16%にとどまった。2013年の調査で標準プロトコルではないものが63%を占めていたのと比較して大きな変化だとしている。

 こうした状況についてトレンドマイクロでは、「攻撃者が発覚を避けるために正規通信に自身を通信を紛れ込ませる、より巧妙な手段を使用してきたことを示している」と指摘。もはやファイアウォールでのポートの開閉では対処できず、また、通信ポートと使用プロトコルの関係に着目して監視する次世代ファイアウォールもすり抜けるとしている。

(「国内標的型サイバー攻撃分析レポート 2015年版」より)

 このほか、RATが自身の存在を隠す手口として「DLLプリロード」あるいは「バイナリプランティング」という実行手法が広がっていることも紹介。この手法はPLUGXを中心に使用されており、今回の検体の16%において、最終的にRATがDLLを使用していたという。2013年調査の7%から増加した。

 DLLプリロードとは、正規ソフトのカレントディレクトリにRATのDLLファイルを置いておくことで、正規ソフトの起動時にそのDLLも読み込まれて実行されるようにする手口。表面上は正規ソフトのプロセスが実行されているだけのように見えるため、RATが実行されていることに気付きにくくなるという。

ファイル転送→リモート実行→痕跡削除というシナリオから攻撃を可視化

 正規の通信に紛れ込んで怪しまれないようにするという手法は、標的組織のLAN内におけるネットワーク内探索や情報窃取を行う内部活動の段階でも見られる。

 トレンドマイクロは2013年版の同レポートで、攻撃者がOSの標準ツールや正規ツール、正規コマンドを用いて内部活動を行っているという「正規の通信の中に自身の活動を紛れ込ませて隠ぺいする実態」を報告していた。

 攻撃者はLAN内で、侵入する環境へ内部活動ツールを「ファイル転送」によってコピーし、そのツールを「リモート実行」、その後、ファイル転送やリモート実行の際に作成されたイベントログやファイルの「痕跡削除」という操作を行うが、こうした標準・正規のツール/コマンドを用いて行うことで、標的組織側によるセキュリティ対策で可視化されにくくなるということだ。こうした操作は組織内の正規利用者や管理者によって行われている可能性があるため、それら個々の操作を検知したとしても、ノイズ化しやすいためだ(なお、2013年の調査では、これら一連の活動が速いものでは10分以内に完結していたという)。

 そこでトレンドマイクロでは、それぞれ単体の操作ではなく、ファイル転送→リモート実行→痕跡削除という攻撃シナリオ(挙動の相関)によって攻撃者の内部活動を可視化できると説明。2014年の統計データからも、このシナリオ化に基づいた監視が対策として有効であることが実証されたとしている。

 トレンドマイクロが2014年1月~12月にネットワーク挙動監視を行った100ケースのうち、「ファイル転送」「リモート実行」「痕跡削除」という内部活動のいずれも確認されなかったケース11件では、RATは発見されなかった。

 次に、「ファイル転送」のみが確認されたケースは58件あったが、このうちRATが発見されたのは6件(10%)にとどまった。

 一方、3つの活動のうち複数が確認されたケースは合計31件で、そのすべてでRATが発見されたとしている。具体的には、「ファイル転送」と「リモート実行」が確認されたケースが25件、「ファイル転送」と「痕跡削除」が確認されたケースが1件、「ファイル転送」「リモート実行」「痕跡削除」のすべてが確認されたケースが5件。

(「国内標的型サイバー攻撃分析レポート 2015年版」より)

 社内システムへのログインエラー回数による攻撃の可視化についても言及している。これは「ファイル転送」「リモート実行」「痕跡削除」というシナリオの前段階にあたるもので、管理者権限を奪取するためにサーバーのAdministratorアカウントへリモートログインする際に、ブルートフォース攻撃または辞書攻撃によるログイン試行で大量の失敗が発生することに着目したものだ。

 もちろん、ログインエラーは正規管理者のパスワード誤入力やパスワード忘れ、設定間違いなど、攻撃ではない場合でも発生するため、有無だけではノイズ化されやすいが、「異常値」に着目して対応することが効果的だとしている。

 トレンドマイクロが2014年1月~12月にネットワーク挙動監視を行った100ケースのうち、社内システムのログインエラーが1カ月に500件以上発生したケースが21件あったが、そのうち19件(90.5%)でRATが発見された(1000件以上に限れば、19件中19件で100%)。

 一方、100件以上500件未満は16件で、RATが見つかったのは8件(50.0%)、100件未満は63件で、RATが見つかったのは12件(19.0%)だった。

 「管理者権限の奪取はブルートフォースによるログイン試行だけではないため、リモートログインの複数回失敗が確認されていなければ必ず安全、というわけではない」が、ログインエラーが多い事例ほどRATの発見率が高いと指摘している。

(トレンドマイクロのプレスリリースより)

 内部活動の挙動の監視についてはこのほか、通信が行われた時間帯に着目する手法もある。トレンドマイクロによれば、正規の業務で操作が行われるはずのない時間帯に挙動が発生していたことを検知したのを端緒として、標的型攻撃を受けていたことが発覚した国内企業の事例もあるとしている。

標的型メールの添付ファイル、71%が文書ファイルまたは文書ファイルに偽装

 ところで、標的型攻撃においてRATなどの不正プログラムはそもそも、どのようにして標的の企業・組織に侵入するのか?

 2014年には国内の標的型攻撃において初めて、正規ソフトのアップデート機能を悪用した手口(1月の動画再生ソフト「GOM Player」の事例、8月のテキストエディタ「EmEditor」の事例)が確認されたほか、2013年に初めて確認された“水飲み場型攻撃”による侵入の事例が2014年にも確認されているという。水飲み場型攻撃とは、標的とする企業・組織の従業員・職員がよく利用するウェブサイトを改ざんして待ち構えておき、実際に閲覧に来た際に不正プログラムを感染させる手口のことだ。

 しかしながら、レポートでは「正規ソフトの侵害にせよ、水飲み場型攻撃にせよ、実施までに調査を含めた周到な準備が必要であるため、大幅に事例数が増加することはないものと考えている。実際に発覚した攻撃の数から推定しても、侵入方法の中心は以前として“標的型メール”であるものと言える」としている。

 トレンドマイクロが2014年1月~12月に確認した標的型メールの添付ファイルから無作為に抽出した100件のファイルの内訳は、実行ファイルが69件(EXEが52件、DLLが9件、MSILが8件)、文書ファイルが27件(一太郎が15件、Microsoft Officeが12件)、その他が4件で、実行ファイルが多くを占めた。

 ただし、実行ファイルではあるものの、ファイル名やアイコンの偽装により文書ファイルと誤解させる手口という観点で分類すると、44件がこれに該当するという(このうち、ファイル実行後にダミー文書ファイルを開いて不信感を抱かせないようにしていた手口も35件あった)。

 文書ファイルの27件と、文書ファイルを偽装した実行ファイルの44件を合わせると、71件(全体の71%)が何らかの形で文書ファイルを利用した手口ということになる。「電子メールの添付ファイルとして、一般的に文書ファイルの方が実行ファイルよりも警戒心は薄く、受信者が開く可能性が高くなると考えられる」ことから、文書ファイルが狙われているというわけだ。

(「国内標的型サイバー攻撃分析レポート 2015年版」より)

 文書ファイルにおいては、一太郎ファイルが15件で、Officeの12件を上回っているが、これは2014年11月に確認された一太郎のゼロデイ攻撃が影響しているという。「日本を狙う標的型攻撃の中で、一太郎の脆弱性を狙う動きはすでに常套手段化していると言える」。

 一方、これまでの標的型攻撃で使われる文書ファイルはほとんどが脆弱性を突くものだったが、Office文書ファイルについては12月に入って、マクロ型不正プログラムという“新たな傾向”が見られた。Officeの不正マクロは1990年代後半に特に流行した手口だが、現在のOfficeではマクロ機能がデフォルト設定で無効になっており、そうした環境では文書ファイルを開いただけでは不正マクロコードが実行されることはない。

 しかし、「マクロ型不正プログラムが全く時代遅れであるとは言えない」とトレンドマイクロでは指摘。標的型メールの本文で受信者をだましてマクロ機能を有効化させる手口が確認されているほか、標的企業・組織の業務でマクロを使用していることを見越した攻撃であることも考えられるという。「2014年1年間の観点では大きな影響は表れていないが、2015年以降も不正マクロを利用する傾向は続くものと考えられる」。

(永沢 茂)