ニュース

ランサムウェアやMiraiなど、セキュリティの最新動向をISPが解説

「IIJ Technical WEEK 2016」3日目レポート

 株式会社インターネットイニシアティブ(IIJ)は11月9日~11日に、毎年恒例のITエンジニアを対象とした技術イベント「IIJ Technical WEEK 2016」を開催した。1日目がクラウド、2日目がネットワーク、3日目がセキュリティと日ごとにテーマが決められ、各日の定員は160名。

 イベントの司会をしていた堂前清隆氏(広報部 課長・技術広報担当)によると、毎年セキュリティのセッションが人気であり、また同社でセキュリティ事業ブランド「wizSafe」を開始したこともあって、今年はセキュリティ専門の日を設けたという。

 ここでは、そのセキュリティについてのセッションの模様をレポートする。

セミナーの様子

今年のトピックとしてランサムウェアとMiraiを解説

 セキュリティ本部長の齋藤衛氏によるセッションは、毎年のIIJ Technical WEEKで1年の動向をまとめる恒例のセッションとして、多くの来場者を集めている。今年の「セキュリティ動向2016」は少し趣向を変えて、特に猛威をふるっている「ランサムウェア」と「Mirai bot」の話題を重点的に解説した。

セキュリティ本部長の齋藤衛氏

 1つめのテーマはランサムウェアだ。ランサムウェアは、ディスクを暗号化して利用者がアクセスできないようにし、データの復旧に金銭を要求する金銭目的のマルウェア。実は2005年頃から現れており、最近ではランサムウェア開発者が拡散者にマルウェアを販売し、支払われた身代金の一部を受け取るアフィリエイト(ransomware-as-a-service)ビジネスモデルで広まっているという。

 齋藤氏はこの1年に国内で話題になったランサムウェアとして、vvvウイルス(TeslaCrypt2.2)を紹介した。2ちゃんねるまとめサイトの広告経由で感染が広まったものだ。また、海外での深刻な事態として、米LAの病院Hollywood Presbyterian Medical Centerの事例も紹介された。レントゲン写真やCTスキャンデータ、検査結果といった医療記録にアクセスできないという危険な状態に陥り、この事例では身代金を払って復旧したという。

 IIJはセキュリティソフトベンダーではないが、マルウェアの活動を通信で止めることを目的として、その挙動を解析しているという。その解析などからわかったランサムウェアの動作について、齋藤氏は解説した。

 ランサムウェアはディスクのファイルを暗号化してしまう。このとき、ファイルやサイズに応じて相応の時間がかかるという。ものによってはネットワークドライブのファイルも暗号化したり、VSS(Volume Shadow Copy Service)を削除したりする。さらに、外部と通信しないと暗号化できないものと、単独で動作するものがあるという。

 例としてTeslaCrypt2.2を見ると、マルウェアをコントロールしているC&Cサーバーは一度に1つのサーバーが使われる、その所在は2~3日ごとに変化するぐらいで、それほど分散していないという。「これがTeslaCrypt2.2対策のポイントになるかもしれない」と齋藤氏はコメントした。

 また、TeslaCrypt2.2はオフラインの状態でも暗号化するタイプだ。オフラインの状態では鍵はローカルに置かれており、“お試しでファイルの復号が1つ可能”というメッセージにしたがって暗号化されたファイルをアップロードしてしまうと、そのときに鍵がアップロードされるのだという。

 “嫌な進化形”としては、ディスクのMBRを暗号化して起動できなくしてしまうPETYAや、スマートTVに感染するJigsawなども紹介された。このようにランサムウェアはそれぞれ特徴があり、それぞれごとの対策が必要になると齋藤氏は説明した。

 ランサムウェアへの対策は「決め手はバックアップしかない」とのこと。ネットワークドライブも暗号化してしまうランサムウェアに備えて、バックアップの「3-2-1ルール」(3重化し、2種類のメディアに保存し、1つはオフサイトに保管)が紹介された。

 また、最初に説明したとおり暗号化処理は時間がかかることから、ファイルアクセスの異常検知で早期発見できるかもしれないと可能性を示唆した。そのほか、しばしば議論になる点として「身代金は払わないほうが良いのかどうか」が取り上げられた。復号を依頼してかえって狙われてしまうことや、ランサムウェアによっては自力で復元できる場合もある一方で、身代金を払ってでもファイルの内容を取り返さなければならないケースもあるということを考慮して、「『身代金を払うのは最後の手段にしてください』と話している」と齋藤氏は語った。

ランサムウェアの概要。アフィリエイト(ransomware-as-a-service)ビジネスモデルで広まっているという
TeslaCrypt2.2の解析結果。オフラインでも暗号化し、復号させるふりをして鍵をサーバーに送る
MBRを上書きして起動を阻害する「PETYA」と、スマートTVに感染する「Jigsaw」
ランサムウェア対策。「決め手はバックアップしかない」とのこと

 後半では、Mirai BotによるDDoS攻撃について解説がなされた。Miraiは防犯カメラなどIoTデバイスに感染するマルウェアで、Amazon.comやTwitter、Netflixなど大手サイトが利用しているDNSサービス「Dyn」をダウンさせる事件も起こしている。

 近年発生している大規模な攻撃は、DrDoS(Distributed reflection Denial of Service)と呼ばれる、増幅攻撃によるDDoSだ。DrDoSはホームルーターのパスワードが盗まれるなどの方法によることが多い。国内ではISPやメーカーのプロモーションの結果、脆弱なホームルーターは減少傾向にあるというが、国外ではまだ多く残っているという。なお、DrDoSの最大事例は、2016年1月のBBCに対する605Gbpsの攻撃だという。

 一方、今年になって新たに登場したのが、IoTボットと呼ばれるMiraiだ。Miraiは、リオ五輪関連サイトへの攻撃の頃から活動が観測されており、540GbpsのDDoSはIoTボットによるものだったという。齋藤氏は「その当時は、珍しいことを言おうとして『IoT』と言っているのだと思っていた」と、甘く見ていたことを告白した。

 Miraiがセキュリティ専門家に注目されたのが、9月にセキュリティ専門家Brian Krebs氏のブログ「Krebs on security」が620Gbpsの攻撃を受けた事件だった。このときは、Akamaiが無償で提供していたDDoS対策サービスも匙を投げ、Googleのサービスに移行したことも話題となった。その直後にはフランスのホスティング事業者OVHに、1Tbpsを越える攻撃が発生した。150,000台のIoT装置によるものだったという。

 9月30日には、Miraiのソースが公開され、誰でも使える状態になった。「われわれも解析できる状態になった」と齋藤氏。

 そして10月21日には、Dynに1.2Tbpsの攻撃がなされた。なお、この数字はDyn自身の発表によるものではない。「Brian Krebs氏とDynの研究者が共同でDDoS攻撃を行っている者を調査していたため、その報復で攻撃されたという説もある」(齋藤氏)。

 続いて齋藤氏は、ソースコードを分析したMiraiの動作を解説した。Miraiは感染すると、ランダムなIPアドレス(ただし米国防総省など一部は除外)のTCP 23番ポート(10回に1回は2323ポート)をスキャンして感染先を探す。その結果をScan Receiverに報告し、そこからLoader(感染サーバー)に指示して感染活動をする。感染にあたっては、/bin/echo のバイナリ解析によりCPUアーキテクチャを判別するといった動作もするという。Miraiの各システム間の通信は平文で行なわれており、セキュリティ装置でも検知可能なもので、「学生がサンプルで作ってみた、ぐらいの印象」と齋藤氏はコメントした。

 感染対象の機器としては、Mirai botが持っている認証情報とCPUアーキテクチャーに適合する組込Linuxには感染するという。「パスワードが変更されていない機器は、ごろごろしている。影響を受ける製品の一覧が欲しい」(齋藤氏)。

 ISPでMirai botを退治するための問題として、齋藤氏は「感染の可能性のある機器の母集団がつかみにくい」ことと、感染後にMiraiが感染ポートを閉じるため「感染全容がつかみにくい」ことを指摘。さらに、IoT BotからのDDoS攻撃は正常な通信と区別がつけにくく制御しにくいという議論があることや、「IoT機器」が広範であるためサポートしにくいこと、例えば、IoT機器にはアンチウイルスソフトがなく、通常のPCと同様の対処作業を行うことが難しいことなどを挙げた。

 さらに、通信事業者としては法的にとれる手法が限られ、URLフィルタについては事前同意の検討が必要なこと、DNSフィルタについては他社のDNSサーバー(8.8.8.8など)への通信を奪っていいかという議論があることなどを紹介した。

 齋藤氏は最後に、ISPとして一般ユーザーへの啓発活動や1TbpsクラスのDDoS対策をするのは前提として、「過激なIoTBot対策の検討をしておいた方がよいかもしれない」と議論を投げかけた。具体的には、スキャンのためにTELNETログインを試みてよいか、C&Cサーバーへの通信を傍受・分析・遮断してよいか、他社のDNSサーバーへの通信を傍受・分析・遮断してよいか、IoT機器全般への通信規制が必要か、などの論点を提示してセッションを終えた。

Miraiによる攻撃
Miraiの感染状況の推移
ソースコードから解析したMiraiの動作(1)
ソースコードから解析したMiraiの動作(2)
ソースコードから解析したMiraiの動作(3)
Miraiへの対策。「過激なIoTBot対策の検討をしておいた方がよいかもしれない」

Windowsの機能でマルウェアの痕跡を追う監査の設定

 六田佳祐氏(セキュリティ本部 セキュリティビジネス推進部 セキュリティオペレーションセンター アナリスト)のセッション「Windowsにおけるマルウェアの痕跡確認と防護手法のご紹介」では、Windowsの機能でマルウェアの痕跡を追えるようにする監査の設定や、マルウェアに悪用されうる機能を実行できないようにしておく設定を解説した。

セキュリティ本部 セキュリティビジネス推進部 セキュリティオペレーションセンター アナリストの六田佳祐氏

 冒頭で六田氏は、セキュリティに「絶対」はないこと、発表時点の情報であってトレンドは常時変化してくことについて断りを入れた。

 六田氏はまず、マルウェアの最近の事例として、米国セキュリティ情報サイトへの1TbpsのDDos攻撃や、JTB社の標的型攻撃による情報流出、米国ロサンゼルスの病院においてランサムウェアにより電子カルテなどが暗号化された事件を紹介した。

 その中でもメールからの標的型攻撃の流れを紹介。攻撃のポイントとしては、Fromアドレスが簡単に偽装できることや、本文もきちんと社内メールに見える内容だったこと、添付ファイルも一見すると正しいファイルに見えたこと(見えづらい位置に本当の拡張子があった)、乗っ取られて正規ユーザーの権限でファイルサーバーにアクセスしていたことが挙げられた。

 そして、ウイルス対策ソフトやパーソナルファイアウォール、ソフトウェアの更新などの対策について、一定の効果があるが絶対に感染しないということはないと語り、感染した場合に「何が起こったのか」を把握できるようにする必要があると述べた。

 では、マルウェアの痕跡をどう確認するか。六田氏は「マルウェアに限らず、アプリケーションを実行すると痕跡が残る」として、Windowsの標準機能である程度まで確認する方法を紹介した。これらは、初期設定のままではなく設定が必要だ。

 具体的には、Windowsのイベントログで動作を記録する方法で、これにより、マルウェアによるファイルやレジストリ、ネットワークへのアクセスや、マルウェアの実行などの証跡を取得する。

 まず、NTFSに備わったファイルアクセスの監査機能だ。これは、ファイルのSACLと、監査ポリシーの2つを設定することで、イベントログの「セキュリティ」ログにアクセスログが記録されるようになる。

 レジストリの監査も同様に、レジストリエディタでSACLを設定し、「オブジェクトアクセスの監査」を設定することで、記録されるようになる。

 ここで注意するのは、監査対象の選定だ。「読み取り」をすべて記録すると、ログ量が膨大になる。たとえば読み取られたことを記録するには、読み取りの成功を監査すればよいという。「『何でも取る』のは必ずしも良いとは限らない、ということを念頭に置いてほしい」と六田氏は注意した。

 ネットワークアクセスのログをとるには、一括設定時には「オブジェクトアクセスの監査」を、詳細な構成時には「Windowsフィルタリングプラットフォームの監査」を設定する。

 また、実行ファイルの起動・終了を記録するには「プロセス追跡の監査」を有効化する。これにより日時や実行ユーザー、プロセス名、権限、呼び出し元プロセスなどが記録される。「たとえば、コマンドプロセッサ(cmd.exe)からメモ帳を起動してもおかしくはないが、メモ帳からコマンドプロセッサを起動した場合は違和感がある」(六田氏)。

 ただし、「プロセス追跡の監査」ではどのような引数とともに実行されたかはわからない。そこでWindows 8.1、Windows Server 2012 R2以降では、グループポリシーで「プロセス作成イベントにコマンドラインを含める」から、コマンドラインを記録できるようになった。この機能はWindows 7にもバックポートされたという。

 標準機能以外に、追加ツールとしてSysinternalsの「Sysmon」も紹介された。プロセスの作成・終了やファイル作成、ネットワーク接続、ドライバ読み込みなどを記録できる。

 こうした機能について、監査ログから見つけられる事象の例を六田氏は紹介した。ファイルサーバー上のファイルがローカルディスクにコピーされていたケースや、通信が勝手に記録されていたケース、インストールしていない実行ファイルが起動したケース、リモートアクセスツールが自動起動に設定していたケースだ。

 ただし、気をつけるべき点として、ログの保護方法を六田氏は挙げた。ログはいっぱいになると古い方から上書きされるが、その容量はデフォルトで20MBで、ファイル監査でいうと1時間程度なのだという。さらに、攻撃者がログを消去することも考慮して、ログを外部転送するなどの消去されない対策を氏は推奨した。

 また、感染が確認された場合にまずウイルススキャンをすることについて、「とにかくマルウェアを消去したい場合は有効だが、調査を目的としている場合には適切でないこともある」と六田氏は説明した。ウイルススキャンにより調査対象が削除されてしまうことや、ファイルの読み取りログが埋まってしまうことがあるからだ。そこで、調査をしたい場合には電源は起動したままネットワークケーブルを抜くことを推奨しつつ、「ランサムウェアによる暗号化が進行している場合など調査するより止めるのが先決という場合もあるので、状況に合わせて適切に判断すること」と語った。

Windowsのイベントログでマルウェアの痕跡を記録
ファイルアクセスのログ
ネットワークアクセスのログ
プロセスのログ
コマンドラインを記録
Sysinternalsの「Sysmon」で記録

 ログに続いて、不用意な機能の実行を防ぐ防護手法を六田氏は解説した。なお、これについても、ほかの対策が実施されている前提であると同氏は断りを入れた。

 まず、VBScriptやJscriptなどWindows Script Hostの機能だ。「使わない場合はレジストリで無効化することをおすすめする。ただし、ログオン・ログオフスクリプトで使用している場合があるので注意したい」と説明した。

 続いてPowerShell。初期設定では、スクリプト実行が許可されていないが、レジストリ値を1つ変更すると実行可能になる。このスクリプト実行が攻撃によく使われると六田氏は注意を喚起した。また、PowerShell v5では実行したコマンドと出力の記録が可能であることや、使わない場合にはPowerShellを実行できないようにする設定も考慮することが語られた。

Windows Script Hostの無効化
PowerShellでのスクリプト実行

 六田氏は最後に、管理者と一般利用者のそれぞれに向けて「攻撃を知る」ことの重要性を説いた。

 管理者に向けては、すべては無理だがある程度の攻撃手法を把握しておくとよいと述べた。また、攻撃によく使用されるツールとして、PSEXECやWinRS、リモートデスクトップといった正規のツールを挙げ、システム上で普段使用しているかどうかを判断基準の1つと説明。「システムの"定常"を知っておくことが必要」と語った。

 また一般ユーザーに向けては、メールのFromは詐称可能であることや、UACで意図しない権限昇格を許可しないこと、アイコンやファイル名と中身が一致するとは限らないことなど、ユーザーにも一定の知識が必要だと語った。

管理者と一般利用者の、攻撃について知っておくべきこと

DNSを使った攻撃とDNSに対する攻撃を解説

 島村充氏(ネットワーク本部 アプリケーションサービス部 運用技術課)のセッション「DNSにまつわるセキュリティのあれこれ」では、「DNSを使った攻撃」と「DNSに対する攻撃」の2種類についてDNSセキュリティを解説した。

ネットワーク本部 アプリケーションサービス部 運用技術課の島村充氏

 DNSを使った攻撃の代表がDNS amp攻撃だ。増幅攻撃と呼ばれる攻撃の一種で、オープンリゾルバー(世界中どこからのDNSクエリも受け付けてしまうDNSサーバー)を使って攻撃相手の回線を飽和させるものだ。増幅攻撃にはDNS以外のプロトコルも使われるが、DNSは増幅率を上げるのが容易であることと、オープンリゾルバーが世界中にあることから広く使われたという。

 島村氏によると、DNS amp攻撃は、古くは1999年頃のオーストラリアの事例があるという。日本では2006年頃から問題視された。そして、2013年初頭に世界的に流行して問題となった。それによってオープンリゾルバー撲滅の機運が高まり、Open Resolver Projectや、日本のopenresulver.jpが発足した。

 2016年には再びDNS amp攻撃が台頭したが、その後主役が交代してIoT機器が使われるようになった。齋藤氏のセッションで解説されたMiraiだ。

 このオープンリゾルバの数について、世界でも日本でも右肩下がりであるというデータを島村氏は示した。ただし、世界では今年の10月で1300万IPアドレスぐらい残っており、日本でも2000IPアドレスぐらいで下げ止まっているという。

DNS amp攻撃の概要
DNS amp攻撃の歴史
世界のオープンリゾルバの推移
日本のオープンリゾルバの推移

 一方のDNSに対する攻撃としては、DNS水責め攻撃(ランダムサブドメイン攻撃、Slow drip攻撃)が解説された。攻撃対象ドメインについて、サブドメイン名としてランダムな文字列をつけた名前をひたすらクエリし続けるというものだ。存在しないサブドメインのため、キャッシュされておらず、すべてのクエリが権威DNSサーバに送られてダウンを招く。それだけでなく、権威DNSサーバーがダウンすることで、その応答を待つISPのキャッシュサーバーも巻き添えをくらうという。

 DNS水攻め攻撃で狙われるのは中国系のショッピングサイトやゲームサイトなどで、日本のドメインはほとんど標的にされなかったが、ISPのキャッシュサーバーの障害が目立つ形で話題になった。2014年1月頃から観測され始め、同年の4~5月ごろから日本のISP各社で被害が拡大し、2016年5月末にパッタリ止んだという。「もしかしたら、元の攻撃者が1つだったのかもしれない」と島村氏はコメントした。ちなみに、氏によると「幸いIIJは影響が少なかった」とのことだった。

DNS水攻め攻撃の概要
DNS水攻め攻撃ではISPのキャッシュDNSサーバーも巻き添えを食う

 続いて、MiraiでダウンしたDNSサービスDynのケースを例に、狙われていないドメインも巻添えを喰うと説明。そのためにはDNSサーバーは1社だけでなく、複数事業者(と自社運用)を組み合せることを推奨した。具体的には、プライマリDNSを自社運営にして+セカンダリDNSにサービスを使う例(セカンダリDNSに対応したサービスが必要)と、プライマリDNSサービスを複数使う例(APIを使ってレコードを同期する必要)を紹介した。

 さらにIIJのDNSサービスについて島村氏は言及。DNSアウトソースサービス(API対応)と、DNSセカンダリサービスを紹介した。特徴としては、片方の権威DNSサーバのIPアドレスをanycastで世界中に分散するとともに、もう片方の権威DNSサーバのIPアドレスはDDoS対策装置で保護しているという。このanycastによる地理分散により、DDoS攻撃を受けた際に影響が局所化するという効果もあることが紹介された。

 最後に島村氏は、DNSサーバーソフトウェアとして広く使われているBINDに脆弱性が頻繁に発見されていることを取り上げ、「即座に修正版を適用するには運用コストがすごく高くなる。ほかのソフトウェア(権威DNSのnsdやキャシュDNSのunboundなど)やアプライアンス、サービスに乗りかえるべき」と主張した。

複数のDNSサーバーを組み合わせることで1つのサーバーのダウンに備える
IIJのDNSアウトソースサービスとDNSセカンダリサービス
anycastによる地理分散により、DDoS攻撃を受けた際に影響が局所化する
BINDからほかのソフトやサービスに乗り換えるべきという主張

 なお堂前氏によると、今年の「IIJ Technical WEEK 2016」のテーマは「ダイレクトに手を動かしている人に情報を届けたい」ということで、管理職よりは現場のエンジニアを狙ったという。

 今回レポートしたセキュリティについても、「セキュリティは攻撃手法が注目されがちだが、現場ではむしろ防御手法が重要になる。話題になるテーマと現場の作業をつなげたい」と堂前氏は語った。

(協力:株式会社インターネットイニシアティブ)