サイバーセキュリティ

ウィキペディア

索引トップ用語の索引ランキングカテゴリー

出典: フリー百科事典『ウィキペディア（Wikipedia）』 (2024/04/12 05:01 UTC 版)

APT対策

APT対策のためのシステム設計

コネクトバック通信対策

C&Cサーバとのコネクトバック通信ではhttpやhttpsを使う事が多いので^[395]、透過型プロキシは通過してしまう^[395]。このため透過型でないプロキシを立て、ユーザ端末のブラウザのプロキシ設定をオンにし^[395]、プロキシを経由していない通信はファイヤーウォールでインターネットに接続前に遮断する必要がある^[395]。アプリケーションの更新などはWSUSのような中間配布サーバを立てるか、個々のアプリケーションに対してプロキシを指定する^[395]。後者の場合、通信ログからファイヤーウォールで遮断されたアプリケーションを特定してホワイトリストをチューニングする必要がある^[395]。

またマルウェアの中にはプロキシに対応したものもあるので^[396]、プロキシの認証機能を有効にし^[396]、ユーザ端末のブラウザ側でもID/パスワードのオートコンプリート機能を禁止する必要がある^[396]。プロキシはディレクトリサービスと連動するなどしてユーザ単位の認証ができるものが望ましい^[396]。またActive Directoryを使えば配下にある端末のオートコンプリート機能を一括で禁止できる^[396]。

ドメインと連携したシングルサインオン機能を使っている場合はコネクトバック通信も自動的に認証を通ってしまう可能性があるので^[396]、プロキシの認証ログを監視し、（窃取されたユーザIDの使い回しによって）異なるユーザ端末から同一の時間帯に同一ユーザIDによる認証が異なるIPアドレスから行われていないか、業務時間外などの不自然な時間帯に特定端末で定期的に認証がなされていないかといった事を、検知ルールにより自動的にチェックする仕組みを作る必要がある^[396]。

またマルウェアはC&Cサーバとのセッションの維持のためCONNECTメソッドを悪用する事があるので、プロキシのアクセス制御リストにより、業務に必要なポート(httpの80番やhttpsの443番)以外のCONNECTメソッドを遮断する必要がある^[397]。さらにログの監視ルールを作ることで、長期間維持されているセッションや不自然な時間帯のセッションを遮断する必要がある^[397]。マルウェアの中には切断されたセッションを規則的に再接続するものがあるので、ファイヤーウォールのフィルタリングでセッションを強制遮断する事によりそうしたマルウェアを発見できる^[397]。

ラテラルムーブメント対策

攻撃者がラテラルムーブメントを行う目的として、運用サーバやそれを管理する端末に侵入するというものがある^[398]。そこでユーザ端末のあるセグメントと運用管理セグメントをLANポートレベルで分離し、ユーザ端末のセグメントから運用管理セグメントへの通信を遮断する必要がある^[398]。さらにサーバの管理者には通常業務に使う端末とは別に運用専用端末を用意して、運用管理セグメントには運用専用端末からのみアクセスするようにする事で、管理者の端末を経由してユーザ端末セグメントから運用管理セグメントに侵入されるのを防ぐ^[398]。運用専用端末がマルウェアに感染しないよう、運用専用端末からはインターネットに接続できないようにする必要がある^[398]。

リモートからの管理を許容しなければならない場合は、リモート管理を行う端末をユーザ端末セグメントにおき、運用管理セグメントの入口に認証と操作ログ管理機能を持ったトランジットサーバを置く^[398]。

部署をまたいだラテラルムーブメントを防ぐため、部署や業務内容毎にネットワーク分離をする必要がある^[398]。

また攻撃者はWindows端末の管理共有サービスを利用して、攻撃ツールを他の端末に仕込み、タスクスケジューラやPsExecを用いてその不正ツールをリモート実行するので^[399]、端末の管理共有サービスを無効にする必要がある^[399]。

業務上管理共有を無効にできないサーバに関しては、Windowsサーバ側でタスクスケジューラやPsExecのリモート実行を検知する為、それぞれタスク追加イベントのID 106、サービス追加イベントのID 7045を監視する必要がある^[400]。Active Directoryを使えば、配下のWindows端末の管理共有サービスを一括で無効にできる^[399]。またActive Directoryにより、配下のWindows端末のWindows ファイアウォールを一括で有効にできる^[399]。

Active Directoryの認証失敗時のログを取得できるよう設定し^[400]、ユーザ端末セグメントから管理運用セグメントへの認証試行を監視する^[400]。また機密情報等、攻撃者が欲しがる情報を保有している部門のユーザ端末に、管理者権限などの高い権限を持っているかのような名称のトラップアカウントを作り^[400]、トラップアカウントから管理運用セグメントへの認証試行を監視する事で、攻撃者によるユーザ端末の不正利用を検知する^[400]。なお、トラップアカウントのパスワードはActive Directoryで一括変更する事で、無効なパスワードに設定しておく必要がある^[400]。

また攻撃者が無作為なIPアドレスを探索しているとすれば、組織内のネットワーク上にデコイサーバを用意し、そこにアクセスしてきた端末を検知するという手段もあるが^[401]、攻撃者が無作為なIPアドレス探索を実際に行っているかは分からないため^[401]、その効果は不明である^[401]。

権限昇格対策

攻撃者は権限昇格の為ユーザ端末にキャッシュされている管理者権限のアカウント情報を窃取しようとするので^[402]、これを防ぐために、ユーザ端末で使用するアカウント権限を必要最低限にする必要がある^[402]。

具体的には、ユーザ端末で使用するアカウントはDomain Usersグループ（ユーザ端末の一般ユーザ権限を持つグループ）に登録していかなる管理者権限を付与せず、ユーザ端末のメンテナンスを行うアカウントはOperatorsグループ（ユーザ端末のローカル管理者権限を持つグループ）に登録してDomain Adminsグループなどドメインの管理者権限を持つグループには登録しないようにする^[402]。またユーザ端末のローカル管理者などそれ以外のローカルアカウントは、トラップアカウント以外原則全て無効にする^[402]。

ドメイン管理者アカウントは可能な限り利用しないようにし、ドメイン管理者権限が必要な作業を運用記録として管理し、Active Directoryの認証ログと月に一度など定期的に突き合わせて、ドメイン管理者権限の不正利用がないか確認する必要がある^[402]。運用記録の負荷軽減のため、システム管理製品のメッセージ監視機能等を使ってActive DirectoryのDomain Adminsグループのログイン履歴を監視し、ログインした事実を管理者に送信する事で実作業と突き合わせるようにするとよい^[402]。

攻撃の検知と把握

APTの標的となっている組織は、攻撃を検知してからでないと防御を行う事ができないので^[403]、サイバーキルチェーンの早いステージで攻撃を検知する事が重要である。そのために以下で説明するインディケータとプロファイルを作成する事が有益である。

インディケータ

APT攻撃が行われている事を検知するには、攻撃を客観的に指し示す指標（インディケータ）^[57]^[58]に注目する必要がある。インディケータには以下の３種類がある^[58]：


名称（日本語）	名称（英語）	概要	具体例
基本的インディケータ^[404]	atomic indicator^[58]	攻撃者の侵入を示す、より小さな情報に細分できない情報^[58]。	IPアドレス^[58]^[404]、URL^[404]、マルウェアのファイル名^[404]、e-メールアドレス^[58]、脆弱性識別子^[58]
複雑なインディケータ^[404]	computed indicator^[58]直訳：算出インディケーター	インシデントに関するデータから導出されたインディケータ^[58]。	マルウェアのハッシュ値^[58]^[404]、（IDSのシグナチャなどに使われる^[404]）正規表現^[58]、C&Cサーバの特性^[404]
パターンによるインディケータ^[404]	behavioral indicator^[58]直訳：行動インディケーター	上記2種類のインディケータを組み合わせたインディケータで^[58]、攻撃者固有の行動様式から観察可能な性質^[404]。大抵の場合、何らかの値や組み合わせ論理で条件付けされている^[58]。例えば「攻撃者は正規表現○○にヒットするネットワークトラフィックにより生成されたバックドアから□□の頻度△△のIPアドレスに侵入し、MD5ハッシュ値が☆☆なものにファイルを置き換える」といったインディケータ^[58]。	標的型メールの特徴^[404]、マルウェアの行動パターン^[404]、マルウェアのアーティファクトからわかる違い^[404]、好んで使用するゼロデイ^[404]、使用するインフラ、ホップポイント（≒踏み台）^[404]、DNSのレジストリの詳細^[404]、レジストラパターン^[404]、ポートのパターン^[404]、標的となる従業員^[404]、標的となるデータ種別^[404]、補完された戦略的ギャップデータ^[404]

どのインディケータがどの攻撃フェーズに対応するのかを明確化する事で、インシデント対応がしやすくなる^[404]。

APT攻撃を特定するには、分析官は特定した攻撃のパターンを解析したり他の組織と強調したりする事でインディケータを明らかにし、それらインディケータをツールなどを使って成熟させ、そしてその成熟させたインディケータを使って攻撃を特定するというサイクルを回す必要がある^[58]。

こうしたインディケータは、攻撃目標^[404]、狙われるシステム^[404]、侵入方法^[404]、攻撃ツール^[404]、攻撃に使う外部資源^[404]、攻撃の痕跡^[404]、テクノロジーギャップ^[404]、攻撃者の知識^[404]といったものを分析するために使われる。逆に言えば、こうした事項から逆算して必要なインディケータを割り出す事ができる^[404]。

プロファイルの作成

APTを行っている攻撃者は、経済的理由から同じ攻撃ツールを使い回すなど一定のパターンを繰り返す傾向があるので^[403]、APTのキャンペーン毎のプロファイルを作り、過去の傾向を統合する事でインディケータを改善し、検知できるステージを早める必要がある^[403]^[405]。

プロファイルの内容を充実させる方法としては、SIEMなどのログ相関分析エンジンを利用して複数の侵入行為に対してサイバーキルチェーンの各ステージにおけるインディケータの類似度を分析する事で攻撃の傾向を掴む^[403]^[405]、というものがある。

プロファイルに含むデータとしては例えば、攻撃者の特性^[405]、共犯者^[405]、攻撃者の選好分野^[405]、標的となった文書^[406]、活動時間帯^[406]、関連インディケータ^[405]、マルウェアやツールキットの分析結果^[406]、このAPTを追跡している他のCERT^[405]、アナリストの任意のメモ^[405]などがある。プロファイルは定期的に見直し^[406]、最新に保つ必要がある。

なお、プロファイルが攻撃者に漏れては元も子もないので、プロファイルは極めて機密性が高く保ち、アナリストに必要な場合だけ必要な共有するようにする必要がある^[405]^[406]。

攻撃の予測

攻撃キャンペーン毎にどの時期にどのくらいの活動をしたのかを明示したヒートマップを作成する事で、APTの長期的な影響を理解し、休止中のAPTが攻撃を再開したときの潜在的予測分析が可能である^[407]^[408]。

インシデント対応における調査

インシデント対応時に対策側が把握すべき事は以下の４つのフェーズに分類できる^[409]：


フェーズ	知るべき事	調査対象
攻撃の有無の把握	攻撃メールか否か	メール、不審なファイル
感染の有無の把握		PCの永続化、PCの実行痕跡、PCの感染頻出箇所、プロキシサーバ、ファイヤーウォール
被害状況の把握	通信先、侵入元、被害範囲、情報漏えい状況	メールサーバ、プロキシサーバ、DNSサーバ、ファイヤーウォール、同一セグメントのPC、組織内のPC・サーバ、Active Directoryの侵害状況、ファイルサーバの侵害状況、初期感染の徴候、感染したPC・サーバの詳細調査とフォレンジック
対策の有効性の把握		プロキシサーバ、DNSサーバ、ファイヤーウォール

以上の調査のため、下記のものを調べる必要がある^[409]：


調査対象	調査箇所
メール	不審なファイル
メールサーバ	メールログ
DNSサーバ	クエリログ
プロキシサーバ	アクセスログ
Active Directory	レジストリ、ファイルシステム、イベントログ
PC	レジストリ、ファイルシステム、イベントログ
PC	ネットワーク接続情報^[410]

感染の把握の有無や被害範囲を把握する目的で行う調査としては下記のものがある^[411]：


評価対象	実施内容
感染頻出箇所	不審ファイル・攻撃ツールの有無
永続化設定	感染頻出箇所の抽出、既知攻撃類似点の抽出、公開情報との比較、実フォルダ確認
実行痕跡	バイナリ解析（可読化）、感染頻出箇所の抽出、実フォルダ確認、不審ファイル・攻撃ツールの有無
外部通信	通信先の抽出、公開情報との比較

感染頻出箇所の調査

前述したマルウェアが保存されやすい箇所を調べる事でマルウェアの痕跡が発見できる可能性がある^[103]。

永続化の痕跡の調査

マルウェアの永続化の痕跡を以下の方法で発見できる可能性がある^[412]


永続化方法	調査方法
スタートアップ起動プログラム	レジストリ操作ツール
サービス起動プログラム
スタートアップフォルダ
スタートアップフォルダ	レジストリ操作ツール、リンクファイル情報の収集、PowerShell によるリンクファイル内容の収集
タスクスケジューラ	タスク管理ツール

レジストリ情報はreg.exeで収集可能である^[412]。調査すべきレジストリの詳細は文献^[413]を参照されたい。

実行痕跡の調査

マルウェアなどアプリケーションを実行した痕跡が残る代表的な箇所として下記のものがある^[103]：


実行痕跡	概要
Prefetch Files	C:\Windows\Prefetch フォルダのpfに最近128個のアプリケーション起動時の各種情報（起動時の読み込みファイル、実行回数等）が保持されている。
最近使ったファイル	C:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\Recentフォルダにlnkファイルとして最近エクスプローラー経由で使ったファイル名が保存される。
最近使ったOffice ドキュメント	C:\Users\%USERNAME%\AppData\Roaming\Microsoft\Office\Recentフォルダにlnkファイルとして最近使ったOfficeドキュメントが保管されている。
AppCompatCache	レジストリHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCompatCacheに最近1024 個のアプリケーション実行時のキャッシュ情報（フルパスを、実行ファイル名、最終更新日、サイズ、ファイルの実行可否など）が保存されている。
UserAssist	レジストリHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssistにエクスプローラー経由で実行したプログラム情報が保存されている。
RunMRU	レジストリHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRUに「ファイル名を指定して実行」で実行したプログラム情報が保存されている。
TypedURLs	レジストリHKEY_CURRENT_USER\Software\SOFTWARE\Microsoft\Internet Explorer\TypedURLsにInternetExplorer でアクセスした直近のURL（25 個~50 個）が保存されている。

AppCompatCacheやUserAssistはそのままでは可読でないので、何らかの可読化ツールで可読にする必要がある^[414]。AppCompatCacheの可読化ツールとしては例えばShimCacheParser.pyがある^[414]。

またNTFSのUSNジャーナルやマスターファイルテーブルにも実行痕跡が残るし^[202]、ネットワークにも実行痕跡が残るのでパケットキャプチャによりその痕跡を探る事ができる^[202]。

他にも以下のような実行痕跡を調査する必要がある：

攻撃者はラテラルムーブメントの際、攻撃ツールをPsExecでリモート実行する事が多いので^[400]^[415]、レジストリKEY_USERS\SID\Software\Sysinternals\PsExecを調査する事でその実行痕跡を調査する必要がある^[415]。
攻撃ツールが実行環境に合わずにクラッシュしてその痕跡を残す可能性があるので、C:\ProgramData\Microsoft\Windows\WER\ReportArchiveからアプリケーションのクラッシュ情報を調査する必要がある^[416]。

外部通信の調査

外部通信情報はDNS キャッシュとネットワーク接続情報から取得する^[410]。前者はipconfig /displaydnsコマンドにより、後者はnetstatコマンドにより取得できる^[410]。

脚注

注釈

^ たとえばIPAの資料^[269]ではペネトレーションテストを脆弱性検査の一つとしているが、LACはペネトレーションテストを脆弱性検査・診断とは別サービスとし^[270]、脆弱性検査・診断をセキュリティ診断と同義に用いている^[270]。一方、サイバーディフェンス研究所はセキュリティ診断の語を脆弱性診断とペネトレーションテストの双方に対して用いている^[271]。