• ID : 8250
  • 公開日時 : 2017/10/27 00:00
  • 印刷

≪ 「脅威情報サイト」へのアクセス、遮断できていますか。≫|2017年10月27日(金) 

≪beat★ナビ≫は、セキュリティーに関するニュースやトレンド情報、
beatの機能紹介など、有益な情報を提供するメールマガジンです。
※本メールは、beat-box責任者様宛に配信しております。
カテゴリー : 

回答

━ ≪beat★ナビ≫ ━━━━━━━━━━━━━━━━━━━2017.10.27配信

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

こんにちは。富士ゼロックス≪beat★ナビ≫担当の加賀です。
 
「CCleaner」というシステムクリーナーソフトを
お使いではないでしょうか。

「窓の杜」などのサイトでも、定番のソフトとして紹介されています。

8月リリースのバージョンが改竄の被害に遭い、マルウェアが仕込まれ、
ユーザー情報の一部が外部サーバーに送信されてしまう可能性が
あったそうです。

「システムメンテナンスツール「CCleaner」が改竄の被害、
ユーザー情報を外部送信」
https://forest.watch.impress.co.jp/docs/news/1081368.html
 
もしまだ確認されていないということであれば、
ご利用のバージョンをお確かめください。

対象は、Windows向けの以下のバージョン。
「CCleaner 5.33.6162」
「CCleaner Cloud 1.07.3191」

開発元のPiriform社は、最新版に更新するよう促しています。

さて、今回は「サイバーキルチェーン(*)」における最終段階、
「遠隔操作(C&C)」そして「目的の実行」についてお話しします。
最後までお付き合いいただれば幸いです。

  (*)サイバーキルチェーンの詳細については、
     「◆6」に記載しましたので、必要に応じてご参照ください。

・‥…━━━━━━━━━━━━━━━━━━━━━━━━━━━━◆◇◇◆
  ◆目次◆
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 
    [1] 攻撃者の行動と目的
    [2] 一般的な対策
    [3] beatの機能による対策
    [4] 具体策
    [5] はじめの一歩
    [6] サイバーキルチェーン


・‥…━━━━━━━━━━━━━━━━━━━━━━━━━━━━◆◇◇◆
  ◆1.攻撃者の行動と目的
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

今回お伝えしたいポイントは、3つあります。

   ■ 攻撃者の行動と目的。
   ■ 対策(一般的なもの/beatによるもの)。
   ■ 具体策と、まずは何をすればいいのか。


お伝えしたいポイントの1つ目は、
侵入した攻撃者が、何をしようとするのかという事と、
目的は何かという事です。

もちろん、行動や目的を知ってさえいれば、攻撃を防御できる
という訳ではありませんが、最低限のことは押さえておきましょう。

┏┓ 攻撃者の行動と目的
┗□…
     1.遠隔操作
     2.侵入拡大
     3.目的実行


上記3つのステップについて、詳細を確認しましょう。
 
□1.遠隔操作

 前段階で「インストール」した潜伏活動用のマルウェアに、
 「C&Cサーバー(*)」からの指令を受け取らせ、PCを遠隔操作します。
 必要に応じ、機能追加のため、他のマルウェアをダウンロードします。

  (*)「Command & Control Server」の略。
     マルウェアに外部から指令を出すためのサーバー。
     C2サーバーともいう。

□2.侵入拡大

 侵入したPC内の情報も用いて、他のPCやサーバーにも侵入します。
 LAN内にある情報資産を偵察し、目的の情報を探します。

□3.目的実行

 盗んだ情報を外部へアップロードして、
 入手したら侵入の痕跡を消します。

こうした手の込んだ、標的型の攻撃を受けるのは、大手企業だけで、
「うちみたいな小さな会社が狙われる訳がない。」
と感じられたかもしれません。

確かに、冒頭でご紹介した「CCleaner」の事例でも、
本来の攻撃目標は、日本や台湾、英国、ドイツ、米国の
大手ITおよび通信企業でした。

しかし、影響を受けたPCは、数百万台に上ったと思われ、
対象は改竄されたソフトウェアの利用者というだけで、
企業の規模は関係ありません。
 
上記企業のどのマシンを最終段階の攻撃目標にすべきか、
攻撃者は、それを判断する目的で情報を収集したと推測されています。

対象のバージョンは、改竄されバックドアが仕込んでありました。

C&Cサーバーからの指令を受け取り、
秘かにPCの情報を外部サーバーへ送信していました。


・‥…━━━━━━━━━━━━━━━━━━━━━━━━━━━━◆◇◇◆
  ◆2.一般的な対策
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

お伝えしたいポイントの2つ目は、攻撃への対策についてです。

対策を考える上で、「◆1.攻撃者の行動と目的」を再確認します。

┏┓ 攻撃者の行動と目的
┗□…
     1.遠隔操作 : 侵入したPCをC&Cサーバーで制御する
     2.侵入拡大 : LAN内にある情報資産などを偵察する
     3.目的実行 : 盗んだ情報をサーバーへ転送する


上記3つのステップごとに、一般的な対策を挙げてみます。

□1.遠隔操作への対策

 ・C&CサーバーのURLをブラックリストとして持ち、通信を遮断する。
 ・IDとパスワードによる認証に、指紋認証などをプラスし2要素認証する。
 ・DLPシステム(*)などを導入する。

  (*)「Data Leak Prevention」の略。情報漏えい防止対策システム。
     機密データとそれ以外を区別し、機密データの漏えいを防止する。
     個々の機密データの特徴からフィンガー・プリントを生成し管理。

□2.侵入拡大への対策

 ・ファイルサーバーなどのOSやアプリケーションのアップデート。
 ・アクセス権の適正管理。特に、管理者権限などの特権管理。
 ・ディセプション(*)ネットワークの導入。

  (*)「ディセプション(Deception)」とは、欺くこと、欺瞞作戦。
     元々は軍事用語。LAN内の偵察活動に対し、偽の認証情報などを与え、
     おとり領域のネットワークへ誘導、攻撃を失敗に終わらせる。

□3.目的実行への対策

 ・各種のアクセスログ取得とチェック、保存。
 ・機密データの暗号化や必要データのバックアップ。
 ・データベースやファイルサーバー用のファイアーウォール導入。

以上、一般的に考えられる対策を挙げてみました。

何らかの"システム"を、利用する/しないに関わらず、
対策にあたっては、アクセス先・アクセス権・データ、それぞれを
危険度や重要度によって区別し、管理することが必要です。
 

・‥…━━━━━━━━━━━━━━━━━━━━━━━━━━━━◆◇◇◆
  ◆3.beatの機能による対策
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

続いて、beatの機能による対策についてです。

□1.遠隔操作への対策

 beatでご提供できるのは、C&Cサーバーへの通信遮断機能です。

 以下の3つの機能が、PCからC&Cサーバーへの通信を遮断し、
 外部から制御されることを防いでいます。

   ・「ウイルスチェック機能(標準機能)」
   ・「不正な通信対策機能(標準機能)」
   ・「beat コンテンツフィルター(オプション)」

 それぞれ別メーカーのエンジンやDBを採用しています。
 詳細は、beat★ナビの7月と8月の配信分でご紹介していますので、
 ご参照ください。


□2.侵入拡大への対策

 この「侵入拡大」のフェーズは、攻撃者がLAN内を"横移動"して、
 活動範囲を広げていきます。
 その通信は、ネットワーク内の端末同士でおこなわれるため、
 beat-boxが介入し、遮断することなどは出来ません。

 PCやサーバー自身で防御する必要がありますが、
 beatでお役に立てるのは、以下のサービスです。

   ・「beat PCクライアントアンチウイルスサービス(オプション)」

 ただし、サーバーOSやMac OS用はご用意しておりません。
 恐縮ですが、別途、他サービスをご検討ください。


□3.目的実行への対策
 
 攻撃者は、盗んだ情報をhttp通信などで、C&Cサーバーへ転送します。

 「1.遠隔操作への対策」でご紹介した3つの機能が、
 PCからC&Cサーバーへのアップロードを遮断します。
 
 マルウェアによっては、https通信を利用するものもあります。
 beat/activeサービス向けのコンテンツフィルター(*)につきましては、
 https通信にも対応するよう、機能強化しました。
 
  (*)対象の基本サービスは、beat/activeサービスです。
     詳細は、以下のページをご参照ください。
 

・‥…━━━━━━━━━━━━━━━━━━━━━━━━━━━━◆◇◇◆
  ◆4.具体策
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

お伝えしたいポイントの3つ目は、

上記を踏まえ、具体的には何をすればいいのか、
についてです。

具体策を大別すると、以下の3つになります。

┏┓ 具体策の大別
┗□…
     1.使える機能はフルに使う
     2.正常な状態を把握しておく
     3.守るものをハッキリさせる


□1.使える機能はフルに使う

 5月からサイバーキルチェーンの各段階に沿って、
 対抗するbeatの機能をご紹介してきました。

 beatは、入口・エンドポイント・出口と、3つのフェーズで、
 複数の対策技術を利用して「多層防御」をおこなっています。

 ぜひ、機能を有効にしてご利用ください。


□2.正常な状態を把握しておく

 LAN内に侵入したマルウェアの存在や、
 攻撃者の"横移動"による偵察活動を、少しでも早く察知するには、
 普段の正常な状態を把握しておく必要があります。

 各種のレポートやログを定期的に確認することをお薦めします。

   ・稼働状況レポート
   ・セキュリティーレポート
   ・月次レポート(*)

 各PCの通信を詳細に把握するには、ログをご確認ください。

   ・不正な通信対策機能の「検知状況」
   ・アクセス履歴機能の「各種履歴ファイル」(*)
   ・コンテンツフィルターの「ログ出力」(*)

  (*)beat/activeおよびbeat/basicサービス


 確認するポイントとしては、
 例えば、C&Cサーバーへのアクセスを遮断した履歴は、
 アクセス履歴機能の「HTTPウイルスチェック履歴」に出力されます。
 ウイルスの名称に、[CnC]と表示されます。

 コンテンツフィルターは「脅威情報サイト」というカテゴリーで、
 検出します。

 コンテンツフィルターをご利用の場合は、
 特定カテゴリーの検知状況に注意して、確認することがポイントです。

 「おまかせフィルター設定」で、フィルター強度「低」の状態でも、
 禁止対象のカテゴリーは、危険度が高いカテゴリーです。

 アクセスは遮断されているので、基本的には問題ありませんが、
 念のため、アクセス元のPCをチェックすることをお薦めします。

 beatオンラインヘルプ「カテゴリーについて
 

□3.守るものをハッキリさせる

 攻撃者から守るべきものは何か、ハッキリさせておく必要があります。
 企業の情報資産であるデータを、重要度によって区別し管理する。

   ・外部漏洩が許されない個人情報や社外秘の業務データなど
   ・それ以外の業務データ
 
 最低限、上記2つには分類し、区別して管理しましょう。
 個人情報や社外秘のデータは、アクセス可能な「人とPC」を限定します。

 データ保存のために「NASサーバー」を利用する場合、「admin」など、
 機器設定済みの管理者名を、そのまま使用してしまいがちです。

 ユーザー名も独自のものに変更し、
 管理者権限を持つ「特権ID」を適切に管理しましょう。


・‥…━━━━━━━━━━━━━━━━━━━━━━━━━━━━◆◇◇◆
  ◆5.はじめの一歩
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

「はじめの一歩」の対策として、まずは、
PCのユーザー管理を点検するところから始めてみましょう。
 
ファイルサーバーなどへのアクセスを管理するためには、
お手元のPCへのアクセス権をきちんとしなければなりません。

お客様の事務所にこんな使い方をしているPCはないでしょうか。
……………………………………………………………‥‥・・
   会計ソフトをインストールした専用のPC
   普段は、経理担当の方しか利用しない
   繁忙期には、帳簿入力をパートさんに頼む
   月一回は、顧問を依頼している税理士の先生が使う
……………………………………………………………‥‥・・

会計ソフトの機能で、会計データへのアクセスは制限していても、
PCへのログインは、ゲストアカウントが有効になっていたり、
パスワード無しでログイン可能だったりしていませんか。

このように用途は限定されているが、利用者は限定されていないPCは、
誰が管理するのかが曖昧になり、非常に危険です。

きちんと、利用する各人ごとにアカウントを作成して、
パスワードも最低6桁以上のものを設定するようにしましょう。


・‥…━━━━━━━━━━━━━━━━━━━━━━━━━━━━◆◇◇◆
  ◆6.サイバーキルチェーン
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

「サイバーキルチェーン」という考え方を、ご紹介します。
攻撃者の行動パターンを、"7つ"の階層に分解したものです。

「サイバーキルチェーン」は、航空機メーカー、ロッキードマーチン社の
マイク・クロッパー氏により提唱された考え方です。

攻撃の手順をプロセスごとに階層化したもので、
いずれかの階層で脅威を断ち切るという「多層防御」の考え方を
理解するのに役立ちます。

┏┓ サイバーキルチェーンの7階層
┗□…
     1.偵察
     2.武器化
     3.配布(デリバリー)
     4.攻撃(エクスプロイト)
     5.インストール
     6.遠隔操作(C&C)
     7.目的の実行


企業が自社のセキュリティ体制を見直す上でも、
欠かせないフレームワークです。

5月からは毎月、この考え方に沿って、お話ししてきましたが、
次回からは、新たなテーマでお話したいと思います。

最後までお読みいただき、ありがとうございました。
次回は2017年11月17日(金)に配信予定です。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
  ■□ 編集後記 □■
 
最近、次女は、にゃんこスターのアンゴラ村長に嵌まっています。
浪越徳治郎ばりに親指を立てて、踊っています。

少し前は、ドラマ『スーパーサラリーマン左江内氏』に入れ込んでいました。

筆者などは、あのドラマを見ると、
『UFO時代のときめき飛行 アメリカン・ヒーロー』を
どうしても思い出してしまいます。

「アメリカン・ヒーロー」と言えば、FBI捜査官を演じた
ロバート・カルプですよね。
ビル・マックスウェル無しには、ドラマが成立しません。

刑事コロンボ『意識の下の映像』では、犯人役でした。
サブリミナル効果を利用して被害者を操り、
映画館から出てこさせたところを、殺害していました。

「サブリミナル効果」という言葉に初めて触れたのと同時に、
「潜在意識にすり込まれて操られてしまうんだ。」という怖さから、
印象にすごく残っています。

今月は、相次いでAI音声アシスタント搭載のスマートスピーカーが、
日本国内で発売され話題になっています。

LINEの「Clova WAVE」と「Google Home」が発売開始され、
「Amazon Echo」も年内には発売されるようです。

人が話しかけることで、操作可能な音声アシスタントを、
人間には聞こえない"超音波"を使って、乗っ取ることができる技術
「DolphinAttack(ドルフィン・アタック)」を中国の研究チームが
開発したそうです。

幸い、開発した音声変換器の"声"(超音波)が届くのは2m未満で、
相当近づかないと乗っ取ることはできないようです。

しかし、親しい者の"犯行"であれば、
冷蔵庫にある「塩気たっぷりのキャビア」をレコメンドして、
エアコンの温度を上げることで、部屋から出ていかせることくらいは、
できるかもしれません。

「ウチのカミさんがね・・・」


(カガ)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━