報告者:ファーエンドテクノロジー株式会社
岩石 睦

最初に

例年と比べ温暖な今年の秋でしたが一気に冷え込み冬の到来を認識させられた11月下旬、一般社団法人日本ネットワークインフォメーションセンター(JPNIC)様が主催され開催されたInternet Week 2019に参加いたしました。

今回のInternet Weekのテーマは「新陳代謝」です。
セキュリティ分野では新暗号方式などの技術対応や新種の攻撃への対策、そして通信分野では5Gの開始や新たな通信技術への対応など常に新しい技術への対応が求められます。
しかしながらこれらの技術への対応は突然技術が生まれそれに対応するのでは無く、従来の技術への対応をふまえた上で更なる対応が求められ生まれる物だと感じます。
今回のテーマである新陳代謝とは古い物を捨て新しい物を採用するのでは無く、古い物の上に成り立つべき新しい物を受け入れるサイクルなのだと理解しました。

Internet Weekは毎年3,4程度の複数のトラックでプログラムが行われ、セミナー形式のものからパネルディスカッション形式のもの、またハンズオン形式のものまで同時進行で行われます。
今回11月26日から11月29日の4日間開催されるうち3日間参加し、複数のセッションを受け学びをいただきました。

本レポートでは参加セッションのうち2日目の11/27に開催された「サイバーセキュリティ新展開2020」の第3部「組織を更に強くする「攻めの」サイバー攻撃対策」についての話題を紹介させていただきます。

概要

イベントの概要

イベント名 Internet Week 2019
プログラム名 組織を更に強くする「攻めの」サイバー攻撃対策
日時 2019年11月27日(水) 16:15 ~ 18:45
場所 ヒューリックホール&ヒューリックカンファレンス
(東京都台東区浅草橋1-22-16 ヒューリック浅草橋ビル)
URL https://www.nic.ad.jp/iw2019/program/d2/d2-3/

このプログラムは3つのセッションから構成されていました。

  • 攻撃者をあぶり出す、プロアクティブなセキュリティアプローチ
  • 攻撃者の脅威となりうるThreat Huntingのアプローチとは
  • 攻撃と防御の協力で態勢強化(Purple Teaming)

3部構成でActive Defenseの考え方から、その手法、そして取り組まれている組織の話題といった流れで学ぶことができました。

標的型攻撃やビジネスメール詐欺など近年のサイバー攻撃では、断片的な攻撃を受けるものだけで無く、組織の状況を把握して内部に侵入し情報収集活動を行うものが存在するそうです。

攻撃の手法としては最近話題のEmotetなどメールの添付ファイルを媒介してマルウェアに感染することが初段階にありますが、その前段としてメール盗聴などによりその企業などで誰がどのような活動をしているかといった情報を入手し、それをふまえ侵入の手がかりにしている状況があるようです。

マルウェアに感染した後、特殊なツールが埋め込まれるわけではなく、WindowsなどのOSに標準で搭載されているツールを利用し組織内の職員のアカウント情報や管理されているファイルの取得などを経て外部へそれらの情報が送信されます。
標準的なツールが使用され情報が収集されていることや許可された通信手法で情報流出が起きており、それをシステムで検出することはとても難しい現状があります。

当プログラムではそういった検出・防御が難しい脅威に対する取組の話題でした。

セッション「攻撃者をあぶり出す、プロアクティブなセキュリティアプローチ」

石川 朝久様(東京海上ホールディングス株式会社 IT企画部 リスク管理グループ)によるご講演でした。石川様のご講演では、上記のような検出・防御が難しい攻撃に対するActive Defenseという積極的な防御の手法をご紹介されました。

従来のウィルス対策ソフトやIPS(不正侵入防御システム)等は、過去に発生した攻撃を解釈しそのパターンをシグネイチャーとして更新保有しマッチングにて検出・防御する仕組みです。いわば受身な防御の手法でPassive Defenseと呼ばれています。
Passive Defenseの対策も必要ですが、未だ確認されていないマルウェアなど検出ができなかった感染から標準的なツール等を利用されて起きてしまった情報漏洩などは、機械的な照合での対策では防御どころか検出することさえ難しいです。

これに対し攻撃者の目的や動きを予測して積極的に検出・防御を行うのがActive Defenseです。

当セッションではActive Defenseを実現する手法としてThreat Hunting(脅威ハンティング)とThreat-Lead Penetration Test(TLPT)を紹介されました。

近年サイバー攻撃に対する対策として防御の取り組みを行うBlue Teamと、システムの弱点を検出するための攻撃調査を行うRed Teamの取り組みがよく論じられるようになりました。
脅威ハンティングはBlue Team側の手法でサイバー脅威に関わる情報を活用し未知の攻撃者に対抗する手法です。石川様より脅威ハンティングの段階的なプロセスをガイドされました。

脅威ハンティングの手法についてSANS CTI Summit 2018においてKeith Gilbert氏が講演された「Intelligence Driven Threat Hunting」を紹介されていました。(https://www.youtube.com/watch?v=-QlaOX5w8G8

私の大まかな解釈ですが、

  • 攻撃者を意識すること
  • 攻撃に関する情報をSNSやブログ、コミュニティなどで入手すること
  • 攻撃目的や経路について仮説を立てて防御にとりくむこと

と理解しました(本来はもっと細かく定義されています)。

対するTLPTはRed Team側の内容でActive Defenseの有効性を検証する手法となります。
今回TLPTについてはRed Teamが行うペネトレーションテスト(侵入試験)を挙げられ、ペネトレーションテストにおいても実際の脅威に基づくシナリオでの攻撃によるアウトプットが重要とのご説明がありました。

サイバー攻撃へのActive Defenseにおいては技術だけでは無く、プロセスや人の関与がとても重要で、こういった組織の対策活動の能力を「サイバーレジリエンス」という言葉で表されていました。
サイバーレジリエンス向上のためにはRed Teamのペネトレーションテスト終了後にBlue Teamと共同し改善活動を行うPurple Teamingが有効であり、Red TeamのアウトプットをBlue Teamの活動改善を行うためのインプットとして活用することが重要とのお話がありました。

セッション「攻撃者の脅威となりうるThreat Huntingのアプローチとは」

加藤 義登 様(SecureWorks Japan 株式会社 Security and Risk Consulting シニアマネージャ)によるご講演です。

先の石川様のセッションで紹介されたBlue Teamが使用する脅威ハンティング手法について、どのように取り組むか解説がありました。
Blue Teamによるプロアクティブな防御であり、脅威を想定しそれに備え攻撃者をhuntする活動です。
セッションでは8つのステップで活動を紹介されました。
それぞれのステップでの活動としてお話があった内容について私がまとめた内容を列記します。

STEP1 Huntingのための心構えをする

  • 攻撃者が存在し自分たちを狙っているということを意識する段階
  • 脅威の裏には攻撃者がおり、それらは犯罪を行う人間であることや専門技術に長けていて自分たちでは対抗することがとても難しい存在であることを理解する
  • 想定するのは偶発的なインシデントではなく、目的をもって行われた犯罪行為であるという前提であるということをふまえ心構えをする

STEP2 Huntingの準備をする

  • 証跡こそがHunting活動として頼りになるのでできるだけログを集めるという努力を行う
  • システムやサービスによってはログが出ないものあるので、他のシステムなどで関連するログが収集できるようにするなどの仕組みを備える
  • EDR[1]やSIEM[2]などを活用してできるだけどのようなことが起きているかを確認できるようにする

    [1] PCやスマートフォンなどの端末の動作状況を収集し、不正な動作やふるまいを検出して防御の対応を行うためのソリューション
    [2] 機器から出力されるログを一元的に収集・管理し、その関連性や状況を分析するシステム/サービス

STEP3 Huntingの必要性を理解する

  • 少なくとも現時点ではシステム検出だけでは攻撃者に対抗するのは難しい。人間の知識を利用する手段を備える
  • システムで検知する情報やコミュニティ・SNS・ブログなどで入手した情報を解釈し攻撃への備えを準備

STEP4 組織にとっての普通を定義する

  • 自分たちの組織の通常状態は他者の通常状態とは異なるため、よその状況をあてにせず、自分たちの普通の状態はどのような状態かを定義する
  • 特に管理権限は攻撃者に狙われる対象なので着目点としておくこと、また組織内のデータの流れやそれに関連するアプリケーションやIPアドレスなどの特定を確実に行なっておく必要がある

STEP5 再度攻撃者を意識する

  • なにも起きてなさそうだから大丈夫だろうとたかをくくらない
  • 大量の攻撃を仕掛けてそれを通常状態と見せかける可能性も考慮する
  • 検出した事象は点ではなく一連の攻撃の特定点と解釈する

STEP6 攻撃者を手玉にとる

  • 攻撃者は時間をかけて巧みに仕掛けて来るため、それに惑わされない
  • 検出された異常をひとつひとつ対策していくのは脅威ハンティングの手法では無い
  • 攻撃者の全体像を把握するためギリギリまで活動を見守り、攻撃活動の全容を把握する

STEP7 一網打尽にする

  • 攻撃者の意図する活動の全容を理解できたら脆弱性対策やアカウント対策などについて一気に対策を実施する
  • 時間をかけて対策していくのでは無く、一気に対策を行うことにより攻撃者を落胆させる必要がある

STEP8 再侵入されないことを継続監視する

  • 対策後も攻撃者は目的のために攻撃を繰り返すことがある
  • それに備え継続して監視を続ける必要がある

Blue Teamの活動である防御について考えると、何かが起きてから起きたことに対する受け身の対応を意識するのですが、脅威ハンティングでは積極的な防御活動を意識し攻撃者に攻撃を諦めさせるというところまでSTEPとして組み込んであるのが興味深いです。

今後のセキュリティ対策は、何を目的に攻撃が行われているのかという点について、予測することが欠かせなくなるのでは無いかと強く感じた内容でした。

セッション「攻撃と防御の協力で態勢強化(Purple Teaming)」 

当セッションはRed TeamとBlue Teamの双方のTeamが協力して取り組む、Purple Teamingという考え方に関するパネルディスカッションでした。
Red TeamとBlue Teamのそれぞれの立場の方々がパネリストとして参加されました。
モデレータの大塚様からは「ペネトレーション実務者座談会」とご紹介されそれぞれの立場での取り組みをご紹介されました。

講演者兼モデレータ

  • 大塚 淳平(NRIセキュアテクノロジーズ株式会社)

パネリスト

 Red Teamサイド

  • 北原 憲(株式会社ラック)
  • 洲崎 俊(三井物産セキュアディレクション株式会社)

 Blue Teamサイド

  • 猪野 裕司(株式会社リクルートテクノロジーズ Recruit-CSIRT)
  • 河村 辰也(Sansan株式会社 CSIRT CISO補佐)

 Red Team役としてBlue Team活動をサポート

  • 上野 宣(株式会社トライコーダ 代表取締役)

TLPTの取り組みとしてRed Teamによるペネトレーションテスト(侵入テスト)とそれを受けたBlue Team側での攻撃に対抗するための対策強化の手法が紹介されました。
ほとんどの組織ではRed Teamを組織内に持つことはスキルやリソースの面などから難しいため、Red Teamの活動を外部に委託することが多いようです。
Red Teamのメンバーは外部の方であることが多いため、完全なブラックボックステストの場合、契約で決められた時間内での検査では肝心のところまでたどり着くことが難しく、テストの効率や成果を考えるとある程度情報を伝達・提供し、検査対象のスコープを絞って検査するのが良いのではないかとのお話がありました。
また外部にRed Teamの活動を委託する場合、数回は同じ委託先に依頼をかけ特定のターゲットに対して調査を深掘りしてもらい、ある程度対策が行き届いたら他の委託先や担当者を変更して攻撃の目線を変えてみるのが良いのではないかとの意見がありました。

こういった積極的なセキュリティ活動は担当者だけの思いではなかなか実現することはできません。
検査活動の影響なども考えると決して安価な取り組みではないので、経営側の理解や決意を伴う必要があります。セッション中ではBlue Teamの方々の企業での経営トップの方のセキュリティに対する熱意が伝わるお話も伺え、セキュリティに対する経営者のコミットが最も重要であることを再認識しました。

Red Teamの皆さんもBlue Teamの皆さんも組織の強固なセキュリティ対策のために取り組まれているという思いは同じであると感じられるセッションでした。
攻撃目線を知ることにより敵を意識したセキュリティ対策に取り組むことができます。Purple Teamingは良い手法だと感じることができました。

感想

最初の石川様のセッションで一番心に残ったのが

"Defenders think in lists. Attackers think in graphs. As long as this is true, attackers win."
「(情報資産を)防御側は点(リスト)で捉える。一方、攻撃者はグラフで捉える。 これが真である限り、攻撃者は勝ち続けるだろう。」

という言葉です。
これはマイクロソフトのThreat Intelligence Center ゼネラルマネージャーJohn Lambert氏の言葉で、セッション中にご紹介がありました。
ここでいうグラフとはグラフ理論のことで、点と点が辺で結ばれ隣接関係や経路を見やすく表す理論のことを言います。

攻撃者は求める情報への最短ルートや攻撃しやすいルートをグラフで考え攻撃を行なっているのに対して、防御側が単なる単点のアラートだけで防ごうとすれば対抗することはできないという内容です。
この言葉は特定のセキュリティソリューションだけでの防御や、システムから通知されるアラートを消すような対策では、これからの攻撃を防御することは難しいということを意味しています。
そもそも攻撃者の方が優位にある状況の中で自分たちの資産を守っていくには、アクティブな防御の活動が必要なのだなと強く意識づけられるプログラムでした。