• BPnet
  • ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
日経ビジネスONLINE Special 週刊日経ビジネスオンライン SPECIAL日経ビジネスオンライン

攻撃者を諦めさせる斬新な発想で対抗

■ インテリジェント ウェイブ
攻撃者を諦めさせれば被害は発生しない
偽の認証情報をつかませる斬新な発想で対抗

標的型攻撃のうち、攻撃者がマニュアル操作で侵入する「ばらまき型以外」を検出するのはきわめて難しい。この難題を“偽の認証情報”という斬新な発想で解決したのが、インテリジェント ウェイブの「Deceptions Everywhere」というエンドポイント防御ソリューション。偽の認証情報が使われたことを検知する仕組みもあるので、フォレンジックにも対応できる。

インテリジェント ウェイブ
セキュリティソリューション本部ビジネス推進部
部長
清水 良昭氏

 攻撃者が1台のPCに侵入してしまうことは防止できないとしても、社内ネットワークでの“横展開”をあきらめさせれば、結果的に、標的型攻撃を撃退したことになる――。インテリジェント ウェイブの清水良昭氏がセッションで取り上げたのは、このようなアイデアに基づく同社最新のエンドポイント防御ソリューションだ。

 警視庁やその他の調査機関の発表によれば、標的型攻撃は2016年度も引き続き猛威をふるっている。マルウエアを添付したメールを多数の標的に送りつけるものを「ばらまき型」、攻撃者のマニュアル操作によるものを「ばらまき型以外」と分類すると、ばらまき型は全体の85%(2016年度上半期)と数は多いが検知しやすいのに対し、15%(同)のばらまき型以外は少数だが検知しにくいというのが定説だ。

 この標的型攻撃に代表されるサイバー攻撃を企業が受けると、売上減少、株価下落、復旧・回復費用の増加といった被害が発生する。「今まではセキュリティー対策はコストとしてとらえられがちでしたが、現在では事業継続のための投資としてみる見方が広がっています」と、清水氏。政府もセキュリティー対策を経営の重要テーマに位置付けており、“セキュリティー経営”の評価制度も今後創設される見込みだという。

マニュアル操作による標的型攻撃を防ぐには、時間とコストで諦めさせるのが有効

 では、標的型攻撃の中でも特定の組織を狙って徹底的に弱点を探して侵入し長期にわたって情報を搾取することが想定される「ばらまき型以外」にはどのように対処すればよいのか。その対処法を考えるためのカギとなるのが、「社内ネットワークで横展開するのに要する時間とコスト」だ。

 標的型攻撃では、まずエンドポイント(末端)にあるPCなどのデバイス内に記録されている「他のコンピューターに接続するための認証情報」が抜き取られる。次にその認証情報を使って社内ネットワーク内にあるファイルサーバーやデータベースサーバーに攻撃者がアクセス。読み取ったデータを社内ネットワークに開けられた“裏口”からインターネットを使って外部に送信する、という流れで情報を盗み出している。

 ポイントは、ばらまき型以外の場合、抜き取った認証情報を使って他のサーバーにアクセスするところがマニュアル操作で行われていることにある。「認証情報を使ってもアクセスできない、攻撃ツールを実行しても失敗する、潜入したエンドポイントが特定された、というような状況を作り出せれば、攻撃者を諦めさせることができます」と、清水氏。時間とコストをかけても目的を達成できないと分かれば、エンドポイントへの侵入を許してしまったとしても、企業としては被害に遭うことはないという発想だ。

偽の認証情報をPCに仕込んでおき、それが使われたら検知して記録する

 このような発想に基づいて生まれたのが、イスラエルIllusive Networks社が開発し、インテリジェント ウェイブが国内で販売しているエンドポイント防御ソリューション「Deceptions Everywhere」だ。これには、Deceive(だます)、Detect(検知する)、Defeat(打ち負かす)の3つのエンジンが含まれている(図1)。

図1 Deceptions Everywhereの動作イメージ
[画像のクリックで拡大表示]

 Deceiveは、エンドポイントのデバイスに“他のコンピューターに接続するための偽の認証情報”を仕込むためのエンジンだ。攻撃者は抜き出すことができた認証情報だけで標的企業の社内ネットワークを理解しているため、その認識はかなり偏っている。そこで、PCなどに架空の認証情報をたくさん仕込んでおけば、ファイルサーバーなどへのアクセスを断念させることができるという理屈だ。そして、エージェントレスで利用できる。

 また、Detectエンジンでは、攻撃者が偽の認証情報を使ってアクセスを試みるたびにそれを検知して管理コンソールに見やすく表示してくれる。その企業の社内ネットワークが攻撃者にどのように見えているかもAttackerViewというツールで確認できるので、リアルタイムで対策するのにも役立ちそうだ(図2)。

 さらに、こうした防御の経緯をログに記録してフォレンジック資料として使えるようにするのが、Defeatエンジンだ。よって、自社CSIRT業務を支援するツールとして有効に機能することになる。

欺瞞情報はActive Directoryで配布箇所を指定、攻撃されるとネコのアイコンが赤く出現

 セッションの後半は、Deceptions Everywhereの使い方を説明するためのデモンストレーションに充てられた。プレゼンターは、インテリジェント ウェイブのエンジニア、高橋一巨氏である。

 Deceptions Everywhereを使うには、欺瞞情報を対象のエンドポイントデバイスに仕込まなければならない。この配布作業にはActive Directoryが使えるので、「特定ドメインに属する全デバイス」のような指定をすればよいだろう。仕込み後のネットワーク構成をAttackerViewで確認すると、ホスト(サーバーやワークステーションなど)はブルー、ユーザー(ドメインユーザーやローカルユーザーなど)はホワイト、欺瞞情報によって作り出された偽のホストや偽のユーザーはオレンジのアイコンで表示される。

 ここまでの準備が完了していると、攻撃者が他のコンピュータに接続する為、デバイス内に記録されている認証情報を確認すると、偽のものを含む多数の認証情報が表示されるため、“本物”を見つけ出すことは難しくなる。また、偽のホストやユーザーにアクセスすると、企業側の監視コンソールには「ネコ」のアイコンが赤く表示されて、ネットワーク監視システムへのアラート通知やインシデント情報の取得&記録も自動的に作動。現実の被害が発生する前に有効な対策を打てる、ということが分かった。

 偽の認証情報をつかませて、攻撃者の動きをリアルタイムでつかむ――。このユニークなセキュリティーソリューションの真価は、大きな組織になればなるほど発揮されることになりそうだ。

図2 社内ネットワークをAttackerViewで可視化
オレンジ色のものが偽のホストや偽のユーザーだ。
[画像のクリックで拡大表示]
お問い合わせ