ミニ特集「セキュリティ」：マルウェア感染後の組織内ネットワーク運用支援

サイバー攻撃を行う側のマルウェア送り込み手段は年々洗練され、 情報リテラシの高い人でも油断したり疲れて思考力が落ちている時には、マルウェア送り込みメールのURLをクリックしてしまうことが起こりうるレベルになっています。そのため、もはや、組織内のネットワーク運用においては、ネットワーク内でマルウェア感染端末が発生することは大前提として、マルウェア感染発覚後に、感染端末の隔離や感染拡大の試みの有無をネットワーク機器のログから収集しつつ、可能な限りの通常業務の維持と感染疑いのある端末群の隔離を両立するネットワーク運用が必要になります。
このような運用はケースバイケースの対応が多い上に判断に時間制約が入るなど、熟練したセキュリティ技術者でも大変な仕事になります。そこで、ログ処理や過去の攻撃パターンとの照合を自動化し、既存の業務構成やネットワーク構成も含めて、対応案を提示する研究が名古屋大学大学院情報学研究科では行われています。

年々高度化するマルウェアとその送り込み

現在では、多くの悪人がサイバー攻撃やマルウェアでお金を稼いでいます。悪人は少しでもお金を稼ぐために、年々、攻撃を高度化しています。下に詳細を記す、「マルウェア送り込みの高度化」と「マルウェアの高度化によるアンチウイルスソフトウェアによる発見の困難化」により、もはや、マルウェアの送り込みを完全に防ぐことは無理と考え、侵入後の対応が重要になっています。

・マルウェア送り込みの高度化

昔ながらの「電子メールにマルウェアのファイルを添付」というものは非常に少なく、「本物のWebサービスを騙ってマルウェア送り込みURLをクリックさせるフィッシング」「(盗んだ個人情報やクレジットカードで)広告費を払って、広告にマルウェア送り込みURLを掲載」みたいな送り込みが当たり前になっています。中には、「稼働中のWebサービスを不正アクセスして乗っ取ってマルウェア設置」ということまでしてマルウェアを送り込みます。この送り込まれるマルウェアも、攻撃ごとに新しい物を作って、アンチウイルスソフトウェアの検知を避けます。今では、年間数十億もの新マルウェアが作成される時代となっています。

・マルウェアの高度化による発見の困難化

せっかくマルウェアを送り込んでも、アンチウイルスソフトウェアに見つかって駆除されてしまったら、悪人側としては嬉しくありません。高度化したマルウェアは、「マルウェアをファイルとして残さずにすべてメモリに展開する」「既存ソフトウェアの参照するライブラリに偽物を設置して、間違って取り込ませて既存ソフトウェアをマルウェア化」「真っ先に著名アンチウイルスソフトウェアの起動や動作を妨害」などのテクニックでアンチウイルスソフトウェアの目を逃れます。
この話を聞くと、「アンチウイルスソフトウェアを動作させる意味が無いのでは?」と思ってしまうかもしれませんが、アンチウイルスソフトウェア側もアップデートで対応しますし、まだまだシンプルなマルウェアもいっぱい使われていますので、「送り込まれる確率を下げる」ためにも、ちゃんとアンチウイルスソフトウェアは使いましょう。ただし、世の中には不安を煽って偽アンチウイルスソフトウェアを入れさせよう(売りつけよう)とする悪人もいますので、そういう物(スケアウェアと呼ばれています)に騙されないようにも注意しましょう。

マルウェアに侵入された後はどうなる?

高度な手段でマルウェアを送り込まれてしまった場合はどうなるのでしょうか? 近年のマルウェアは通信機能を備えているものがほとんどで、C2サーバ(Command and Controlサーバ)と通信して司令を受け取って、さらなる悪性活動を行います。
以下、水平展開による拡散と情報窃取や暗号化による脅迫について説明します。

・水平展開による拡散

近年の高度なマルウェアは、感染した端末からネットワークを介して接続されている他の端末が無いか、その端末に侵入やマルウェア感染拡大に使える脆弱性は無いか、偵察活動を行います。この偵察活動はおおっぴらに行われるものではなく、「人が活動する時間帯に、間隔を開けて偵察」するなどして、ネットワーク型の侵入検知システムなどによる検知を避けつつ行います。偵察活動によって、他の端末に侵入やマルウェア感染拡大に使えそうな脆弱性があると、高度なマルウェアは脆弱性を使ってマルウェアを送り込んで感染させます。これを、「水平展開による拡散」と言います。この様子は、C2サーバに送られて悪人側も把握し、悪人側も、ネットワークの構成や端末やサーバの種類などから、拡散手段の改良や、いつどのように攻撃パターンを変化させるかを考えます。

・情報窃取や暗号化による脅迫

マルウェアの水平展開による拡散を繰り返すと、いずれ、機密情報が格納されているサーバへの感染や、機密情報が格納されているサーバへのアクセスが許可されている端末にも感染します。そうなると、悪人は機密情報を盗み取って外部に送り出すことができるようになります。近年では、単に情報を盗み取るだけではなく、サーバの上の情報(データ)を暗号化して業務を続けれないようにした上で、暗号の解除方法を取引材料として身代金を要求する、ランサムウェアの被害も非常に多いです。最近では、簡単に盗み取れないように機密情報へのアクセス権限を厳しく制限したり、ランサムウェアで暗号化されても大丈夫なようにバックアップデータを取るようにしている情報システムも多いです。しかしながら、悪人側も、長いときには数ヶ月も時間をかけて水平展開や偵察活動を行い、厳重にアクセス制限された機密情報や、バックアップデータまでも見つけ出し、頃合いを見て一斉に窃取や暗号化を行ったりします。

マルウェア感染後の組織内ネットワーク運用支援研究

情報システム学専攻の嶋田グループでは、「マルウェアに侵入された後はどうなる?」で話したような、マルウェアに感染した端末が組織内に出てきた場合の、組織内ネットワーク運用支援の研究をいくつも行っています。

この情報化社会の中、組織内にマルウェア感染端末が見つかったとして、「すでに水平展開が進んでいるかもしれない」「同じ手口で侵入された端末があるかもしれない」という理由で全ネットワークを止めてマルウェア感染を洗い出していては、業務が全て止まってしまいます。 まだまだ世の中には水平展開まで進まない単純なマルウェアもあるため、全てのマルウェア感染のたびに全ネットワークを止める対策なんぞしたら、下手をすると、マルウェア対策の損害の方が大きくなってしまいます。そこで、マルウェアの水平展開範囲を同定し、ネットワークの停止範囲を最小限にしつつマルウェア洗い出しを行える、組織内ネットワーク運用が重要になります。

一方で、高度なネットワーク運用をできる人材は貴重であり、なかなかそのような人材を確保できせん。そのため、ネットワーク運用支援システムの研究を推進し、ある程度の習熟度の人材でマルウェア感染後の組織内ネットワーク運用ができるように、以下のような研究を行っています。

・業務継続とマルウェア対策を両立させるネットワーク構築支援

ネットワーク運用において、サブネットワークや端末間の通信についてACL(Access Control List)で通信制限をかけることは、マルウェアの水平展開対策として重要です。なぜなら、通信制限でマルウェアの水平展開を遅らせることができることと、通信制限にひっかかった通信をリストアップすることでマルウェア感染端末の候補を迅速にリストアップできるという二重の効果があるからです。しかしながら、間違ったACLの設定は業務の通信も制限してしまうため、ネットワーク運用担当に取っても、かなり気を使う仕事になります。

そこで、ディレクトリサービスから得た個々の組織員の部署や職位やデータのアクセス権限の情報と、ACLを設定する前の通常業務時に採取した通信ログをもとに、設定するACLの候補を提示する、ネットワーク構築支援システムの研究を行いました[1]。 このシステムの被験者実験による評価では、ACL設定にかかる時間の大幅な短縮と、ACL設定ミスの削減が確認されています。

[1] 長谷川皓一, 山口由紀子, 嶋田創, 高倉弘喜, “ディレクトリサービス情報とトラフィックデータによるACL自動生成システム,” 電子情報通信学会論文誌, Vol. J100-D, No. 3, pp. 353-364, 2017年3月.

・感染端末発見後の対策案提示システム

組織内でマルウェア感染端末が発見された後、ネットワーク運用担当は、「感染拡大の可能性を踏まえて、どこまでのサブネットワークを全体ネットワークから切り離した上でマルウェア感染拡大先の洗い出しを行うか」の決定に悩まされることになります。これには、「広い範囲で全体ネットワークから切り離しを行えば安全性は高まるが、業務への影響が大きくなる」というトレードオフがあります。また、既に業務上で機密性の高い情報を保持するサーバへのアクセス権のある端末まで感染拡大が進んでいると考え、全ネットワークを停止するという重い判断を下す必要もあります。ある程度の習熟度の人材には、なかなか厳しい仕事です。

そこで、観測された挙動と業務の継続性とマルウェアの感染拡大のトレードオフを評価した上で、感染端末と感染拡大先候補を含めてネットワークから遮断する時の、遮断ポイント案を提示する支援システムの研究を行いました[2]。このシステムの被験者実験による評価では、平均的な対策決定時間が短縮されることに加え、被験者の中でもっとも判断に時間のかかった最長の対策決定時間が大幅に短縮されることが確認されました。これは、不慣れなネットワーク運用担当者にこそ有用なシステムであることの証明になります。

[2] 長谷川皓一, 山口由紀子, 嶋田創, 高倉弘喜, “標的型攻撃に対するインシデント対応支援システム,” 情報処理学会論文誌 Journal of Information Processing, Vol. 57, No. 3, pp. 836-848, 2016年3月.

終わりに

サイバー攻撃による被害は現状では減る傾向には無く、残念な状態が続いています。しかしながら、攻撃を受けている組織のネットワーク運用を助ける情報システムの研究により、サイバー攻撃の被害を少しずつでも減らしていくことはできると考えています。 情報システム学専攻の嶋田グループでは、これからも、攻撃下でのネットワーク運用を助ける情報システムの研究で、この大きな社会問題に立ち向かっていきます。