5回にわたり(隔月寄稿)、経営の視点からリスク対策の検討材料として脅威インテリジェンスを活用する方法を解説する ”脅威インテリジェンスが切り拓く未来のリスク管理“ シリーズ。第3回目の今回は「脅威を恐れない環境づくり - インキュベーションの考え方」をお届けします。
日々、進化するサイバー攻撃にはゼロデイの脆弱性の利用に始まり、高度な新型のマルウェアの悪用は日常茶飯事です。これらの脅威の多くは、現状での脅威検出技術においても、初見での検出はなかなか難しいものです。この背景には、近年、活発に行われているEDR/XDRをはじめとするセキュリティ製品の回避に関する研究が少なからず影響しているようにも思います。これらのセキュリティ製品の回避手法は、ランサムギャングによる悪用も複数確認されており、私たちのIT環境は現在主流の対策を実施しているにも関わらず、水面下ではこれまで以上に「見えないリスク」が増大しているのです。
といった、セキュリティコラムではお約束のホラーストーリーはこのくらいにしまして、本稿では今後リバイバルされることを期待して、「古典的技術」ではありますが、仮想環境等を活用したインキュベーション(孵化)の技術について触れてみたいと思います。一般に、マルウェアの動的解析のアプローチがマルウェアの機能面を明らかにすることを目的としていることに対して、同手法は攻撃者の活動目的等を調査することが目的です。インキュベーションは、幼少期の頃、蟻の巣の観察をしたことのある読者はイメージが湧くと思いますが、”仮想の巣”を利用して生物の生態系等を調査手法のサイバー版と捉えれば分かりやすいかもしれません。以前は、実環境から隔離されたハニーネット等を利用して観察するのが一般的だったように思いますが、それでは攻撃者に勘づかれてしまうことも多かったように記憶しています。
日本を含め、各国が経済安全保障政策の一環として、サイバー攻撃やサプライチェーンリスクにおける議論を進められています。その観点においては、諸外国や攻撃グループ等の活動意図を知ることで、自組織の将来的な事業リスクを察知することにも役立つのではないでしょうか。
冒頭に触れましたの「見えない脅威」は、”発見後”にセキュリティベンダーや研究者らによって被害緩和のために、技術解析が行われます。この場合、政府機関やナショナルCERT、セキュリティベンダーが連日のように情報を配信します。その後、(主要な)セキュリティ対策製品により対応が確認されると、通常は広範囲に及ぶ監視からハニーポットなどによる定点監視へと移行されます。この脅威の発覚から対応までの流れは、COVID-19における「感染症法(感染症の予防及び感染症の患者に対する医療に関する法律)」の”指定感染症”から”第5類” へ移行するのに似ています。被害の拡大が終息し始めたので、定点把握へと監視の態勢は緩和するといった具合です。
しかし、COVID-19等のリアルウイルスとマルウェアで異なる点が幾つかあります。そのうちの1つは、後者は攻撃グループの意志でマルウェアを改変し、それらを配信していることです。私見ではありますが、マルウェアが人工的に開発されたサイバー兵器であることが明らかである以上、それらが「見えない脅威」を常に準備している可能性があるわけです。従いまして、サイバー空間においては、迂闊に検出ルール(ワクチン)が作成されたからといって安堵は出来ないと考えています。サイバー空間は常に予断を許さない状況となっている中だからこそ、インキュベーションは、改めて注目したい技術ではないでしょうか。日常的にファイルの善悪に関係なく、安全な観察環境を扱うことができれば、新型マルウェアの発見も効率的にできるかもしれません。
檻の中での活動観察による安心感
マルウェアへのインキュベーションの利用は、動物園やサファリパークといった猛獣を扱う施設が分かりやすいと思います。これらはいずれも檻を利用して猛獣と人とに一定の距離感を作ることで安心感を得ています。例えば、檻の鍵が掛かっておらず、猛獣が檻の出入りが自由な動物園は如何でしょうか。相当、怖いですよね。これと同じ状況が、実環境のシステムとインキュベーション・システムを構築する仮想環境や隔離環境とがデータ送受信のできる状態です。このような状況であれば、檻が開いている状況さえ気をつければ、然程、マルウェア等の脅威を恐れる必要は無くなります。つまり、日常に、仮想”檻”の環境を導入できれば、鍵の管理だけで事足りるかもしれない、となるわけです。この考え方は、これまでも暗号化技術などでもあったものですので、特段目新しいものではありません。
「見えない脅威」はマルウェアだけではありません。基本的に、認識できていない脅威は全て未知です。その代表例が0dayの脆弱性があります。その一部は、脆弱性発見コミュニティやアンダーグラウンドサイトなどで売買されます。中国においては、発見した脆弱性を全て公開しておらず、サイバー兵器として悪用している可能性が指摘されていますし、ロシアなどの一部の攻撃グループは自身で利用することも度々報告されています。つまり、未知の脅威は常に存在している状況にあることは言うまでもなく、寧ろ「見えない脅威」の方が多いくらいに思っていた方が、いざという時に即時の判断ができるのではないでしょうか。
性善説前提の脆弱性管理
”意図した未報告の脆弱性”への対応の課題は、従来からのものですが、なかなか現実解が見つからないのが現状です。もはや脆弱性は報告されないと割り切った方が、思い切ったセキュリティ対策へと舵を切ることができるかもしれません。実際のところ、2022年2月に行われた米中経済安全保障審査委員会公聴会において、米国の有識者は中国のサイバー攻撃能力に対して、「中国のハッカーは、驚くべき速さで米国のソフトウェアの脆弱性を見つけ、その脆弱性が修正される前に、積極的にそれらを利用したサイバー作戦を展開している。」と説明しています。さらには、米国議会への提言として、現在のオープンソースの観察から、米国は現在、サイバー空間において長期的に 中国に対抗できる十分なサイバー防衛、人材、サプライチェーンのセキュリティ、国際的な技術・規格のリーダーシップを有していないとしています。このような米国政府の認識に鑑みても、従来からの脆弱性管理の手法では中国からのサイバー攻撃には対応は困難であることが分かります。
「脅威は見えれば幸運」くらいの心構えは重要です。ショッキング(?)な事実として、世界的に話題になった詐欺サイトのドメインの一部は、日本で主流のセキュリティ製品のブラックリストに登録されておらず、高級車が複数台購入可能な金銭被害が発生しています。その意味では、”既知”の脅威ですら見えない場合があるということは、経営層を含めて認識すべき状況です。
このような状況において、あらゆるPC上の操作を常に仮想環境下で扱えれば、脅威の有無に関わらず、一定の安全性が確保できます。その観点では、インキュベーション技術の一端を活用することは有効性の高いものとなります。
脅威が認識できない以上、常に組織内の誰かが悪性ファイルを扱っているとイメージする必要がありますが、セキュリティ担当者からすれば非常にストレスです。そのため、如何に侵害を受け続けている中での被害緩和策を検討および強化できるかが、今後のセキュリティ対策において重要なテーマになると考えています。これらを実現するためのソリューションは幾つか存在しますが、そのためには如何に従来型の”既知脅威への予防策”を軸とした対策から脱却するかがポイントだと思います。インキュベーションに限らずですが、脅威と共存しつつも一定の脅威の無害化を図る手法は、防御策の軸になってくるのではないでしょうか。
Author :
株式会社サイント
代表取締役
岩井 博樹氏