マルウェアの長期潜伏と低レイヤー領域への潜伏が大問題に

また、セキュリティ投資を積極的に実施している企業が大規模な被害にあう背景として、潜伏期間の長期化とマルウェアの滞在先の変化が見て取れる。潜伏期間の長期化とは字面の通りで、数ヶ月単位で潜伏しその期間にITアーキテクチャを把握する行為を指す。なぜこんなにも潜伏期間が伸びているかといえば、LoTLを大規模なITシステム群に対して同時並行的に実施するにはシステムの把握と、利用できるアプリケーション等の把握が必須であるからである。

潜伏先についてはかなり厄介な現状で、これまでの攻撃者はせいぜいキャッシュなどの一時的なファイルを扱うTemp領域など、あくまでディスク上の見つかりにくい領域に潜伏することが多かったわけだが、近年はエンドポイント端末内のSPIフラッシュ領域に潜伏することが増えている。この領域は本来UEFI/BIOSなどがいる領域であり、システムの最深部と言っても過言ではない。当然OSよりも深い領域であるため、OSにインストールするタイプの対策製品では検知することすら不可能で、逆にSPIフラッシュに寄生しUEFI/BIOSの制御を奪取したマルウェアは、OS上のいかなる対策製品もその機能を停止させることができる。SPIフラッシュへの寄生にはいくつか方法が存在するが、多くの場合にはSMM（System Management Mode）と呼ばれる特殊なコード/アプリケーションの脆弱性を突くことで侵入が可能であり、これにも高度なLoTLが用いられる。

攻撃の低コスト化で標的の企業サイズは関係なくなった

要するに、昨今のサイバー攻撃は、EDRなどの製品が単体で検出が極めて困難であるLoTLという手法を用いてシステムに侵入し、UEFI/BIOSと言った低レイヤー領域に寄生することで長期的にシステムを乗っ取るというのがセオリーとなっているということである。

これらの攻撃は一見すると大企業のみが対象になるように誤解されがちであるが、これらの手法を数クリックで実行できる攻撃ツールが存在する。ゼロデイ（未知の脆弱性）を用いた攻撃は非常に高い技術力とコストが掛かるため、確かに大企業向けの攻撃と言えるが、LoTLは再現性が乏しく調整が必要なメモリ破損系のゼロデイに比べて再現性が高く、自動化もし易いために、低コストで攻撃することが可能なのである。

よって、大企業でも苦戦する攻撃が中小企業にも及ぶ時代になったということを認識する必要がある。前述したランサムウェアの統計を提供する企業の情報によれば、LoTLを用いたランサムウェアの被害のうち、ボリュームゾーンは101人～1,000人規模の企業であり、その次に多いのは11人～100人規模の中小企業であるとされる。

ゼロトラスト導入で対策を。その具体的な手法とは？

このようなサイバー攻撃の現状から、個人や中小企業、大企業が身を守る術は、LoTLと低レイヤーへの攻撃に耐えうる対策を取るということ以外にありえない。これを実現するには米NISTが提唱したSP800-207に描かれるゼロトラストの概念の導入が欠かせない。

ゼロトラストとは、ユーザーID単位で取得されたシステムログをトラストアルゴリズムと呼ばれるアルゴリズムにインプットすることで、挙動の怪しさを算出し、ユーザーやプロセスに対して信頼度を定義し、それらに連動した制御をネットワークまたはアクセスコントロールで実施することを指す。

よくゼロトラスト導入のためにネットワーク製品を導入して満足する企業が散見されるが、実は効果は薄いことが多い。これはトラストアルゴリズムの仕組みを理解していないからである。トラストアルゴリズムとはその名の通り単なるアルゴリズムであってそれ単体では効果を発揮しない。重要なのはトラストアルゴリズムそのものよりも、むしろトラストアルゴリズムにインプットするログの量や質なのである。つまりはITガバナンスが重要となる。

そしてゼロトラストの導入先も、ネットワークのみとする企業があまりに多い。SP800-207の中にApplication Sandboxesという概念が存在しており、これはエンドポイント上の全アプリケーションを疑い、サンドボックス上で動作させよというものである。先にEDRを導入していた企業が被害を受けた例を紹介したが、典型的なEDRは全プロセスを監視しているわけではなく、かなりの数の例外を定義しており、監視対象ではないプロセスがマルウェアに変貌した場合には無力に近いと言える。これに対して仮想化技術を用いることでLoTLのような高度な攻撃にもアプローチできるということである。

要するに、ネットワーク型のゼロトラスト導入もEDRの導入も、LoTLへの打ち手の一つとなることは否定しないが、完全な対応としては不十分であるということで、エンドポイント保護は仮想化という武器を用いて実施することが現代には必須であるということだ。

また、多くの企業が忘れてしまっているのが低レイヤー領域のセキュリティである。前述の通り、いくらOS以上の領域に対策を実施したとしてもUEFI/BIOSなどの低レイヤー領域が汚染されていれば、そのすべてがマルウェアによって無効化されてしまう。これに対しては、UEFI/BIOSが存在するSPIやSMMがマルウェアによって汚染されていないことを確認する処理をブートシーケンスに取り込むことが必要であり、検証方法もTPMなどを用いた安全なものでなければならない。

もっとも、このような低レイヤー領域の防御は各企業が実施するものではなく、メーカーの仕事なのである。昨今、低価格なエンドポイント端末が増加しており、チップの安全性の低下やUEFI/BIOSなどソフトウェア面でも不安な端末が多いことが専門家の間では問題視されている。低レイヤー領域への投資は、購買時にのみ実施されるというのもポイントである。企業がエンドポイント端末等を調達する際に用いるRFP等に低レイヤー領域のセキュリティ要件を正しく記載できるか否かで、その企業の低レイヤー領域のセキュリティ耐性が決定するのである。

最後に

サイバーセキュリティのセキュリティとはすなわち安全保証であり、混沌としている国際情勢を他人事ではなくすのがサイバー領域なのだと個人的には思っている。そんな中で必要なのは最新の攻撃手法を知り、今できる対策を適切に実施することである。

※このコンテンツには日本HPの公式見解を示さないものが一部含まれます。また、日本HPのサポート範囲に含まれない内容や、日本HPが推奨する使い方ではないケースが含まれている可能性があります。また、コンテンツ中の固有名詞は、一般に各社の商標または登録商標ですが、必ずしも「™」や「®」といった商標表示が付記されていません。