NRIセキュア、標的型メール攻撃の被害シミュレーションサービス

マルウェアやC&Cの侵害を実際に試して耐性チェック


テクニカルコンサルティング部の西田助宏氏
多発する標的型メール攻撃

 NRIセキュアテクノロジーズ株式会社(以下、NRIセキュア)は11月30日、標的型メール攻撃に対する新セキュリティサービスを発表した。自社のセキュリティに不安を抱く企業に向けて、擬似的な標的型メール攻撃を行って耐性を確かめる「標的型メール攻撃被害シミュレーション」などのサービスを提供する。

 標的型メール攻撃は、特定の企業や担当者を標的として、マルウェアを添付したメールを送信するもの。昨今さまざまな国や企業で被害が報告されている標的型攻撃の主流となっている攻撃だ。8月の三菱重工などもこの手口で狙われた。

 攻撃は、1)マルウェアが添付されたメールを送信、2)添付ファイルを開いてマルウェアに感染、3)PC端末のコントロールの確立、4)調査活動、5)重要情報の奪取、6)重要情報の持ち出し、といった流れで行われる。添付ファイルを開かなければいいのだが、思わず開きたくなる文面で送られてくるのが厄介なところ。例えば、7月に衆議院議員へのメールには「最新号の週刊誌にお写真を掲載いたしますのでご確認ください」といった内容とともに「Photo.zip」が添付されていたという。こうした心理のすき間を完全に埋めるのは難しい。

標的型メール攻撃の概要。6つのフェーズで攻撃が行われる思わず開きたくなる文面でメールが送られてくる
非常に高度な機能を備えるZeus、SpyEye

 マルウェア自体も非常に高度な機能を備える。テクニカルコンサルティング部の西田助宏氏は「ZeusやSpyEyeなど標的型メール攻撃で利用されるRAT(リモートアクセスツール)には、アクセスログ・送信内容の取得をはじめ、特にWebブラウザから送信される認証情報を途中で盗む機能に優れているのだが、任意のコマンドを実行する機能も備えるため、実際にはほぼ何でもできてしまう。その活動ログはすべてC&C(Command & Control)サーバーに記録される。また、マルウェアの設定ファイルをC&Cサーバーに置いておくことで、いつでも攻撃対象や手段などの設定を変更できるようになっている」という。

 問題はマルウェアを簡単に作るツールが安価に流通していることだ。ツールではほとんどワンクリックでマルウェアの設定・作成ができてしまう。ツールにはC&C機能もパッケージ化されているため、C&Cサーバーも簡単に構築できてしまう。現在1日に平均約5万種のマルウェアが発生し、C&Cサーバーも数百台に増加しているというのも、さもありなんだ。発表会ではZeusの高機能を示すデモも行われた。

発表会ではZeusのデモが行われた。こちらは作成ツール。ワンクリックで作成できるほか、対象、攻撃手段、C&Cサーバーとの通信間隔などの設定が行えるC&Cサーバーの画面。感染PCの端末情報が送られてきた。感染したマルウェアの活動ログも順次送られてくる

こちらは感染したPCのWebブラウザでログイン画面にアクセスHTMLインジェクションによって任意のフォームが不正に挿入された様子。例えば、銀行のログイン画面の通信をマルウェアがハックしてクレジットカード情報を入力させるフォームを追加するといった手口が可能となる。WebブラウザのAPIをハックして中間者攻撃を行っていることになるので、ほかにもさまざまな手口が考えられる

ログイン画面に入力した値はすべてC&Cサーバーに記録される。Cookie情報も取られてしまうため、セッション管理にCookieを利用するWebサイトでなりすましも可能に

 「こうした状況では、社外から社内への入口対策のみでなく、感染をはじめから想定し、情報漏えいやマルウェアからC&Cサーバーへの通信を食い止めるような出口対策が必要不可欠になってくる」と西田氏は指摘する。

 今回の新サービスは、まず何の対策から着手すべきかの判断を助けるものとなる。「標的型メール攻撃被害シミュレーション」は、標的がメール攻撃の各フェーズにおける耐性を確認する。特長は“システム”と“人”の両面でチェックする点。

 システム面では、2通りのチェックを行う。まず、顧客環境にマルウェア感染を想定した端末を設置し、外部のC&Cサーバーから指令を出して制御できるかをチェック。加えて、NRIセキュアのハッキング担当が社内LANを通じて、感染PCからサーバーやPCに一般的な侵入行為が成功するかをチェック。これらにより重要な情報が奪取可能かどうかを実際に試すというものだ。ただし「本番環境に対するハッキングを行うため、ネットワーク構成情報などを事前にいただき、入念に侵入計画書を作り、お客さまの承認を得てから実施する」(西田氏)という。

インターネット経由でPCを操作可能か、実際のマルウェアを使ってチェックハッカーが利用する一般的な侵入行為により、重要情報を奪取可能か実際に試す

 人の側面では、従業員に標的型メールを実際に送付し、添付ファイルの開封状況をチェック。eラーニングによる教育も提供し、最終的に標的型メールに対してどれだけ従業員の意識が高まったかをレポートする。

従業員に対して標的型メールを実際に送付し、添付ファイルの開封状況をチェック

 これらのサービスでセキュリティホールが見つかったら実際に対策を施していくことになるが、NRIセキュアでも入口対策の1種として「FFR yaraiマネージドセキュリティサービス」を提供する。ヒューリスティック検出技術(振る舞い検知)で未知のマルウェアにも対応する純国産のアンチウイルスを導入し、NRIセキュアの専門家が24時間体制で監視・防御するものだ。監視拠点は国内2カ所、米国1カ所に存在し、時差を利用して24時間の監視を実現する。

 価格は、FFR yarai(ライセンス料)年間3000円×台数。yaraiマルウェア解析サービスが月額10万円より。この価格はインシデントレスポンス対応のみで、マルウェア解析レポーティングを含めると月額18万円より。

関連情報