横展開攻撃の脅威
企業や組織の持つ重要秘密情報を侵害しようとするサイバー攻撃について、重要機密を保持している機器に直接侵入しようとするのではなく、まずは攻撃対象組織のネットワーク機器のどれかを攻略して拠点とし、その拠点機器を足掛かりに組織のネットワーク伝いに次第に重要機器に近づき「横展開」(Lateral Movement)の脅威が近年問題になっています。日本では、2019年に三菱電機が中国拠点で受けた侵入が日本国内の重要拠点まで横展開されてしまい、国の安全保障に関わる情報まで漏洩した可能性があるのではと騒がれて、この「横展開」が大きく注目されるようになりました。
典型的な横展開の概要図(JP/CERTの解説記事より)
サイバー攻撃の横展開は、検知や自動対応が非常に困難なことが知られています。JPCEDRT/CCから出されている攻撃者の行動を追跡せよにおいても検知が難しい理由としてウイルス対策ソフトやIDSでの検知が不可能になるよう、Windows(OS)の標準コマンドと正規ツールが攻撃の横展開に用いられるからと説明されています(下図)。
横展開検知が困難な理由([JP/CERTの解説記事](https://www.jpcert.or.jp/present/2018/20171109codeblue2017_ja.pdf)より)
また、攻撃者が最初の侵入に成功した後、横展開して情報奪取を目指した行動をするまでに、何も行動をしない潜伏期間があることも少なくありません。シンガポールの最大医療グループSignHealthで、そのグループ医療機関の受診患者150万人の名前、国民登録IDカード(NRIC)番号、住所、生年月日、人種、性別が漏洩した事件では、ウイルス検知ソフトの検知を回避した方法で最初の端末が侵入された後、横展開が始まるのは3ヵ月以上も経ってから、情報奪取を目指した重要サーバーへの攻撃が始まるのは9ヵ月も過ぎてからでした。
異常を知るには「普段の状態を知っておく」ことが必要
侵入者の横展開行動そのものの検知が難しいとなると、組織の管理するネット端末によるネットワーク通信を記録・統計解析して、通常業務では行われない、普通でない通信がないかをモニターすることが必要になってきます。横展開が行われると、本来業務では無関係なはずの端末間、端末-サーバ間で本来業務では使われないプロトコルの通信が行われたり、一つの端末間から部門を越えて多数の端末・サーバへの通信が行われたりするようになります。
こうした「普通でない通信」は、大抵の場合、あからさまではないちょっとした変化の兆候でしかなく、業務として取り組んでいる通信に紛れています。だからこそ、単独のイベントについてリアルタイムで通常と異常とを判定する侵入検知やウイルスチェックでは見つけられないのです。これは怪しいのではないかという通信は、データを蓄積して統計的に処理することによって見つけることができ、さらにその「怪しい通信傾向」が、本当に異常なのか、あくまで通常の変動範囲なのかを見極めるためには、蓄積されたデータを深堀して多角的に調査していく必要があります。
これらのプロセスを経て「普通でない通信」を見つけるためには、まずは、常時ネットワーク通信やsyslogを可能な限り全て蓄積し、定期的に統計処理して「普通の通信状態」を把握し、また「怪しい通信傾向」を見いだせるようにしておくことが必要です。
このようなデータ蓄積・統計処理には、SolitonNKのようなそれ用のシステムで、「組織のネットワーク通信全体を蓄積・定期的な状態チェック」をしておくのが良いことになります。
リアルタイム検知でなくても間に合う、対応できる
「普通でない通信」を、リアルタイムではない、定期的な振り返りチェックで見出したとしても、もう全くの手遅れではないかと思われるかも知れませんが、決してそうとは限りません。
川崎重工が受けた横展開攻撃では、海外拠点が侵入を受けた後、「本来発生しないはずの海外拠点(タイ)から日本国内のサーバへの接続を発見」して、国内拠点や日本以外の拠点への侵入を未然に防ぐことに成功しています。
また、「通信のログ、端末のsyslogなどを可能な限り全て記録して分析できるように備えておく」ことによって、横展開による侵入を既に受けてしまったことが分かった後にも、その侵入を受けた範囲や、侵害された情報の特定を明らかにすることができます。NTTコミュニケーションズが受けた横展開攻撃について、NTTコミュニケーションズは侵害を受けた後に、時間をかけて詳細なログ分析を行って、その影響範囲を特定しています。
ウイルス検知ソフトや侵入検知システムでは発見する事のできない横展開攻撃に備えるために、「通常の通信状態」を把握する必要があるというのは上で述べた通りですが、ここに多くのリソースを割ける組織はそう多くないでしょう。定期的にネットワーク状態をグラフ等で可視化がなされると、簡便に一目で「通常の通信状態」を把握できるようになります。
ネットワーク可視化しよう~SolitonNKが使える
"「通常の通信状態の把握」とか言われてもなぁ、そんなの時間かけて理解する工数かけてられないよ……"
というのが、多くの人が抱く率直な感想ではないでしょうか。実はそれはそんな大仰に構える必要はないのです。まずは、一週間分、あるいは一か月分のトラフィックをまとめてグラフなどにしたものをチラと眺めるのを何回かやってみるだけでいいのです。
例えばこれはテレワーク勤務に対応するため、CISCOのASAで社員のVPN接続を捌いている事業所での、接続数の経時グラフの例です。
この事業所では、9時~17時半までが通常の勤務の事業所なので、朝9時前から急に接続数が増え、そして夕方に次第に接続数が次第に減っていき、夜の接続数は少なくなります。この増減は、どこの企業でも同じというわけではありません。24時間殆ど接続数が変わらない事業所もあれば、逆に夜は(情シスによるもの以外)全く一切接続が無いような事業所もあります。
この接続数パターンが急に変わったら、「何か」異常が起きてるのではないかと詳しい分析に入ることができます。
また、通信のデータ量が多い社内ユーザベスト5を定期的に見ていて、ある日突然、これまでそれほど通信量が多くない端末ユーザがランキング上位に入ってきたら、この端末は何をやってるのだろう、ひょっとして横展開先を探してるのではないかと調査することができるでしょう。
まずは簡単な方法で良いので、社内の普段の普通のIT活動を定期的に可視化して見ておくことが大事です。そうすれば、「よくわからないけど何か変」を察知することができ、それに対して詳しい調査をすることができます。
「簡単な方法」として、ソリトンシステムズから「ネットワーク可視化」サービスが行われていて、無料トライアルもできるようですから、試してみるのもいいのではないでしょうか。上図は、実はこの無料トライアルで定期的に送られてくるレポートの図なのです。
ネットワーク可視化の無料トライアルについて
「ネットワーク可視化」サービスにご興味のある方は
https://www.solitonnk.com/contact
または
https://sa.soliton.co.jp/form/TrialNK
から問い合わせると良いです。本記事を見たことを書き添えると、話は通じやすいです。
Soliton NK について、今後記事を追加していく予定です。