2ちゃんねる スマホ用 ■掲示板に戻る■ 全部 1- 最新50    

■ このスレッドは過去ログ倉庫に格納されています

【IT】“2018年に警戒すべき脅威”として注目…いま「サプライチェーン攻撃」を恐れるべき理由、カスペルスキーに聞く

1 :泥ン ★:2018/01/17(水) 18:55:35.59 ID:CAP_USER9.net
ASCII.jp 2018年01月17日 07時00分
http://ascii.jp/elem/000/001/618/1618289/

 昨年(2017年)末に発表されたカスペルスキーの2018年脅威予測レポートでは、今年警戒すべきセキュリティ脅威のひとつとして「サプライチェーン攻撃の増加」が挙げられている。攻撃手法としては決して新しいものではないが、APT攻撃(高度かつ持続的な標的型攻撃)における効果的な攻撃手法として悪用する攻撃グループが増える兆しが見られるという。

 今回は、グローバルな攻撃グループ(APTグループ)の動向にも詳しいカスペルスキー プリンシパルセキュリティリサーチャーのヴィセンテ・ディアス氏に、なぜいまあらためてサプライチェーン攻撃に警戒すべきなのか、その対処策はあるのかといったことを聞いた。

「APT攻撃においてはまだまだ有効」なサプライチェーン攻撃

――「サプライチェーン攻撃」は古くから見られる攻撃手法であり、目新しいものというわけではありません。なぜカスペルスキーは、2018年の脅威レポートであらためてこの攻撃手法を取り上げたのでしょうか。

ディアス氏:われわれGReAT(グローバル調査分析チーム)では、常に100を超えるAPTグループの動向やその作戦、攻撃テクニックを追跡し、分析している。その中で2017年、複数のAPTグループがこの手法を攻撃に用いていることが観測された。それが、われわれがサプライチェーン攻撃に注目している理由だ。

 攻撃手法としては古くからあるものだが、APTグループが攻撃したいと考えているターゲットによっては、これはまだまだ非常に有効な攻撃手法だと言える。

――APTグループは特定の企業や組織に対して執拗に攻撃を仕掛け、侵入を試みるわけですが、なぜサプライチェーン攻撃が有効な手段になりうるのですか。

ディアス氏:APTグループがターゲットとする企業や組織では、非常に高度なセキュリティ対策を実施していることが多い。このように「どうやってリーチ(侵入)したらよいのかわからない」ターゲットに対して、サプライチェーン攻撃は侵入の手がかりを与える。

 たとえば2011年、ロッキード・マーティンやノースロップ・グラマンといった米国の軍需産業へのサイバー攻撃事件が起きた。これらの企業は高度なセキュリティ対策を行っていたため、攻撃者たちはまずセキュリティベンダーのRSA Securityに感染、侵入し、そこで盗み出した「SecureID」(ワンタイムパスワード製品)の情報を悪用して、標的とするロッキードなどへの侵入を成功させた。

 さらに、複数のターゲットをまとめて狙う場合も、サプライチェーン攻撃のほうが都合が良いケースがある。それらのターゲットに何らかの共通項がある、“同じサプライチェーンにリンクしている”場合だ。

――「共通項」とは、具体的にどんなものでしょうか。たとえば、ターゲットが同じ業界内の企業で、同じ業務ソフトウェアを使っているようなケースですか。

ディアス氏:そうだ。実際に起きたサプライチェーン攻撃の例を挙げると、今年(2017年)6月、ウクライナのソフトウェア企業であるMeDoc(ミードック)が提供する税務会計ソフトのアップデートデータが改竄され、多くの企業にマルウェア(※筆者注:ランサムワームの「ExPetr/NotPetya」)がばらまかれた。ベンダーが提供する正規のソフトウェアアップデートであり、ユーザーが疑う余地はなかった。

 われわれがこの攻撃に強い関心を持っているのは、この攻撃の背後に「政治的な動機」があると確信しているからだ。悪用されたのは税務会計ソフトであり、攻撃はちょうどウクライナの企業が確定申告を行う時期に実行された。つまり、ウクライナ国内の産業活動を破壊する目的があったのではないか、と推測できる。

――なるほど。「ウクライナ国内」の「企業」という共通項を持つ特定のターゲットが狙われた、と。

ディアス氏:また昨年は、韓国のNetSarang(ネットサラン)が提供するサーバー管理ツールのソフトウェアアップデートが改竄される事件も発生した(Shadowpad)。このケースでは、攻撃者たちは特定の(複数の)金融機関をターゲットとするうえで、それらの企業が共通して導入していたNetSarangのアップデートを狙うサプライチェーン攻撃を展開した。

 さらに昨年発生したサプライチェーン攻撃としては、(無料ユーティリティソフトの)「CCleaner」のアップデート改竄も挙げられる。およそ200万台のPCに対して不正なアップデートが配信されたと推定されており、昨年起きた攻撃の中でも最大規模のものになる。その背後には中国語圏の「Axiom」というAPTグループがいると見られている。まずは幅広く感染を広げ、次の段階で特定のターゲットに絞り込んで攻撃を進める狙いがあったのではないか。

続きは>>2-3

2 :泥ン ★:2018/01/17(水) 18:55:46.72 ID:CAP_USER9.net
「Kaspersky Security Bulletin 2017/2018年サイバー脅威の予測」レポートでは、2018年のAPT攻撃で予測される動向として「サプライチェーン攻撃の増加」が挙げられている
http://ascii.jp/elem/000/001/618/1618276/180117_Kaspersky_02_500x354_500x354.jpg
Kaspersky Lab グローバル調査分析チーム(GReAT)プリンシパルセキュリティリサーチャーのヴィセンテ・ディアス(Vicente Diaz)氏
http://ascii.jp/elem/000/001/618/1618277/180117_Kaspersky_04_1200x900.jpg
http://ascii.jp/elem/000/001/618/1618280/180117_Kaspersky_22_1200x900.jpg

サプライチェーン攻撃をどうやって防ぐのか

――メールでマルウェアを送りつけるような攻撃とは異なり、サプライチェーン攻撃では、改竄されたソフトウェアが正規の提供元(ソフトウェアベンダー)から供給されます。防御側ではこの攻撃をどうやって発見し、防御すればいいのでしょうか。

ディアス氏:難しい問いだ。まず、一般的なマルウェアとは異なり、サプライチェーン攻撃ではひとつのソフトウェアの中に正常なコードと攻撃コードが混在することになる。そのため、プログラムのサイズが大きく、複雑であり、単純なマルウェアよりも分析しにくいという課題が生じる。

 また、ユーザーはソフトウェアベンダーを信頼しているという前提がある。(前述の事例のように)アップデートがひそかに改竄され、なおかつ自動更新の設定が行われていたりすると、自動的に感染してしまう。しかも、アップデートは(OSの)高い特権レベルで行われることも多く、(セキュリティ製品などが)それを止めるのは難しい。

 こうした攻撃を検知するためには、ソフトウェア実行時のふるまいを分析し、異常なふるまい(アノマリ)が見られないかどうかを確認していく必要がある。ただし、こうした作業は、改竄された不正なソフトウェアであることが発覚する「前」に行わなければならず、そこが難しいところだ。

――技術的には、現在のセキュリティ技術でも検知が可能なのでしょうか。

ディアス氏:答えとしては「状況による」。一部は現在のセキュリティ製品でも検知可能だと考えられるが、異常なふるまいとして認識できないものもあるかもしれない。

 たとえばチャットツールなど、サーバーにデータを送信するタイプのソフトが、あるとき攻撃者のC&Cサーバーにデータを送ったとしても、それを異常なふるまいだとは判断できない可能性がある。アノマリ検知においては、あらかじめ標準的な(正しい)ふるまいのベースラインを定義しておかなければならない。人間が関与して微妙なチューニング作業をしなければ、どうしても偽陽性/偽陰性が多発してしまう。

――かなり難しい問題ですね。それならばソフトウェアの開発元や配布元で、ソフトウェアの改竄を防ぐという対策はどうでしょうか。

ディアス氏:こちらも非常に複雑だ。プログラムのソースコードが何百万行もあり、何十万ものライブラリを使っていて、なおかつ何十ものバージョンがあるようなソフトウェアでは、開発に多数のエンジニアが関わっており、開発/テストプロセスは自動化されている。わずか数行の不正なコードを書き込まれても、それを発見するのは難しいだろう。

 APTグループは、国家の政府機関や軍に対する攻撃すら成功させられるような、高度な攻撃スキルとツールを備えた集団だ。ソフトウェアの専門家であるソフトウェアベンダーであっても、そうしたレベルの攻撃に耐えうるような、非常に高度なセキュリティ対策をとらなければならない。

――今後、IoTデバイスのソフトウェアに対する改竄というかたちでもサプライチェーン攻撃は増えてくるでしょうか。

ディアス氏:少なくともその危険性は絶対にある。IoTデバイスの場合、出荷後はほとんど、あるいはまったくソフトウェアがアップデートされない。感染したIoTデバイスが接続したネットワーク、そこにつながっている別のデバイスにまた感染が広がるというケースが、今後懸念される。

3 :泥ン ★:2018/01/17(水) 18:55:56.97 ID:CAP_USER9.net
APTグループは、サプライチェーン攻撃を「他の手段が失敗した際の代替手段」と捉えている。もちろんターゲット企業/組織がどんなソフトウェアを導入しているかは、あらかじめ“偵察”済みだ
http://ascii.jp/elem/000/001/618/1618278/180117_Kaspersky_12_1400x787.jpg
2017年に展開されたサプライチェーン攻撃。新たなタイプの「水飲み場攻撃」とも言える
http://ascii.jp/elem/000/001/618/1618279/180117_Kaspersky_14_1200x675.jpg

まずはサプライチェーン攻撃に関する社会全体の情報共有が大切

――最後に、こうしたサプライチェーン攻撃に対抗するために、ユーザー企業、ソフトウェアベンダー、そしてセキュリティベンダーのそれぞれが、これから何をすべきかを教えてください。

ディアス氏:まずは、カスペルスキーのようなセキュリティベンダーがサプライチェーン攻撃の動向を分析し、社会に広く情報共有することで、その理解を深めていくことだ。共通の理解を持ち、全体の意識が高まることで、多くの人々との連携が可能になる。

 社会全体の意識が高まれば、われわれからソフトウェアベンダーやユーザー企業に対する警告も、よりスムーズに理解してもらえるようになるだろう。

 ソフトウェアベンダーは、「自社のソフトウェアが改竄されることはない」と過信しないようにすること。サプライチェーン攻撃では、ソフトウェアベンダー自身がターゲットになりうるという事実をしっかり理解しておいてほしい。

 なおかつ、仮にそうした攻撃を受けた場合には、速やかにユーザーへの情報開示を進めることも大切だ。どのような攻撃が進行しているのかを情報共有することが社会にとっての「最大の防御」であり、それをためらわせるような雰囲気にしてはいけない。

――攻撃を受けたソフトウェアベンダーやユーザー企業の責任を単純に追及するようなことは、むしろ逆効果になりうるわけですね。それと、社会全体での情報共有を図っていくうえでは、政府/行政機関の役割も大切でしょう。

ディアス氏:もちろんだ。ただし、残念ながらどこの国でも政府行政機関の動きは遅い。特に、インターネット上でこうしたセキュリティ課題が次々に発生してくるスピードに比べると、彼らの動きはものすごく遅い。

 それでも、たとえば米国政府のように、個人情報が漏洩した場合はそのインシデントを迅速に公開するよう義務づけるなど、政府でなければできない役割もある。

 ユーザー企業、ソフトウェアベンダー、セキュリティベンダー、そして政府行政機関と、われわれは皆“同じボート”に乗っていることを認識してほしい。たとえ競合企業の間であっても、セキュリティ情報の共有については協力を図っていくことが大切だ。

文● 大塚昭彦/TECH.ASCII.jp 写真● 曽根田元

4 :名無しさん@1周年:2018/01/17(水) 18:56:39.62 ID:I1cgWul80.net
ネビラチェーン!

5 :名無しさん@1周年:2018/01/17(水) 18:57:37.69 ID:4ONuxjxx0.net
いつになったら豆腐直るんや

6 :名無しさん@1周年:2018/01/17(水) 18:57:50.03 ID:60n8qvdB0.net
18年に警戒すべき脅威
それはロシア製スパイウェア内蔵のカスペルスキーそのものだ

7 :名無しさん@1周年:2018/01/17(水) 18:58:56.38 ID:VOK53DDv0.net
火曜スペシャル

8 :(;゚Д゚)コロ猫映画(仮)2 :2018/01/17(水) 18:59:15.18 ID:DepP6pSq0.net
(; ゚Д゚)いや、脅威なのは欠陥だらけのOSとCPUとJAVAだろ

9 :名無しさん@1周年:2018/01/17(水) 19:00:25.35 ID:Z6CqNLmB0.net
カスペルスキー自体がスパイウェア

10 :名無しさん@1周年:2018/01/17(水) 19:07:03.23 ID:G6SUqesI0.net
GoggleとMSのスパイ活動を遮断できるのはKasperskyだけ

11 :名無しさん@1周年:2018/01/17(水) 19:08:57.77 ID:BXLdFmsX0.net
西側が最も恐れる「カスペルスキー」という男
http://www.fsight.jp/articles/-/43200

ロシアのスパイ活動協力を否定 情報セキュリティーのカスペルスキーCEO
https://www.nikkei.com/article/DGXMZO2556831011012018FF2000/

12 :名無しさん@1周年:2018/01/17(水) 19:24:33.54 ID:3EovxJgg0.net
カスペさん自体がな…

13 :名無しさん@1周年:2018/01/17(水) 19:40:04.96 ID:0I2TVqPd0.net
グレートだぜ

14 :名無しさん@1周年:2018/01/17(水) 20:14:33.63 ID:A+dZLg4E0.net
>>6
トレンドマイクロが10年以上前にコンシューマ向けにやらかして以来、ずっとカスペ使っている俺に死角はないな(笑)

15 :名無しさん@1周年:2018/01/17(水) 21:15:45.01 ID:+tAMkhob0.net
なんか只今準備中ってな感じだな。

16 :名無しさん@1周年:2018/01/17(水) 21:16:16.08 ID:Q1WD5C+W0.net
>>9

17 :名無しさん@1周年:2018/01/17(水) 21:20:30.34 ID:X9FifGSZ0.net
>>6 >>9 >>12
うむ

18 :名無しさん@1周年:2018/01/18(木) 02:26:43.03 ID:dSgpYeDe0.net
犯罪のことは犯罪者に聞け

19 :名無しさん@1周年:2018/01/18(木) 11:20:38.50 ID:ZyBn+1PV0.net
アメリカが勝手にやらかしただけで、カスペは無罪じゃなかったか?

20 :名無しさん@1周年:2018/01/18(木) 12:18:03.87 ID:RyrvRQY10.net
というかアメリカがやってないとはとても信じられない。
シマンテックやらGoogleがNSAのための仕様上の穴開けてないとは。

総レス数 20
13 KB
掲示板に戻る 全部 前100 次100 最新50
read.cgi ver 2014.07.20.01.SC 2014/07/20 D ★