2018/09/19

サイバー脅威分析のオプション

hack Hacker ハッカー 匿名 マスク アノニマス ガイ・フォークス ハクティビスト
2018 年 9 月 19 日 Emil Hozan 著

セキュリティ業界を代表するエキスパートで、パデュー大学教授でもあるジーン・スパフォード氏は、少なくともサイバー情報の分野に身を置く人間であれば、誰もが感謝しなければならない人物です。彼は、サイバーディセプションというアイデアの生みの親であり、この概念の開拓者として、ハニーポット、サンドボックス、さらには AI を活用したセキュリティ対策などのテクノロジを広めてきました。MITRE と NIST の CVE データベースも彼の研究から生まれたと言って過言ではありません。

これらのツールが発表されたことで、正しい方法でリスクを最小限に抑えるという観点から攻撃を観察できるようになりました。ハニーポット/ハニーネットやサンドボックスと呼ばれるツールと最新のディセプションテクノロジは、犯罪者と彼らが作成するマルウェアの理解する上で、重要な役割を果たしているのです。

そこで今回は、これらのツールとテクノロジについてご紹介することにします。

ハニーポット

ハニーポットとは、意図的に脆弱性を残した状態で用意された単体のホストのことであり、数ある目的の 1 つとして、攻撃者を誘い込むことで正規のネットワークホストから遠ざけるために利用されます。さらに、ネットワークデバイスが侵害されるとどうなるかといったことを含め、攻撃の行動を記録できるようにするという目的もあります。ハニーネットは、脆弱であるホストとして参加する複数のホストで構成されるネットワークのことで、正規のネットワーク環境の観点から見ると、ネットワークの信憑性がさらに高くなります。ハッカーたちも進化し、ハニーポット/ハニーネットと正規のネットワークを区別する能力が高くなっていますが、ハニーポットやハニーネットの利用は、ホストやネットワークへの侵入後の攻撃者の行動を理解する極めて有効な方法です。

サンドボックス

サンドボックスも同様に攻撃者の行動を観察するものですが、観察できるレベルが異なります。マルウェアが自分たちのネットワークに侵入したり、ホストに感染したりするのは誰にとってもありがたくないことですが、マルウェアの行動を観察することなく、その特性やもたらす被害を果たして知ることができるのでしょうか。サンドボックスに入れて、隔離され、保護された環境でマルウェアを実行すれば、行動を観察して、マルウェアの目的を知ることができ、つまりは、敵を知ることになります。そして、様々なホストオペレーティングシステム(Windows の各種バージョン、OSX、Linux のフレーバーなど)を用意してマルウェアをインストールし、分析できるようになります。

ディセプションテクノロジ

以上のテクノロジと進化し続ける機能が先導する形で、ディセプションテクノロジへの道が開拓されてきました。APT(Advanced Persistent Threat)の増加を見れば、犯罪者の攻撃の進化に遅れを取ることなく、情報システムの防御も進化させていかなければならないのは明らかです。人工知能(AI)/機械学習(ML)を利用した、自動化された攻撃が増加しています。攻撃側が、防御テクノロジを突破するプログラムにいくつもの対策を次々と採用することで、これらの AI/ML プログラムを継続的に改良し、さらに強力な APT を仕掛けるようになっている今、防衛側も、攻撃側と同じ AI/ML 戦術の活用に乗り出す必要があります。

ディセプションテクノロジは、前述の方法などを組み合わせることで、ネットワーク攻撃の新しい観察方法、AI/ML による学習の活用を可能にし、展開の範囲を最小限にするものです。メリットとして、ハニーポットの役割を果たすホストを指定する必要がない点が挙げられ、このテクノロジの一部のベンダは、実際のホストにインストールできるものの、従業員の作業領域からは完全に分離されたソフトウェアを提供しています。わかりやすく言えば、ある従業員が業務を実行できるワークステーションの使用中に、そのワークステーションにソフトウェアがインストールされていてバックグラウンドで実行されていることを知ることはありません。もう 1 つのメリットとして、ネットワークトラフィックのスプーフィングや偽のアカウントあるいはデータへの偽のアクセスが可能であり、この環境の検知をほとんど気付かれない程度に特性がマスクされる点が挙げられます。そのため、攻撃を何回も繰り返し、ビジネスクリティカルデータの収集と並行しながら、動作に関するフォレンジックも収集できます。

以上のように、セキュリティディセプションは、従来からあるハニーポット/ハニーネットあるいはサンドボックスの 1 つではなく、それらの組み合わせということになりますが、だからと言って、ハニーポットやサンドボックスが無用になったわけではありません。いずれの方法も、状況に合わせて適切に使用されるべきでしょう。すべての中小規模企業にセキュリティディセプションを導入するほどのコストをかける必要があるわけではありませんが、ハニーポット/ハニーネット、あるいはサンドボックス分析であれば可能かもしれません。ただし、サンドボックスの場合は、ビジネスとして提供されているサービスを利用するのが得策であり、それは、自動化されたプロセスによって個別の要件に対応できるようになっているからです。

参考資料

「Deception: Why It’s Not Just Another Honeypot(ディセプションが単なるハニーポットの一種ではない理由)」
出典:https://www.darkreading.com/vulnerabilities—threats/deception-why-its-not-just-another-honeypot/a/d-id/1330506

「8 Reasons Why Deception Technology Trumps Honeypots Every Time(ディセプションテクノロジが常にハニーポットの切り札である 8 つの理由)」
出典:https://blog.illusivenetworks.com/8-differences-between-honeypots-and-deception-technology

「Sandbox: A Separate Space for Developers to ‘Play(サンドボックス:開発者の「遊び場」)」、
出典:https://www.tomsguide.com/us/sandbox,news-17762.html

Wikipedia.org の寄稿者による記事、
「Gene Spafford(ジーン・スパフォード氏の紹介)」、
出典:https://en.wikipedia.org/wiki/Gene_Spafford