[Security Days Spring 2017 インタビュー] 日本がCSIRT構築より前に振り返るべきポイント（セキュアワークス・ジャパン）

3月8日からの3日間は東京で、3月16日には大阪にて開催される「Security Days Spring 2017」。国内外のセキュリティベンダーによるセミナー中心のイベントで、多くの企業や専門家が最新知見の講演を行う。

初日の基調講演「潜む攻撃者を狩り出す：標的型ハンティング・サービスの実態急増する『痕跡を残さない攻撃』に対し、どのように対処すべきか」に登壇するセキュアワークス・ジャパン株式会社ジェネラル・マネージャジェフ・モルツ氏に、日本のセキュリティ対策や講演の見どころについて話を聞いた。

――さっそくですが、日本におけるサイバー攻撃の現状についてどのように分析されていますか。

攻撃の巧妙化が進んでおり、多くの企業や組織が攻撃や侵入に気づいていない現状があります。弊社の調査では、外部からの攻撃や侵入を、内部のスタッフが発見した割合はわずか12％でした。残りの88％は、法執行機関や第三者からの報告によってその事実を知らされています。

攻撃者も、個人、ハクティビスト、高度に組織化された犯罪者、国家と多様化しています。それぞれ目的やモチベーションも異なっていることも防御を難しくしています。国によるサイバー攻撃というと、日本は縁がないと思うかもしれませんが、歴史的な問題もあり、アメリカと同様に国家サイバー攻撃の標的になっている国です。

――なぜ、最近の攻撃は検知が難しくなっているのでしょうか。

これまでの一般的な標的型攻撃は、侵入経路が電子メールの添付ファイルやリンクに起因するものが多く、このようなメールは本人が正規のものだと思って開封してしまうし、リンクをアクセスしてしまうので、攻撃された、情報を漏らしたという自覚がありません。

しかし、添付にしろ攻撃サイトからのダウンロードにしろ、マルウェアを実行すれば何らかの痕跡が残るので検知が可能でした。現在問題になっているのはマルウェアを利用しない攻撃です。セキュアワークスでは、「Living off the land（環境寄生）」と呼んでいますが、資格情報を盗むかハッキングすることで、既存の管理ツールやシステムを利用する攻撃です。システムにとっては、個々の操作は正規なものでエラーでも不正プログラムの実行でもありません。このような攻撃は、ログファイルを継続して深く監視していないとなかなか検知できません。

――マルウェアを使用しない攻撃とは具体的にどんな攻撃ですか？

例えば、ブラウザ経由でアクセスするようなWebサービスのログイン画面です。シンクライアントや仮想デスクトップ、モバイル接続のリモートデスクトップ接続を利用することもあります。資格情報があれば侵入は簡単ですし、SQLインジェクションといった手法でハッキングしたり侵入する方法もあります

マルウェア自身も、シグネチャを偽装したり、ファイルを残さなかったり、ステルス性が進化している面もありますが、マルウェアを使わない攻撃が急増していることをわすれてはなりません。

――マルウェアを使わない攻撃への対処方法はあるのでしょうか。

マルウェアを使用しないので、アンチウイルス、サンドボックス、平均的なFW、IPS/IDSでは検知が困難です。ログやトラフィックをつぶさに監視し、侵入や不審な操作の痕跡を見つける必要があります。

セキュアワークスのソリューションでは、このためにエンドポイントに「Red Cloak」というエージェントを使って端末の動きもチェックします。加えて、CTU（Counter Threat Unit）という独自技術とプロフェッショナルな分析官が、ネットワークトラフィック、各種ログ、Red Cloakの情報を統合的に分析し、攻撃を検知、対策や対応をアドバイスします。セキュアワークスでは、このようなアプローチをTTH（Targeted Threat Hunting：標的型攻撃ハンティング）サービスと呼んでいます。

ログ等の解析や監視には、機械学習やヒューリスティック検知といった技術も使っており、未知の攻撃や攻撃の予兆検知などプロアクティブな対策も可能なものです。

――セキュアワークス・ジャパンのSOC（Securiy Operation Center）の特長を教えてください

いくつかありますが、まず大企業以外は自社で24時間監視のSOCを運用するのは難しいと思います。セキュアワークスでは、グローバルに5か所のSOCを展開しており、お客様の監視を行っています。また、平均的なSOCは、標準的なツールやシステムによって監視を行っていると思いますが、当社のSOCでは、Red CloakやCTU、そしてプロフェッショナルによるインテリジェンスな分析、脆弱性の分析まで行っていることが主な特長となります。

――日本では、ここ数年、企業内CSIRTの構築がブームのようにもなっています。巧妙化する攻撃への対処として、インシデント対応を強化するという考え方もあると思います。

セキュリティ対策の歴史を振り返ってみると、1990年代にハッカーが出現してから、まずウイルスやマルウェアの識別、次にアンチウイルスやファイアウォールによる保護、そしてIDS/IPSによる検知へと技術トレンドが進んできました。たしかに、現在は、インシデント対応を強化するフェーズであり、その先はレジリエンスな（回復力のある）システムが注目されています。

この流れの中でCSIRT構築は重要かつ必要なことですが、日本は、検知や脆弱性スキャンの重要性を見直すべきだと思っています。2010年前後のIDS/IPSなどによる検知強化のフェーズでは、欧米では国家を含む高度なサイバー攻撃を受けてきており、インテリジェンスを活用した、プロアクティブな検知に力を入れてきました。日本では、このフェーズでの対策が十分でないままインシデント対応のフェーズに入っていると考えられるからです。

ファイアウォールやIPS/IDSで安心していると、マルウェアを使わない攻撃検知が十分でないために、侵入に数か月、1年といった単位で気が付いていなかった深刻な事例も確認しています。

――なるほど、海外に比べると日本は標的型攻撃や国によるサイバー攻撃への認識は低いかもしれません。では、最後にTTH（標的型攻撃ハンティング）による検知や対策の具体的事例をなにかひとつ教えていただけますか。

はい。いくつかありますが、最新の事例を含めてその詳細は実際の基調講演で詳しくお話したいと思います。楽しみにしていてください（笑）。

――残念ですが、セッション当日までがまんすることにします。本日はありがとうございました。