【連載リレーコラム（3）】
「すぐできる標的型攻撃対策〜攻撃シナリオを無効かするActive Directoryの設定〜」

（株式会社日立システムズ仮想化統合監視・運用センタ 主任技師　大森 雅司）

“標的型攻撃。”この言葉は、セキュリティ業界にいる人であれば、誰でも一度は耳にした言葉だと思います。しかし、標的型攻撃ほど、定義や攻撃の全体像が曖昧で、尚且つ、対策方法も多岐に至る攻撃は、他にありません。被害は減るどころか、増加する一方、今年に入っては、日本組織をターゲットにした「Blue Termite」のような、大規模な攻撃キャンペーンが展開され、国内産業、経済界において大きな脅威となりつつあります。本稿では、標的型攻撃のシナリオとActive Directoryによる簡易な対策方法について紹介します。

これまで標的型攻撃は、ウイルス・マルウェアの侵入・駆除といった対策に主眼が置かれてきました。この考えは、決して間違いではありません。しかし、厳密に言うと標的型攻撃の一部分の手口についての対策というのが正直なところです。というのも標的型攻撃は、複数の攻撃手口を組合せた一連の攻撃プロセスから構成され、目標達成の為に戦術的に仕掛けてくるタイプの攻撃だからです。IPAの「『高度標的型攻撃』対策に向けたシステム設計ガイド」によると、攻撃段階と手口を下記の様に分類しています。

1)計画立案
攻撃者による狙い設定、攻撃の下調べをします。
2)攻撃準備
マルウェア作成、C&Cサーバなど攻撃に必要なリソースを準備します。
3)初期潜入
ユーザに対してマルウェア感染を試みる。感染手口については、Web感染、メール感染などが代表的な手口として挙げられます。
4)基盤構築
バックドアを開設し、C&Cサーバとの交信を可能にします。その後、標的組織にリモート潜入し、内部のネットワーク構成や攻撃に必要なアカウント情報を窃取します。
5)内部侵入・調査
窃取したアカウント情報を使い、周辺のパソコンに侵入範囲を拡大し、パソコンに保存されている情報を窃取していきます。場合によっては、サーバにまで侵入範囲を広げ、大量の情報を窃取します。
6)目的遂行
攻撃目標に掲げた情報を窃取し、一連の攻撃を完了させます。なお、攻撃目的については、情報窃取が大半ですが、一部のケースでは情報破壊も行われており、自組織だけでなく関連機関を含めて大混乱に陥る危険性があります。
7)再侵入
攻撃者は、バックドアを通じて再侵入を行い、攻撃を継続すると言われています。

以上がIPAで整理された、標的型攻撃の全体像になります。先日、内閣サイバーセキュリティセンター(NISC)より公表された「日本年金機構における個人情報流出事案に関する原因究明調査結果」においても、ほぼ同様の攻撃手口が使われていることが明らかになっています。

標的型攻撃の対策には、各攻撃段階に応じた対策を多層的に講じる防御思想を取り入れることが重要です。具体的には、3)初期侵入、4)基盤構築、5)内部侵入・調査が、対策可能な攻撃段階となります。3)、4)については、対策ソリューションやプロダクトも充実してきていますが、5)については、十分な対応がなされていない組織が多いのが、私の印象です。

日本年金機構の事例における「内部侵入・調査段階」では、下記の手口が記されています。

• この感染パソコンが指令サーバに接続した後、攻撃者は、当該パソコンを遠隔操作し、約 30 分後には当該パソコンのローカル管理者権限を奪取したと考えられる。
• 攻撃者は、2 時間以内に他の 6 台のパソコンを順次不正プログラムに感染させ、うち 3 台を遠隔操作下に置くことに成功した。
• 攻撃者は、すべてのパソコンにおいてローカル管理者権限の ID・パスワードが同一であったことを悪用し、短時間で感染を拡大させたと考えられる。

上記の状況から「内部侵入・調査段階」において、短時間で攻撃が成功した背景として、下記が問題点として挙げられます。

1)パソコン間でローカル管理者権限のID・パスワードが共通であった
2)パソコンのファイル共有が開放されていた

以外に知られていないことですが、パソコンに保存されているID・パスワードは、ツールを使うと簡易に取得されてしまいます。その為、パソコンが遠隔操作されている状態においては、既に攻撃者にアカウント情報が握られているも同然です。更に、盗んだID・パスワードがパソコン間で共有され、ファイル共有も開放されている状況は、容易に侵入範囲が拡大できることを意味します。

対策については複数の方法が考えられますが、シンプルな方法としては、下記が挙げられます。

1)パソコンのファイル共有を禁止し、ファイル共有については、ファイルサーバを経由する方式に統一する。
2)パーソナルファイアウォールを使用して、パソコン間の相互通信を禁止する。
3)パソコン間のローカル管理アカウントを個別に設定する。

3)については、パソコンごとにパスワードを設定する必要がありますが、1)2)についてはActive Directoryのグループポリシーで設定することが可能です。以降でWindows７の設定方法にて簡単に紹介します。

※下記に紹介する内容は、各組織における動作を保証するものではありません。自組織内での影響を事前に検証し、実装してください。

1)Active Directoryによるファイル共有の禁止設定
　Windows Server 2008 以降の Active Directory を導入している場合は、グループポリシーの設定により管理共有の無効化が可能です。
　グループポリシー管理エディターにて、[コンピュータ構成]-[基本設定]-[Windowsの設定]-[レジストリ]を展開し、下記をセットします。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\LanmanServer\Parameters\AutoShareWks → 0
2)ActiveDirectoryによるWindowsファイアウォールの設定
　Windows Server 2008 以降の Active Directory を導入している場合は、グループポリシーによりユーザパソコンの Windows ファイアウォール設定が可能です。
グループポリシー管理エディターにて、[コンピュータ構成]-[ポリシー]-[セキュリティ設定]-[セキュリティが強化されたWindowsファイアウォール]-[受信の規則]を展開し、下記をセットします。
• 全般 → 接続をブロックする
• プロトコルおよびポート → ローカルポート UDP（１３７、１３８）、TCP（１３９、４４５）
• スコープ → リモート IP アドレスにクライアントのサブネットを設定

Active Directoryには多様な機能があり、十分に使いこなせないケースが散在します。ただ、パソコンを跨いだ攻撃の拡散防止には、有効な手立てになり得ます。セキュリティ対策の基本は、コントロールを効かせることから始まります。既存システムを有効に活かして、標的型攻撃に備えてみてはいかがでしょうか。

＃連載リレーコラム、ここまで

＜お断り＞本稿の内容は著者の個人的見解であり、所属企業及びその業務と関係するものではありません。

【部会・WG便り】
★JNSA会員専用ページに、マイナンバーWGが作成しました
　「マイナンバーの安全管理措置チェックシート」のExcelファイルを掲載しました。
　https://www.jnsa.org/member/index.html

【事務局からの連絡、お知らせ】

★JNSAセキュリティセミナー申込受付中！
「JNSAセキュリティセミナー in 札幌」
　日時：2015年11月17日（火）13:00〜16:00（開場12:30）
　会場：わくわくホリデーホール（札幌市民ホール）第1・2会議室
　プログラム・お申込みは↓こちら↓から
　https://www.jnsa.org/seminar/2015/1117/

「JNSAセキュリティセミナー in 大阪」
　日時：2015年11月26日（火）13:30〜17:00（開場13:00）
　会場：第二吉本ビルディング 会議室A−C
　プログラム・お申込みは↓こちら↓から
　https://www.jnsa.org/seminar/2015/1126/

　＜今後のセミナー開催予定＞
　　12月17日（木）沖縄
　　2016年2月（予定）金沢

☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。

*************************************
JNSAメールマガジン　第72号　
発信日：2015年10月23日
発行：　JNSA事務局　
*************************************