情報漏洩の可能性はあるが事実は不明、どう調査すればいいのか | 東京IT新聞

情報漏洩の可能性はあるが事実は不明、どう調査すればいいのか

コンシューマー セキュリティ

最近、公官庁や企業などで「セキュリティ事案(情報漏洩)の可能性があるかもしれない」といった発表をよく見聞きします。なぜ“可能性”という段階にもかかわらず発表してしまうのでしょうか。今回(第34回)はこの背景を詳しく解説するとともに、「ミスリード(誤った解釈へ誘導)」をしないための方法を考えていきましょう。

ブラックリストにヒットすると事案発生の可能性

 インシデントレスポンス(事案対応)では、セキュリティ機関やベンダ、研究者などが保有する「犯罪者サイトのIPアドレス」(いわゆるブラックリスト)への通信があったか否かということをセキュリティ担当者は調査します。  業界用語でいえば、「犯罪者が管理する“C&C(マルウェアなどが感染したコンピュータ・サーバ)”と通信が成立していたか否か」ということになります。  その結果、該当するIPアドレス(ブラックリスト)にヒットすると、「セキュリティ事案があったかもしれない」との判断となり、冒頭のような報道発表がなされるわけです。  このIPアドレスとのマッチングという作業は、相当慎重に進めないとインシデントレスポンス対応において大きな“ミスリード”を発生させてしまうことにもなりかねません。

犯罪者は足跡消すため常に居場所を変える

 まず、犯罪者は足跡を残さないように、IPアドレスを頻繁に変えて攻撃をしてきます。  実際、インシデントレスポンス調査でIPアドレスを追跡してみると、著名なクラウド事業者のIPアドレスであったりISP(インターネットサービスプロバイダ)であったり、レンタルサーバのアドレスであったりと、不特定多数の人がアクセスするごく一般の健全なIPアドレスであることが多いのが実情です。  犯罪者は足跡を残さないように、攻撃場所を随時変更しますので、ブラックリストとしてヒットしたとしても、著名なクラウド事業者やISPのアドレスだったということがよくあります。  それは犯罪者がそういった“ファシリティ(設備)”から一時的に攻撃をしているだけなのです。例えれば、犯罪者が偽名でホテルに宿泊して犯罪を行い、またホテルを変えるというようなものです。

情報漏洩事案を特定する事はきわめて困難

 組織内で、マルウェアなどが感染したコンピュータとのC&C通信が発生したか否かを実際に判別するにはどうすればいいのでしょうか。  犯罪者側が管理するC&CサーバのIPアドレスとマッチングさせるには、次世代型ファイアーウォールの「サンドボックス(Sandbox)」で検知したり、さらにドメイン名で分析する事はごく基本的なことです。  発生を確認した場合、その通信によって実際に情報漏洩事案があったか否かを判別するには、保存されている過去のネットワーク「生ログ」を同一の時間軸で分析する必要があります。  たとえば、みなさんのパソコン(PC)が未知の不正プログラム(マルウェア)に感染し、その不正プログラムが犯罪者側によって制御されていると仮定しましょう。  みなさんが全く気付かない状況下で、認証サーバに不正にアクセスして権限情報を奪い、情報資産(個人情報や知的財産情報)が保存されているサーバにアクセスされ、その情報が組織内のプロキシやファイアーウォールを経由して、前述し犯罪者のサーバ(IPアドレス)に通信し、情報漏洩が成立した――という事を分析しない限り、情報漏洩事案を特定する事はきわめて困難です。また、内部犯行であった場合は、PCの操作ログも分析する必要があるでしょう。

誤報か真の攻撃か、判別するのはきわめて難しい

 情報漏洩事案があったか否かを判別する方法について簡単に概説しましたが、これらを分析するには非常に高度な知見が求められます。  組織内のセキュリティセンサはアラート(警告)を日夜発報しますが、そういった分析“トリガー(引き金)”を元に、こと細かに分析し続けることがセキュリティアナリストに求められています。  もしかしたらアラートは誤警告かもしれませんし、本当の攻撃かもしれません。その判別(分析)はみなさんが想像するよりもはるかに難しいものです。  またセキュリティベンダが公開する危険なファイル名も、保存されたログが長期であればあるほど、分析レベルは飛躍的に高まります。  ただし、公開されたファイル名がヒットしなかったからと言って、未知の不正プログラム感染がないとは断言はできません。あくまで基本的な健康診断の一環に過ぎないのです。  自組織内でセキュリティ事案が発生しているか否かを即座に知りたいという経営者の気持ちはよく分かります。  しかし、簡単に見つかるような脅威はそうそう無いことが現実です。ブラックリストとのマッチングを掛けた時には、既に犯罪者は追跡を逃れるために場所(IPアドレス)を変えているからです。

悩ましいのは日本国内の人的リソース枯渇

 ミスリードを防ぐためには、多面的かつ深い知見の持ったアナリストが地道に、そして常時分析し続けることが求められます。そういった作業を軽減し、効率性を高めるのが本来のツールであることも決して忘れないでください。  正しいツールと経験と知見を持った人によってこそ、昨今の高度な攻撃を防ぎ、局所化する事ができるのです。  ただ日本国内では、そうした人的リソースはきわめて枯渇しており、深刻な状態であることは悩ましいところです。 【関連記事】セキュリティ対策はデジタルでなく"アナログ"で考えることが大事(2015年6月29日)
《楢原 盛史》

特集

page top