Cybercrime-as-a-Service(サービスとしてのサイバー犯罪)エコノミーおよびサプライチェーンにより、サイバー犯罪者達は市販の攻撃型サイバー機能を選択し組み合わせて利用できるようになった。
サイバー犯罪者達がレーダーに捕捉されない4つのケース
Oliver Rochford, Technical Director | 2020年4月8日水曜日
サイバー脅威の攻撃者を高い確度で特定することは近年ますます難しくなってきました。攻撃者達は、たとえ攻撃が検知されても、自分たちの素性は特定されずに罰を免れることができるようさまざまなテクニックを身につけています。
脅威を検知することは、もちろん、そのアクティビティを追跡して人間の実行者を特定することとはまったく別の技術的問題です。しかし、事態が落ち着いた後いずれかの時点で、たとえばインシデントの事後解析において、どこかの誰かが、容疑者は誰なのかを知る必要があります。そして、その他私達のあらゆる対策の強化や、いくつかの攻撃のアトリビューションにおける 最近の成功 やサイバー犯罪関連法規の制定などにも関わらず、10万件に3件のサイバー犯罪しか訴追されていません。簡単に言えば、まだまだ未解決の問題があるのです。成功したケースの多くは、積極的アプローチよりもむしろ犯罪者側の作戦上の安全策が失敗したことによるものです。事実、最近のいくつかの傾向は確度の高いアトリビューションをさらに難しいものにしています。
アトリビューションを難しくする4つのサイバー脅威トレンド
脅威アクターが攻撃力を調達し獲得する方法には4つのトレンドが見られ、これらによってTTP(戦術、テクニック、手順)を高い確度で識別し、個別の脅威アクターを特定しようとする際の複雑性が増す結果となっています。
‘Living off the Land’(環境に寄生する)ツールの使用を拡大することにより、従来型のシグネチャベースのセキュリティ防御システムを回避し、脅威アクター達のアクティビティをわかりにくくしている。
コード再利用はハッカーコミュニティではこれまでも行われていたが、最近では国家グレードの攻撃用コードのコピーができるようになっている。
犯罪目的の攻撃者にとっての参入障壁が低くなり、技術レベルが高くない犯罪者にも手段が提供され、あとは時間と想像力だけの問題となっている。
図1:4つのサイバー脅威トレンド
脅威アクターはさまざまな攻撃ツールを組み合わせ、幅広いタイプの攻撃に合わせて攻撃用スタックを作成することができます。
プロ用サイバー犯罪用ツールおよびサービスの市場、‘Living off the Land’(環境に寄生する)テクニックの普及、そして国家情報機関からリークされたコードの再利用などにより、たいして技術的能力のない脅威アクターであっても、非常に巧妙なサイバー犯罪を実行することができます。サイバー犯罪を計画する際、現在主に4つのタイプの攻撃ツールの選択肢があります。そのうち3つは新しい、あるいは大幅に強化されたものです。さらに重要な点は、これらの脅威アクターは各種攻撃ツールを組み合わせ、多様な標的に対応したさまざまな攻撃に利用できる、戦術的に柔軟な攻撃スタックを構築できることです。
既製品を使った攻撃
急成長中でありますます専門的となったCybercrime-as-a-Service市場(16億ドル規模と見られる)は、さまざまなマイクロサービス、攻撃コード、攻撃プラットフォームに活発な市場を提供しています。動機があり、十分なビットコインと熱意を持っていれば誰でも、次のサイバー版「ドン・コルレオーネ」になれるのです。これらのサービスの多くは専任のアカウント管理およびプロフェッショナルサポートを24時間提供しています。サイバー犯罪サプライチェーンの商業化はCybercrime-as-a-Service業者に対してハードルを上げることになりましたが、同時にサイバー犯罪実行者に対してはハードルを下げる結果となっています。
Living off the Land (環境に寄生する)
‘Living off the Land(環境に寄生する)’ および“マルウェアレス”攻撃はかなり前から増えてきています。これらの攻撃手法が危険なのは、彼らが標準オペレーティングシステムを利用して不正行為を行い、マルウェアのヒューリスティックを検知しようとするシグネチャベースのアプローチ(シグネチャベースの侵入検知システムも含む)を無力にしてしまうことです。
これらの攻撃は、どのマルウェアが使われているかを調べることにとどまらないサイバーセキュリティに対するアプローチが必要であることを実証しています。多くのセキュリティチームは静的なブラックリストに頼る代わりに、あらゆるユーザーおよびデバイスにとっての「正常」を学習する、より洗練されたアプローチを採用しはじめています。防御に対するこのアプローチは変化するベースラインを元に、サイバー脅威の兆候かもしれない異常なアクティビティをリアルタイムに検知および封じ込めることができます。
コードの再利用と転用
これまでにない新たな問題としては、サイバー犯罪者達が情報機関や国家グレードの攻撃コードにアクセスできるようになりつつあることです。
ハッカー達は攻撃コードも含め、常に他者からコードをせびり、借り、盗んできました。よく知られている2つの例としてZeusトロイとRIGエクスプロイトキットコードの流出は現行世代の脅威のほとんどにコードベースを提供しています。悪意によるものか不手際によるものかに関係なく、サイバー犯罪者達が情報機関や国家グレードの攻撃コードにアクセスできるようになりつつあることがこれまでと違う点です。Wannacryの誕生につながったShadowbroker流出もこうした最近の例であり、特に情報機関がお互いの手法を積極的に開示するようになる中でこの傾向は加速しています。
カスタマイズされた専用のテクニック
ハッカーが独自のツールを開発し自らエクスプロイトを調査することは長年の神聖化された伝統であり、トップニュースとなるようなゼロデイ攻撃はますます増えています。特に国家アクターは攻撃の実行者と攻撃コードの開発者を分けていることが多く、目的に合わせた専用のコードやツールを作らせることができますが、これはCybercrime-as-a-Service市場で再現されているモデルとも似ています。カスタムツールを開発する場合であっても、脅威アクターはしばしば他のグループのコードやエクスプロイトを取り入れています。
図2:4つの主要な攻撃ツールのタイプ
こうした攻撃の背後にいるのは誰かを見極める際には、最も重要なのは攻撃ツールの4つのタイプをすべて組み合わせる能力です。この能力によって検知をパターンマッチングに依存した手法に対してさらなる難読化のレイヤを追加することができ、調査を行おうとする者をさらに困惑させることができます。攻撃者はこれらのツールのあらゆる組み合わせとバリエーションを使用して、攻撃スタックの「キメラ」を作成することができます。こうすることで、実際にはだれが実行しているのかを識別することは格段に難しくなります。たとえば、実際の攻撃者とCybercrime-as-a-Serviceベンダーを区別することは、評価されるTTPのほとんどが技術的なものでツールの使用に基づいているときには困難です。
図3:TTPとアトリビューションの混乱の連鎖
まとめ
アトリビューションの困難さが高まるなかで、私達はサイバー攻撃事態を防ぐことに焦点を向けなければなりません。
前述のような4つの脅威トレンドがあいまって犯罪目的の攻撃者にとっての参入障壁は低くなりました。今や技術力の低いグループであっても、従来最も組織化され豊富な資金を持つ犯罪組織にしか不可能であったスピードと規模で攻撃を仕掛けることができるのです。こうした状況の変化によりサイバー攻撃のアトリビューションは極端に困難さを増し、サイバー犯罪の訴追率が攻撃意欲をそぐまでに十分に高まるには時間がかかりそうです。
アトリビューションの困難さが高まるなかで、私達はサイバー攻撃事態を防ぐことに焦点を向けなければなりません。誰があなたを攻撃しているのかは最後までわからないかもしれません。しかし古いものから新しいものまであらゆる範囲の脅威を阻止することができれば、組織は通常通りの業務を続けることができます。
幸い、サイバー攻撃を検知し対処する防御側の能力は、AIおよび機械学習の最先端技術により近年大幅に進歩しています。現在、3,500を超える組織がCyber AIを使って、たとえ攻撃者が既存のOSツールを使って攻撃の隠れ蓑にし、あるいは専用でまったく新しいテクニックを使ってルールやシグネチャの検知を回避しようとも、サイバー脅威を検知し封じ込めています。脅威が見つかると、AIは自律的に対処してユーザーまたはデバイスの「生活パターン」を強制することにより、「通常通り」の動作を継続させると同時に組織を被害からしっかりと守ることができます。
