KADOKAWA・ドワンゴを襲っているサイバー攻撃について、アクティブサイバーディフェンスの観点から考察
高度なサイバー攻撃とアクティブサイバーディフェンス
ドワンゴは6月14日にランサムウェアを含む大規模なサイバー攻撃の被害を受けていることを発表した。
6月8日に「ニコニコ」全般のサービスが正常に利用できないことから攻撃の発覚に繋がったようだ。
私は今回のサイバー攻撃について、特定の企業に対して複数の攻撃手法を用いてサイバー攻撃を行っていることから高度な攻撃であるという印象を受けている。
そこで今回は、公式から発表されたインシデント対応の考察をしたい。
また、このような高度な攻撃をどのような方法を用いれば被害を緩和できるのかをアクティブサイバーディフェンスの視点から考える。
アクティブサイバーディフェンスはとても誤解を招きやすい言葉なので、自分がここでいうアクティブサイバーディフェンスはCCHSの定義を用いたいと思う。
Active defense is a term that captures a spectrum of proactive cybersecurity measures that fall between traditional passive defense and offense. These activities fall into two general categories, the first covering technical interactions between a defender and an attacker. The second category of active defense includes those operations that enable defenders to collect intelligence on threat actors and indicators on the Internet, as well as other policy tools (e.g. sanctions, indictments, trade remedies) that can modify the behavior of malicious actors. The term active defense is not synonymous with “hacking back” and the two should not be used interchangeably.
(出典元のPDFが見れなくなっていたのでアーカイブのリンクを貼った)
インシデント対応の考察
なぜランサムウェアという発表を遅らせたのか?
ドワンゴの”当社サービスへのサイバー攻撃に関するFAQ”を引用すると
ランサムウェアと世間に公表すると、攻撃者が次のステップに進んでしまい、攻撃が激しくなる可能性があるので、ある程度安全が確認できるまで公表を差し控えておりました。
とあり、
”ランサムウェアと世間に公表すると、攻撃者が次のステップに進んでしまい、攻撃が激しくなる可能性がある”
という部分から私はアクティブサイバーディフェンスの実践を感じ取った。
まず、このドワンゴの回答文脈から、攻撃者がまだ攻撃の真の目的を達成できていないことが考察できる。
もし、早期にランサムウェアであると発表した場合に、窃取した情報のリークによる二重脅迫、DDosによる三重脅迫、偽情報による社会的な信頼を失墜させる四重脅迫などをされる可能性がある。
通常、サイバー攻撃者はターゲットの被害状態を正確に把握できない。
情報を攻撃者に与えない、攻撃が刺さったことを攻撃者に教えないことで、攻撃者に色々な可能性を考えさせることができ、攻撃のミスリードや相手の判断を遅らせたりすることができる。そして、攻撃者の時間的リソースを削ることにつながる。
ランサムウェアの攻撃であるという発表を遅らせるという対処は目新しいことではないが、烈度の低いため実行しやすく有効なアクティブディフェンス手法であると私は考察している。
サーバの電源を電源コードを抜いて物理的に落とした対応について
「ニコニコ」は、パブリッククラウドサービスに加え、当社が属するKADOKAWAグループ企業が提供するデータセンター内に構築されたプライベートクラウドサービスを利用しています。このうち、グループ企業のデータセンターがランサムウェアを含むサイバー攻撃を受け、相当数の仮想マシンが暗号化され、利用不能になりました。その結果、「ニコニコ」を含む当社ウェブサービス全般のシステムが停止しました。
今回の第三者によるサイバー攻撃は、発覚後も繰り返し行われ、遠隔でプライベートクラウド内のサーバーをシャットダウンした後も、第三者がさらに遠隔からサーバーを起動させて感染拡大を図るといった行動が観測されました。そのため、サーバーの電源ケーブルや通信ケーブルを物理的に抜線し封鎖しました。これを受け、グループ企業が提供するデータセンターに設置されているサーバーはすべて使用不可となりました。また、さらなる感染拡大を防ぐため、当社社員の歌舞伎座オフィスへの出社を原則禁止とし、社内ネットワーク、社内業務システムも停止しています。
公式からの情報から察するに、攻撃者は仮想マシンだけでなく仮想マシンをホストしているサーバまでアクセス可能になっている状態が考えられる。
そのため、サーバーをシャットダウンしても、WoL(Wake on LAN);LAN内のコンピュータの電源を遠隔でオンにする技術を用いて遠隔からサーバーを起動させることが可能だ。
通常はシステムの可用性やメモリフォレンジックスの観点からサイバー攻撃を受けた場合にコンピュータの電源を落とすことは悪手とされているが、時間的な問題で今回のような物理的な遮断をしたことは合理的な判断であったと考察する。
システムの可用性を優先させるために、ソフトウェア的に遠隔からの電源を入れないようにする方法や、外部との通信を遮断するプログラムを用意している間にさらに感染が拡大する可能性がある。
また、デプロイする仮想マシンの中にすでに攻撃者が悪用可能なバックドアや脆弱性が仕組まれていたサプライチェーン攻撃の可能性も否定できない。
これらの脆弱性やバックドアを利用して自動的に感染を拡大するようなワーム機能を備えたランサムウェアだった場合には外部との通信を遮断してもLAN内での感染拡大が可能だ。
今回のような攻撃者の攻撃可能範囲がデータセンター内のほぼ全てに及んでいた場合には、物理的な抜線による隔離は有効である場合が高い。
さらに、オフィスへの出社原則禁止もサーバーへの物理的なアクセスを遮断できる意味で効果が高いと考える。
今回に限ったことではないが、インシデント対応は時間との戦いである。
今後、時間稼ぎ的なアプローチのサイバーセキュリティ対策の必要性は増してくると思う。
新しいサイバーセキュリティ対策としての”Deception"
アクティブサイバーディフェンスの種類や烈度は様々であるが、今後自分が世の中に広めたいと考えているアクティブサイバーディフェンスの手法はDeceptionである。
Deception(欺瞞)とは、実際のネットワークやサーバを攻撃していると攻撃者に勘違いさせるようなおとりの環境を構築し、そこへ攻撃者を誘導することによって攻撃者を騙す技術である。
Deception技術を用いることで攻撃者の攻撃の検知や攻撃の遅延・阻止、攻撃者の行動データを取得することができる。また、烈度が低いため実行しやすい点も利点の1つである。
それでは、具体的なDeception技術のユースケースを紹介したい。
攻撃初期調査段階の攻撃者を炙り出す
Deception技術を用いることで本格的な攻撃をする前の初期調査段階で攻撃者を発見できる。
攻撃者は通常、サプライチェーン攻撃やソフトウェアの脆弱性、盗んだIDなど用いてターゲット組織へ侵入した後、攻撃者本来の目的を達成するために侵入したネットワーク内で詮索を行う。
攻撃の目的が情報窃取の場合は、目当ての情報がどこのサーバに保存されているのか?
ランサムウェアのような金銭目的の場合は、どのネットワークでどのサーバにあるデータを暗号化すればターゲット組織が身代金を払う決断を下すほどのダメージを与えられるか?
などといったことを攻撃者は考え、侵入先のネットワークの詮索を行う。
そこで、攻撃者が目的を達成する上で必要なターゲットとなるサーバーやネットワークを模した囮環境(デコイサーバやデコイネットワーク)を用意することで、攻撃者を騙していち早く攻撃を発見できると考える。
もちろん、攻撃者を騙して囮の環境へアクセスさせるためには本物に近い環境を用意する必要がある。そのため、囮環境のネットワーク構成やサーバ構成、さらには、囮データに至るまで本物そっくりに作る必要がある。
しかし、Deceptionを用いた攻撃者の侵入検知に関しては、攻撃者が囮環境にアクセスしてくれれば目的達成なので、攻撃者を騙すハードルは低い。
そのため、攻撃者の初期侵入検知はDeception技術が最も威力を発揮する分野であると考える。
また、今までの侵入検知システムでは取り扱えないハイコンテキストな事象をもとに攻撃者の侵入検知ができる点もDeception技術を用いるメリットである。
Deceptionによる攻撃の遅延と阻止
Deception技術は攻撃者の攻撃遅延と阻止にも使うことができる。
先ほども述べたが、攻撃者がターゲットのネットワークに侵入した際、ネットワーク上にどのようなサーバやクライアントがいるのかを調べるためにネットワークスキャンを行う。
その際に防御側は、攻撃者のスキャンの検知にプラスして、偽のレスポンスを返すことでネットワークを巨大に見せたり、複雑な構成に見せたりすることで攻撃者を混乱させることができる。
そのようにすることで、本格的な攻撃が成功するまでの時間を稼ぐことができ、業務の可用性を保った状態で攻撃に対処することができる余裕が生まれる。
また、攻撃者がある特定の組織を狙っているわけではなく、幅広い組織をターゲットにしている場合、Deception技術によって攻撃成功までの時間的コストを増大させることで攻撃を諦めさせることができる場合がある。
攻撃者の行動データ収集による攻撃者の意図や能力の分析
最後に、Deceptionを用いることで攻撃者の深い攻撃データを収集できる可能性がある。
より囮環境構築の難易度は上がるが、攻撃者を騙すための実際のネットワークに似せた囮ネットワークを用意し、攻撃者を実環境を模した囮環境内で泳がせることで攻撃者の意図や能力をより深い攻撃者の行動データを用いて分析することができる。
攻撃者の意図や能力を測ることで自組織が直面している脅威の大きさを測ることにつながる。
リスクは脅威、資産、脆弱性の3つの要素の掛け算で表せられることが多く、脅威を測ることで自組織へのサイバー攻撃リスクを正しく評価できる。
参考として脅威やリスクを測る上で参考になる定義を紹介する。
脅威 = 意図✖️能力✖️機会
リスク = 脅威✖️資産✖️脆弱性
従来のサイバーセキュリティ対策のみで、攻撃者が目的達成を行うまでの活動データを手にいれるためには、完全に実環境がやられてしまった後にフォレンジックス調査などで攻撃者の活動データを手にいれることがほとんどだ。
しかし、Deceptionを用いた囮環境で攻撃者を泳がせて行動データを取得することで、実際に稼働しているシステムが被害を受けずに、攻撃者の行動データを手にいれることができる。
そして、攻撃者の行動を元に実環境のセキュリティ強化を行うことができる。
Deception技術を使わずに、攻撃者の行動データをリアルタイムで取得する場合は、IDSやUTMなど様々な侵入検知、攻撃検知システムによって攻撃者の攻撃活動を検知や阻止を行ったログやアラートから取得可能な場合がある。
ただ、攻撃者は当然検知回避の努力をするため、少しでも攻撃者の検知回避を許してしまうと実環境で攻撃が刺さってしまう。
場合によっては攻撃者がログを消去することで調査が困難になる場合もある。
攻撃者が目的を達成するための手順を抽象化したサイバーキルチェーンというものがある。
Deception技術を使わずに実環境で攻撃者の深い行動データ(サイバーキルチェーンの第7フェーズまで)を取得する場合には、完全に実環境がやられてしまったあとになってしまう。
攻撃者の深い行動データを分析して実環境へのサイバーセキュリティ対策へ応用するためには、安全な囮環境で攻撃者の意図と能力を測る必要がある。
攻撃者の意図を測るためには、サイバーキルチェーンのフェーズ7が最も重要である。
また、
フェーズ4でどのような脆弱性を悪用するのか?
フェーズ6からフェーズ7(攻撃者が初期侵入を完了させて、本格的な攻撃に移行する)でいかに素早く検知回避を行いながら初期侵入から目的を達成するのか?
という部分は攻撃者の能力を測る上で重要な指標となる。
そのため、これらの脅威を測る上で重要なサイバーキルチェーンのフェーズを実環境から隔離された囮環境で観察することができるDeception技術のポテンシャルは高いと考える。