2015年6月上旬、100万件を超える規模の個人情報が漏えいする事件が発生し、メディアを賑わせました。この事件は標的型攻撃が原因で、2013年以降に日本の組織を狙った攻撃で利用されているマルウェア「Backdoor.Emdivi」によるものだと言われています。本記事では、Backdoor.Emdiviを用いた標的型攻撃の解説と共に、日本の全ての企業や組織にとって対岸の火事とは言えない、標的型攻撃による被害を出さないためのセキュリティ対策について解説します。

■Backdoor.Emdiviとは?

Backdoor.Emdiviは侵入先のコンピュータから機密情報を盗み取るトロイの木馬と呼ばれるマルウェアの一つで、改良された亜種も含め、複数の攻撃グループにより日本の企業や組織を狙った攻撃手段として用いられてきました。

Backdoor.Emdiviによる攻撃手法では、まず、ダウンロード役のマルウェア(ドロッパー)を仕込んだゼロディの脆弱性を突いたエクスプロイトコードを含むファイルや、WORDやPDFのアイコンに偽装したEXEファイルをターゲットとしている組織にメール送信します。このような経路で端末が感染するとBackdoor.Emdivi 本体が秘密裏にインストールされ、HTTP ベースで C&C サーバーと通信を行い、様々な悪意のある攻撃を行います。Backdoor.Emdiviの場合、そのほとんどが日本国内で構築されたC&C サーバーと通信を行うのが特徴で、このことから日本に特化した攻撃に使用されていることが分かります。

 2014年11月ジャストシステムは自社の提供する一太郎の脆弱性について発表しましたが、この際に用いられていたマルウェアの一つがBackdoor.Emdiviです。また同時期、健康保険組合などの医療費通知に偽装したスピアフィッシング型のメールが多くの日本企業に送られましたが、この標的型攻撃に用いられたのもBackdoor.Emdiviです。

 このようにBackdoor.Emdiviを用いた標的型攻撃は、より巧妙に進化を続けながら日本の組織を狙い続けています。これまでの攻撃が多くのメディアに報道されているにも関わらず、被害は後を絶ちません。実際に、パロアルトネットワークスの調査によるとメールを経由としたマルウェア攻撃は他国に比べても非常に高い傾向があり、標的型攻撃が成功しやすい、もしくは、日本が集中して攻撃グループに狙われている可能性もあります。

●各地域のサイバー攻撃に占めるメール(POP)でのサイバー攻撃の割合。日本が他の地域に比べて、Eメールを経由した攻撃が多いことが分かる

■サイバーキルチェーンを断ち切る、新しいセキュリティプラットフォームの構築

標的型攻撃から、個人情報などの重要データを守るにはどうしたらよいでしょうか。もちろん利用者の意識改革や教育も重要ですが、前述したように標的型攻撃は日々進化をしているため、攻撃を受けることを前提としたセキュリティソリューションの構築が必要です。

その際に重要となるのは、標的型攻撃における一連の流れ「サイバーキルチェーン」を断ち切ることです。例えば、Backdoor.Emdiviでは以下の攻撃プロセスがあり、攻撃を許してもどこかでプロセスを止めてしまえば、被害に遭うことはなくなります。

  1. 感染:エクスプロイトコードを含むファイル、偽装したファイルによる感染
  2. 侵入:Backdoor.Emdivi (マルウェア)の侵入
  3. 目的の実行:C&Cサーバーとの通信によるデータの破壊・盗難

 それぞれの段階に対抗するソリューションを用意することにより被害は抑えられますが、様々なベンダーの単体ソリューションを組み合わせて利用するのは企業のIT投資コストと管理コストを圧迫してしまいます。パロアルトネットワークスでは、次世代ファイアウォールに加え、サンドボックスにより未知のマルウェアを検知する脅威インテリジェンスクラウド「WildFire」、アドバンスト エンドポイント プロテクション「Traps」を統合し組み合わせた、「エンタープライズセキュリティプラットフォーム」を提供しています。このエンタープライズセキュリティプラットフォームは、以下のようにBackdoor.Emdiviによる標的型攻撃を様々な段階で止めることができます。

  1. 次世代ファイアウォールのIPS シグネチャ配信により、既知のエクスプロイトコードをブロック
  2. 次世代ファイアウォールのURL フィルタにより、マルウェア配信URL向けの通信をブロック
  3. WildFire により未知の Emdivi 亜種が来た場合にも検知
  4. Traps によりエンドポイント上でのエクスプロイト動作を検知・ブロック
  5. Traps によりエンドポイント上でのマルウェア動作を WildFire と連携し検知・ブロック
  6. 次世代ファイアウォールのURL フィルタにより、C&C サーバー通信をブロック
  7. 次世代ファイアウォールのDNS シグネチャにより、C&C サーバー通信をブロック
  8. 次世代ファイアウォールのファイルブロックにより重要ファイルの外部送信をブロック

※ WildFire により常に最新の情報がフィードバックされ最短15分で更新

●パロアルトネットワークスのセキュリティソリューションによるBackdoor.Emdiviのサイバーキルチェーンへの対応図

また、そもそも攻撃を受けているにも関わらず、被害に気づいてすらいない組織もあるかもしれません。まず日本の企業や組織は、その規模や扱っている情報の価値を問わず、現在の感染状況の有無を確認するべきです。