Red Octoberと呼ばれる標的型攻撃作戦は、企業セキュリティの前線で働く人々に興味深い問題を提起した。自身の組織に対するこうした攻撃は、どのように防御すべきだろうか?良い知らせがある。少なくともRed Octoberのような作戦に関しては、すでに長期間に渡って情報が得られている。

 技術的な観点からすると、Red Octoberを用いた標的型攻撃は、企業を狙った他の標的型諜報攻撃と非常に似通っている。攻撃者に必要なのは、関心を持ちそうなドキュメントをユーザにクリックさせることと、そのときドキュメントの閲覧に使われるプログラムが、攻撃に対して脆弱であることだ。その後、ディスクに対するペイロードの書き込みをシステムが許し、さらにその後にペイロードがC&Cサーバと通信できる必要がある。

 したがって攻撃をくじくには、我々は防衛側として、いずれかの段階を阻止できなければならない。そうすれば、クリーンアップの必要はあるかもしれないが、データ窃盗の観点からは攻撃は失敗する。

 まず最初の、そして最も明らかな防護は、もちろんユーザ教育だ。全ユーザは外部の情報源からくるドキュメントに対しては、すべて疑いの目を持つように訓練されるべきだ。その相手がドキュメントを送付してくることを予期していないのなら、なおさらだ。しかし残念ながら、削除すべきものを開くには、一瞬の不注意があればいい。つまり教育単独では不十分だ。

 防護の第2階層は、もちろん企業のセキュリティ・ソフトウェアを更新し、適切に構成することだ。当社のエフセキュア クライアント セキュリティはRed Octoberのエクスプロイトのペイロードによって実行されるアクションについて警告をしてきただろう。だが忘れてはならない重要な点は、現代のセキュリティ・ソフトウェアにもっとも効率を発揮させるには、そのソフトウェアがバックエンドのサーバと対話できるようにしなければならないことだ。企業がブラウザのインターネット接続を許す一方で、ワークステーションのセキュリティ・ソフトウェアがリアルタイム防護ネットワークの一部になるように構成されていないというのは、非常によくある状況ではあるが、もどかしいものだ。

 防護の第3階層は、マイクロソフトのEMETを使うことだ。このアプリケーションはメモリ・ハンドリングを堅固にし、エクスプロイトを軽減するツールだ。我々はEMETが有効になり、推奨の設定値が用いられた環境で、Red Octoberに関連するエクスプロイト・ファイルを実行してみた。その結果、エクスプロイトは停止され、システムを乗っ取ることはできなかった。

EMET, Red October

 防護の第4階層はマイクロソフトのApplockerを使用して、署名がなされていないファイルや、あるいはシステム管理者に馴染みがなく信頼していないファイルの実行を阻止することだ。Applockerを用いると、Windows XPでは%programfiles%\Windows NT\svchost.exe、またWindows VistaやWindows 7では%appdata%\Microsoft\svchost.exeに放り込まれたペイロードは実行できなくなる。

 防護の第5階層は、DNSのホワイトリストを使うことだ。ユーザからの初回の問い合わせ時に、既知のドメイン名のみ、プロンプトなしでの名前解決を許可する。より望ましくはCAPTCHAも併用する。我々は企業への既知の諜報攻撃で使用されるC&Cのドメインを調査してきたが、エクスプロイトによるC&C通信を阻止する目的において、DNSのホワイトリストは最大99%の有効性がある。

 ここに挙げた方法をもっと知りたい場合や、当社の製品を用いることに加えて他にどういったことをお勧めしているかに興味がある場合には、マルウェアや標的型攻撃に対する、情報や企業のセキュリティ強化に関するプレゼンテーションのスライドを読むことを提案する。

 「Making Life Difficult for Malware (PPTX)」は元々2011年10月のt2 infosec conference(訳注:フィンランドで開催されている技術志向の情報セキュリティのカンファレンス)にて、また後に2012年5月のBlackhatにて発表された。これは標的型その他のエクスプロイト・ベースの攻撃に対して、OSやアプリケーションを技術的に強化する方法を扱っている。

 「Protecting against computerized corporate espionage (PPTX)」は最初は2012年のt2で発表され、標的型攻撃に対して組織内でもっと回復力を持たせて運用するには何をすべきかについて取り上げている。

@jarnomn