2018/10/10

攻撃コードのツール化に対抗するには

matrix code
2018 年 10 月 10 日 Sylvain LeJeune 著

我々を取り巻く共有と協力の経済社会では、2 つの主要トレンドが進行しています。

1 つ目は、オンライン人口の増加です。最近の統計によれば、世界中で 40 億人(世界人口の約半分)がインターネットを使用するようになりました(出典:https://wearesocial.com/blog/2018/01/global-digital-report-2018)。

2 つ目は、IT のコンシューマライゼーションです。ビジネスリーダーや各事業部が、自社の IT 部門やパブリッククラウドのサービスプロバイダの IT サービス(「シャドー IT」と呼ばれるトレンド)を PAYG(Pay-as-you-Go:従量制)で利用するようになっています。この IaaS(IT-as-a-Service)フレームワークには、次のようないくつかの共通する基本属性があります。

  • 標準化
  • 自動化
  • サービスカタログの提供(「サービスメニュー」)
  • オーケストレーション
  • 使用量/PAYG に基づくビジネス/課金モデル
  • セルフサービス機能

我々は今、需要主導型モデルと古い供給主導型モデルがせめぎ合う社会を生きており、後者のモデルでは、古くからある伝統的なテクノロジとその制約を前提にビジネスが進みます。

今日の超競争社会で勝者となるのは、激しい市場競争を優れたアイデアと行動で生き抜ける者であり、彼らのビジネスでは、高度に標準化され、自動化された、セルフサービス型の運用モデルが採用され、PAYG モデルの採用が広がっています。

その結果、どのような収入源にもテクノロジが関与するようになっています。

犯罪者たちも、この動きに追随し、このようなトレンドに乗じて、大きな金銭的利益を得ようとしています。彼らは、不正コードや攻撃を「キット」として不特定多数に販売し、高度に自動化されたスケーラブルなアーキテクチャを採用して、サービスメニューからサービスとして利用できるようにしています。盗んだデータも一緒に提供すれば、極めて強力な(かつ絶対的な)価値提案になります。

極めて簡単でコスト効率の高い迅速な方法で攻撃者がハッシュを変更し、シグネチャを回避する新しいマルウェア亜種を作成できるようになり、結果として、膨大な量の不正コードが存在することになりました。この件については、後述します。

「攻撃に必要なあらゆる要素を 1 つのサービスとして提供する」例

  • フィッシング攻撃。
    さまざまなフィッシングキットが販売されており、そのようなキットを利用すれば、サーバにインストールするだけで、必要なフィッシングサイトのリソースやツールを簡単に容易できます。インストール後に犯罪者に必要な作業は、被害者の候補にメールを送信することだけであり、送信先についても、フィッシングキットと同じように、ディープウェブで入手できます。
  • RaaS(Ransomware-as-a-Service)
    RaaSとは、ダークウェブで数百ドル程度で販売されているランサムウェア配布キットであり、これを利用すれば、技術的スキルが少ない犯罪者であっても、比較的簡単に攻撃を仕掛けることができます。これらのキットの中には、Satan などのランサムウェアをカスタマイズして独自のバージョンを作成でき、利益分配型のビジネスモデル(たとえば、RaaS の開発者が身代金の 30%、攻撃者が 70%を得るなど)を採用しているものもあります。
  • DDoS 攻撃ツール
    DDoSのためのツールも簡単に入手できます。簡単な Web 検索で、大量のブーターやストレッサーのサービスが見つかり、スキルがなくても大掛かりな DDoS 攻撃を始められると宣伝されているのがわかります。2016 年は、Mirai ボットネットによって大転換を迎えた年であり、感染した IoT(モノのインターネット)デバイスのボットネットから DDoS 攻撃が開始されました。Mirai ボットネットを起源とする壊滅的な一連の攻撃では、有名な企業や組織が標的になりました。Mirai マルウェアの亜種は今も活動を続けています。
    詳細情報:https://en.wikipedia.org/wiki/Mirai_(malware)

    分散型サービス拒否(DDoS)攻撃を開始する最も活発なサービスの 1 つである WebStresser.org は、2018 年 4 月に解体されましたが、このサービスには 136,000 以上がユーザとして登録されていて、3 年間に数百万件の攻撃に加担したと推定されています。このサービスに登録して壊滅的な攻撃を開始するための費用は、月額わずか 15 ユーロでした。

上述の 3 つのいずれの例にも、フィッシングキット、RaaS や DDoS の攻撃ツール、ビジネスモデル、自動化、標準化、サービスメニュー、およびセルフサービスという 5 つの機能が共通しており、これは、IaaS(IT-as-a-Service)や前述のコラボレーション型社会と密接な関係があります。

大量のマルウェア、感染 URL、DDoS 攻撃

攻撃に必要なあらゆる要素がサービスとして提供されるようになり、高度に標準化されたキットが大量に出回るようになったことで、膨大な数のマルウェア、クリプトマイニングソフトウェア、感染 URL、(Mirai 攻撃以来の)DDoS 攻撃が発生することになりました。

前述のように、簡単かつ短時間で新しいマルウェアを作成したり、検知を逃れるために既存のマルウェアを変異させたりする** ことができようになり、今日のマルウェア脅威は、かつてないほど高度化し、拡大しています。最近のマルウェア作成は自動化されているため、攻撃者のほんのわずかな作業でマルウェアの一部を変更することができます。
[**マルウェアの変異とは、機能を変えることなく、既存の悪意あるソフトウェアを変更するプロセスのことであり、多くの場合、マルウェアのハッシュの一部を変更することによって実行されます。変異によって、従来型のアンチウイルスなどのシグネチャベースのアンチウイルスソリューションをマルウェアが回避できるようになります。]

人間とマシンによる連携

高度な回避型サイバー脅威の急増によって、従来型の人手による(シグネチャ、ホワイトリスト、ブラックリスト、ヒューリスティックなどを活用した)IT 脅威の対策の人工知能を活用した強化が急務となりました。特に、人間は持ち合わせていない能力、すなわち、マシンラーニングやディープラーニングのモデルによる大量データセットの処理能力の活用が必要とされています。

マシンとアルゴリズムによって、自動化、応答時間の短縮、エラー率の低下、テーブルに対する事前実行機能が実現しますが、これらはいずれも、大量の関連データを処理し、分析することで可能になります。

人間のアナリストは、2 つの重要なレベルで人間ならではの洞察を提供することができます。つまり、AI モデルによって処理され、分類されたデータを人間のアナリストが引き継ぎ、行動の怪しいパターンに注目して、それが本当の攻撃か、あるいは誤検知なのかを判断します。

さらに、この人間による分析をマシンラーニングモデルにフィードバックし、(たとえば、セキュリティの新たな層を追加したり、助言あり/なしのマシンラーニングモデルの組み合わせを連続ソートして調整したり、その両方を組み合わせたりすることで)実行前の結果や将来の予測の精度を向上させることができます。

これこそが、人間とマシンの能力を連携させて自動化と標準化が進む攻撃を食い止める方法であり、ハッカー初心者がツールを使って仕掛ける、企業、政府機関、一般ユーザを標的とした、感染 Web サイト、DDoS 攻撃、クリプトマイニングソフトウェア、あらゆる種類のマルウェアによる大量の攻撃からの防御を可能にする手段となるのです。

— Sylvain LeJeune