ShowNetサンドボックス展示など [INTEROP Tokyo 2014]

今年のShowNetで行われていたセキュリティアプライアンスのデモは、例年と比べて「擬似的に攻撃する」という部分が色濃かったように思えます。

今年のShowNetセキュリティデモの方向性は、「今回のデモは、今後(3年間)に向けた一般的なデモで、まずはどういう攻撃があるのかを正しく知って頂くことと、セキュリティ製品毎のそれぞれの役割を理解して頂くことを目的にしています。」という方向性であるとのことでした。

INTEROP Tokyo 2014のデモで面白かったのは、防御側だけではなく、疑似攻撃を行えるテスターが活用されている点だと思いました。 Spirent、IXIA、etoonなどのテスターが各種攻撃トラフィックを発生させていました。

ShowNetで展示されていたのは、標的型攻撃などを含む各種疑似攻撃に対する多層防御のデモです。

中国からの米国攻撃「APT1」の再現デモ

今年5月に、米国政府が中国人民解放軍61398部隊を訴追しました。 米国企業や米国政府関連組織などのシステムに侵入し、情報を盗んだという内容です。

米国政府が訴追をしたのは今年に入ってからですが、2013年2月に米国企業であるMandiant社が、APT1(Advanced Persistent Threat 1)という名前でその手法を公開しています。

• APT1: Exposing One of China’s Cyber Espionage Units

Mandiant社のAPT1報告書に記載された攻撃を行うテスターは、NICTによる「etoon」です。 etoonの提供者はNICTの衛藤氏です。

その他攻撃

etoonと平行して、Spirentによる各種マルウェアの送信も行われていました。 最近のテスターはマルウェア送信まで出来るのを私は知らなかったのですが、確かに、そういったテストは重要だと思いました。

さらに、SNSなどを含む複数のアプリケーショントラフィックや、SNSによる内部からの情報漏えいを想定したトラフィックの再現がIXIAで行われていました。 IXIAのテスターは、毎年INTEROP Tokyoで大活躍ですが、毎年見る度に機能が追加されている印象があります。

なお、APT1再現デモや、他のリアルなマルウェアを送信するデモは、インターネットに接続されていない隔離された環境で行われていました。

多層防御

多層防御は、次のような構成で行われていました。

単にIPアドレスやポート番号のみでアクセス制限を行うファイアウォールではなく、より細かい制御が可能であるUTM(Unified Threat Management)やNGFW(Next Generation Firewall)と呼ばれているファイアウォールが、まずは前段階で攻撃を防御し、それらが止められないもの(このデモではAPT1)をサンドボックスが止めるというものです。

ここ数年流行っているサンドボックスは、内部に複数の仮想マシンを保持しており、行われている通信を実際に再現することで攻撃トラフィックであるかどうかを判別するというものです。 仮想マシン内で再現された挙動のうち、危険な兆候を示すものはポイントが加算されていき、ポイントが閾値を超えると通信がブロックされます。

サンドボックスは仮想マシンを利用して挙動を再現しながら危険を察知するので、NGFWが防げないようなタイプのマルウェアも防御できる場合があります。 しかし、仮想マシン上で検証を行うという性質上、同時に検証可能なフロー数が一般的なNGFWよりも少ないという欠点があります。 そういった欠点を補うという意味でも、UTM/NGFWとサンドボックスを組み合わせた構成が採用されているとのことでした。

なお、今年と去年のサンドボックスの違いですが、去年と比べて大きく変わったのは、今年はIPv6対応が行われたことだそうです。

標的型攻撃実演デモ

今年は、実際にどういった攻撃が行われるのかを広く伝えるという目的もあったため、標的型攻撃の実演デモも行われていました。

このデモでは、攻撃者にBackTrack(後のkali linux)、被害者にWindows XPが仮想マシン上で動かされていました。 実際に存在するwww.interop.jpのコピーを改ざんして攻撃コードを埋め込み、疑似のwww.inter0p.jp(interopの「オー」が「ゼロ」に変更)に、標的型メールによって誘導する攻撃例の実演でした。

このデモでは、攻撃者がwww.interop.jpにiframeを設置して、自身のPC上で稼働させ、メールにリンク(見た目は、http://www.interop.jpですが、実際のリンクはhttp://www.inter0p.jpであり、oを0に変更)を貼付けて標的となる相手に送信します。

そのメールは、INTEROP事務局からShowNet NOC宛のメールとなっており、内容はサイトの確認依頼です。 被害者は、メールに含まれるリンクをクリックすると、攻撃者サイトにアクセスしますが、アクセスが成功した時点でIEの脆弱性を突かれます。 その結果、被害者のPCを攻撃者が遠隔操作可能となり、キーロガーの設置、スクリーンショットの取得、ファイルの搾取などが行われてしまうというものです。

このデモでは、inter0p.jpという数字のゼロを含む偽ドメイン名が使われていますが、これはあらかじめ仮想被害者のhostsファイルに記述されたものであり、外部から名前が引けるものではなかったとのことでした(実際の攻撃者は、こういった紛らわしいドメイン名を実際に登録して悪用することがあるそうです)。

VBAを悪用したマルウェアのデモ

ExcelやWordなどに含まれるVBAスクリプトを悪用するマルウェアを紹介するデモも行われていました。 この手法はSNSを用いて企業などの人事部や公開窓口を狙うという想定での実演でした。 このデモでは、攻撃者はBackTrack、被害者はWindows7でした。

攻撃者は、Wordで書かれた履歴書に悪意あるVBAスクリプトを埋め込みます。 そのファイルをやりとり型メールで人事部に送信し、人事部がそのファイルを開くと自動的に攻撃スクリプトが動作してマルウェアがダウンロードされたうえでC&Cサーバに対してコールバックが行われます。

最後に

今年のShowNetセキュリティデモは、「いまできること」や「いま行われていること」を紹介するという要素が強かったのですが、来年と再来年に続く企画のようなので、その後どうなるのかが楽しみだと思った今日この頃です。

以下、ShowNet NOCコーナーに展示されていた機器の写真です。

最近のエントリ

• プライベートIPアドレスと同じ用途のIPv6アドレスが存在しない件について
• 日本のIPv6採用状況が50％を超えている件について
• 「ピアリング戦記」の英訳版EPUBを無料配布します！
• IPv4アドレス移転の売買価格推移および移転組織ランキング100
• 例示用IPv6アドレス 3fff::/20 が新たに追加
• ShowNet 2024のL2L3

過去記事

過去記事一覧