情報セキュリティにおける外部脅威と内部脅威

Pipeline Co. Ltd.
2021年11月1日
読了時間: 10分

外部脅威について（標的型攻撃の例）

外部脅威の代表例としては、標的型攻撃がある。その一般的な手口としては、標的となる組織内PCにマルウェアをインストールさせ、さらに、別途用意したC2（Command & Control）サーバとの接続を確立しておき、いつでも悪意ある行動が実行できるようにしておくことが見受けられる。

例えば、図１に示すフローとなる。

攻撃者はマルウェアを作成後、ダウンロードサイトにマルウェアを配置する。このサイトのURLは例えば　Windows Updateといった正式なサイトを偽装している。
さらに、C2サーバも用意しておく。

攻撃者は攻撃対象のユーザに正式な通知を偽装して偽装URLを含むメールを送る。

ユーザは意図せず偽装URLのリンクをクリックする。
偽装URLの名前解決がDNSにより実施され（A）、マルウェアがユーザPC上でインストール＆実行される。

マルウェアはC2サーバと接続を確立し、ビーコンを定期的に通信する。この際、マルウェアに設定されたC2サーバ先が名前で指定されている場合は、名前解決がDNSにより実施される。（A）

攻撃者はC2サーバに対して悪意ある操作を行うコマンドを実行するよう指示する。

C2サーバは指示されたコマンドをマルウェアに対して指示し、マルウェアはユーザPC上でそれを実行する。

これに対して、①マルウェアが永続化しないようにする、②C2サーバ通信をブロックする、の2方向からの防御策が必要となる。

・防御策①　マルウェアが永続化しないようにする

自組織が利用するインターネット接続するサイトの脆弱性や電子メール、他のインターネットWebサイトを利用、またはそれらの組合せにより、最終的には、組織内PCにマルウェアを意図しない形でインストール→実行されてしまう（悪意ある行動のための準備）。しかし、このマルウェアにより悪意ある行動が実行されるのは、しばらく後になってからになるだろう。つまり、長期間何もされずにマルウェアが実行されたままの状態（永続化）になる。

この意図としては、長期間経過させることにより、セキュリティ対策が不完全であると、悪意ある行動が実行されて異常に気づいた時には原因が把握しにくくなることから、犯行の追跡が困難になったり、十分な追加対策が取れないままになったりすることを狙っている。例えば、マルウェアが仕込まれたタイミングのログが消失していた、または、マルウェアが実行されているが悪意ある行動が実行されていない永続化の状態を正常状態と誤認する、などがある。

マルウェアの永続化が設定される具体例としては、Window OSにおいては、自動起動レジストリ（スタートアップレジストリ、サービスレジストリ）、スタートアップフォルダ、ログオンスクリプト、タスクスケジューラなどがある。マルウェア感染されるより前に確実にこれらの情報を変更前情報として保管しておき、その後はその情報との差異により異常を検知する仕組みを構築することが必要だ。

さらに、組織内PCにウイルス対策ソフトを利用している場合は、ウイルス対策ソフトが検知した攻撃のサインが正しくシステム管理者に通知され、システム管理者は通知された情報を正しく解釈して、正しく対応が行われるかを点検しておくことも必要だ。

・防御策②　C2サーバ通信をブロックする

標的型攻撃のもう一つの特徴としては、C2サーバと定期通信（ビーコン）を行うことである。この通信は極力目立たないように工夫されていることが多い。例えば、一般的に利用可能な HTTPやHTTPS通信を使ったり、通信先ドメイン名を正規サイトらしく見えるものにしたりする場合がある。まずはPCからのインターネットへのリクエストが正常である通信を記録しておくことが必要となる。組織内PCがインターネット通信をする経路としては、典型的な情報インフラ構成では、組織内DNSを利用して名前解決（この際DNSサーバは外部DNSと通信）後、その接続先への通信をプロキシサーバに依頼（プロキシサーバは組織のFirewallを介して外部サイトに代理アクセス）、代理アクセスにより得られた情報をPCが取得、というようになる。さらに、自組織内ネットワークにメールサーバを運用している場合は、その経路も追加される。したがって、この経路上の各ノード（PC、DNSサーバ、プロキシサーバ、Firewall、メールサーバ）がPCの異常通信を捕捉できるところになる。

図１　典型的な情報インフラ構成とC2サーバ通信

では、異常な通信となるC2サーバとの通信を把握するにはどうすればよいか。それは、攻撃を示唆する情報＝IOC(Indicator of Compromise (Compromiseはここではセキュリティ侵害の意))と呼ばれる情報がセキュリティベンダ等から提供されており、ここにあるC2サーバ情報を活用する。

対策ステップとしては、監視とブロックがある。

監視ステップでは、各ノードにて以下を実施する。

・PC・・・マルウェア（その派生ファイルも含めて）があるか、マルウェアの永続化設定があるか（「①マルウェアが永続化しないようにする」の対応）

・DNSサーバ・・・C2サーバへの名前解決が行われているか

・プロキシサーバ・・・C2サーバへのリクエストがあるか

・Firewall・・・C2サーバへの通信があるか

・自組織内メールサーバ・・・攻撃メールが送られてきたか

次に監視ステップでC2サーバ通信が検知された場合、ブロックステップに移行する。ブロックステップでは、各ノードにて以下を実施する。

・DNSサーバ・・・C2サーバへ名前解決した場合に、危険なドメインの情報をPCに提供しないようにする（無害化）。PCへは「脅威ドメインへアクセスしようとしたため、ブロックした」旨のメッセージを表示する。（DNSの異常ではなく、PCから危険なアクセスが発生したことを認識できるようにする）

・プロキシサーバ・・・C2サーバをブラックリスト方式でブロックする

・Firewall・・・C2サーバへの通信をブロックする

・自組織内メールサーバ・・・攻撃メールホストをブロックする

弊社では、こうした脅威対策において、脅威データの提供、監視サービスの提供、セキュリティレスポンスの対応を行うことができます。監視には検知のためのデータが肝要ですが、弊社はその範囲をフィッシング、マルウェア、C2サーバ、不審なドメインのみならず、ダークネットにも拡げており、日々複雑・巧妙化する脅威に対応できるよう、取り組んでいます。

内部脅威について（インサイダー脅威）

次に、内部脅威（特に内部不正による情報漏えい）について考える。

IPAで毎年公開されている「情報セキュリティ10大脅威」によると、組織内脅威としてあげられている「内部不正による情報漏えい」は2018年 8位→2019年 5位→2020年2位、と年々上昇している。1) 2)

図２　「情報セキュリティ10大脅威」　２０２０年、２０１９年　出典１）２）

近年国内外において、インサイダーによる機密データの漏えい（またはその疑いや未遂）が顕著になっており、かつ、それによるビジネスインパクトは大きい。

例えば、企業の成長に欠かせない重要なイノベーションを含むデータ、国の防衛に関わるデータ、特定の個人、企業の内部者しか知り得ないデータといった情報が狙われ、個人情報であれば個人の行動、言動など分析する、企業の情報であれば不正な競争に利用される危険がある。さらに、被害は対象となる個人・企業・組織になるが、データを管理する企業・組織の管理責任が問われる場合もある。

ここで、最近国内外で発生した内部不正による情報漏えいの事例を見てみよう。

2007年海上自衛隊イージス関連情報の流出 3)

直接の経緯としては、2007年、神奈川県警が当時2等海曹の妻を出入国管理法違反の疑いで自宅を家宅捜査した際、押収したハードディスク内にイージス関連情報が含むデータが発見されて発覚した。

防衛省の報告書によると、このデータは当2等海曹が意図的に盗み出そうとしたものではなく、当2等海曹とは別の隊員がもともと自衛隊の官品PCに保管されていたパワーポイントなどの資料をCDや外付けHDDなどに保管したことをきっかけに複数の隊員を経由しながら同じデータがコピーされ続けていった過程で、当2等海曹もそのファイルを入手し、自宅に保管していたとされている。

2007年新日鐵住金方向性電磁鋼板の製造技術情報の漏えい 4) 5) 6) 7)

もともと韓国において産業スパイ事件として捜査が行われ、ポスコ（韓国）から宝山鋼鉄（中国）への技術転売が明らかになったことが引き金だが、その過程で、これは二次流出であり、一次流出は新日鐵住金の元社員の少なくとも4人によってもたらされたことが発覚した。

2008年東芝NAND型フラッシュメモリーに関する研究データの競合他社への漏えい 8) 9) 10) 11) 12)

逮捕された東芝の元提携会社社員は、東芝の半導体メモリー開発拠点で勤務しており、東芝の機密情報である研究データにアクセスできる権限を持っていた。2008年頃、これら研究データを不正に記憶媒体にコピーして持ち出し、競合の韓国企業に渡し、多額の報酬を受け取ったとされる。

2014年ベネッセコーポレーション顧客情報データの第三者への漏えい 13) 14) 15)

逮捕された元委託社員は、データベース開発・管理を行う技術者で、ベネッセコーポレーションの顧客情報データベースへのアクセスが許可されたPC（Windowsと考えられる）で作業する立場にあった。

ある日、この元委託社員は私物のスマートフォン（Androidと考えられる）をこのPCにUSB接続して充電しようとした。その際、スマートフォンへPCのデータを送ることができることに気づいた。外部媒体に書き出すことができないよう制御するシステムは稼働されていたが、一部スマートフォンでは機能しない状態にあり、当スマートフォンもそれに該当するものだった。そして、それがセキュリティホールとなっていた。（Windowsにおいて、USBマスストレージとしてではなく、当時新しい規格であったMTPとして認識されていた）

元委託社員には多額の借金があり、その返済のために、不正に取得した顧客情報を持ち出し、名簿会社へ売っていたとされている。

2020年 shopify（カナダ）社内サポートチームメンバーによる特定販売店の顧客取引情報への不正なアクセス 16) 17)

2020年9月、shopifyは2人のサポートチームメンバーが200以上の販売店の顧客取引情報の不正なアクセスに関与し、shopifyはこの件を捜査機関へ通報したと発表した。

内部脅威に対しては、システム的な対策は必須である一方、人への対策も必要となる。関係会社社員も含めた全従業員への制限強化には一定の効果はあるが、限界はある。犯行を起こそうとする考えに至らないよう、従業員との信頼関係を維持・向上させる努力も必要である。しかし、労働環境の多様化により、この努力の必要性は増している一方、困難度は高まっている。

また、事例①のように、情報漏えいは必ずしも情報を盗み出すことを目的としているわけではなく、業務を円滑にしたいという考えで行われることもあることから、漏えい者を悪人と一面的に捉えると、対策が不十分になってしまう。セキュリティを担保しつつ、業務が円滑に行われるよう、継続的に業務改善することもセキュリティ対策になるといえよう。

事例②、③に関しては、自組織の情報資産がどこに、どのように管理されているか、誰がいつ作成したのか、情報資産へのアクセスがどのように行われたかをいつでも確認できるようにしておく（トレーサビリティ）必要がある。さらに、その情報が守るべき情報なのか（つまり、独自情報なのか？他から不正またはそれに近い形でもたらされた情報は入っていないか？）の観点（情報の独自性）も必要である。これら必要性は、万一情報漏えいにより訴訟に発展した場合に、自組織の正当性を立証するための証拠となるからである。

ただし、その情報が法令違反に該当する場合は情報保護の対象外であり、内部脅威への対応プロセスとして情報の内部告発を阻止する措置はあってはならない。これは、公益通報者保護法（2020年6月改正）により、内部告発の目的が不正でない限りにおいて、内部告発者（改正法では退職者や役員も追加）が保護されるからである。18)

内部脅威に対しても、通信の監視は対策の一つとして有効です。例えば、内部から外部へ通信することによる情報漏えいでは、不正通信検知→遮断により被害の拡大阻止が可能です。また、組織内関係者の日常通信の監視は、不正アクセスの検知だけでなく、情報アクセスのトレーサビリティにもメリットがあります。

（出典）

1) https://www.ipa.go.jp/security/vuln/10threats2020.html

2) https://www.ipa.go.jp/security/vuln/10threats2019.html

3) https://www.mod.go.jp/j/press/report/2008/080321a.pdf

4) https://www.nipponsteel.com/news/old_nsc/detail/index.html?rec_id=4267

5) https://www.nipponsteel.com/common/secure/news/20150930_100.pdf

6) https://www.nikkei.com/article/DGXNASDD250K3_V21C12A0TJ0000

7) https://toyokeizai.net/articles/-/11558

8) https://www.toshiba.co.jp/about/press/2014_12/pr_j1902.htm#PRESS

9) https://www.nikkei.com/article/DGXNASDG13012_T10C14A3CC0000

10) https://www.nikkei.com/article/DGXLASDZ19I08_Z11C14A2MM8000