株式会社ラック

トップレベルのセキュリティ技術を駆使した
ITトータルソリューションで、未来をきり拓く

セキュリティ事故発生時はこちら
閉じる

ご相談は予約不要、24時間対応

緊急対応窓口:サイバー救急センター®

セキュリティに係るお客様の緊急事態に際し迅速にお客様をご支援する緊急対応サービスです。
緊急事態が発生したら今すぐ「サイバー救急センター」にご相談ください。

電話で相談する

メールで相談する

サイバー救急センター®のメールアドレス

自分で調べる

ご相談は予約不要、24時間対応

緊急対応窓口:サイバー救急センター®

セキュリティ事故発生時はすぐにご連絡ください

LAC WATCH
2015年11月04日 | ラックピープル

「APT先制攻撃」サービス用の疑似攻撃マルウェアの作成を行いました

APT攻撃をご存知でしょうか?標的型攻撃といった方がぴんとくる方もいらっしゃるかもしれません。特定の対象(企業や団体など)に対して、長期間にわたって継続的にあの手この手で攻撃を試み、最終的な目的(機密情報の取得など)を果たすまで繰り返すという特徴を持っています。このような攻撃の標的とされた場合、攻撃は様々な手法で何度も行われるため、完全に防御することは非常に困難です。6月に話題となった日本年金機構のニュースを記憶されていらっしゃる方も多いかと思いますが、それだけに限らず、現在このようなAPT攻撃が広く発生している状況です。
手前味噌になってしまいますが、このようなAPT攻撃の状況を踏まえ、
先日当社よりAPT攻撃耐性診断サービス「APT先制攻撃」を発表いたしました。

私自身も、「APT先制攻撃」の提供にあたって、検査で利用するための「疑似攻撃マルウェア」の開発を行いました。

*日経BP社様にも取材いただき、ITproで記事を掲載していただきました。

「APT先制攻撃」の詳細につきましては、当社ホームページをご確認いただければと思いますが、概要としましては、お客様の環境(社内ネットワーク内のPC等)が、APT攻撃にてマルウェアに感染したことを想定し、その後の感染拡大・重要権限の取得・機密情報の持ち出しなどの不正行為に対して、どの程度の耐性があるかを調査し、脆弱なポイント・効果的な対策などをアドバイスさせていただくといったサービスとなっています。

上記の通り、「APT先制攻撃」では、お客様環境にマルウェアが感染したことを想定した検査を行います。しかし、お客様の環境を実際にマルウェアに感染させるわけにはいきません。そこで、当社がこれまでに対応してきた様々なマルウェアの分析結果から、検査に必要な最小限の機能を持つ検査用ツール「疑似攻撃マルウェア」の開発を行いました。

基本的な開発時の苦労話などは、ITproで記事にしていただいておりますので、よろしければぜひ上記のITproの記事もご覧ください。
このブログでは、開発に関連して、感じた点・視覚障がいがあることで感じた感想(?)を書いてみたいと思います。

①マルウェアを作るのは大変!

いきなり何を!という感じではありますが、今回の疑似攻撃マルウェアの作成にあたっては、社内の有識者の方から情報をいただいたことに加えて、一般的にマルウェアでよく利用される手法について、調査・検証を行いました。その中で感じたのは、その手法がうまく行くかは動作させる環境に依存することが多いということです。OSやソフトウェアのバージョンが違えば挙動が変わるのは当然として、PCの設定が一つ違うだけでも挙動が変化することもありました。そういう意味で、利用(悪用)する技術の高さもさることながら、様々な対象で動作するマルウェアを開発してくる技術力の高さを感じました。対策を考えるにあたっては対等に渡り合える、さらには上を行く技術力が必要になると思っています。私自身、今後も継続して技術力を磨いていきたいと感じました。

②疑似攻撃マルウェア自体にGUIが必要とされなかったため、開発が行いやすかった

疑似攻撃マルウェアは、検査対象の端末で動作させるものであり、検査を行う人間は疑似攻撃マルウェアを、こちらもサービス用に開発した指令サーバを使って遠隔から操作します。そのため、疑似攻撃マルウェアは、動作結果を指令サーバに通知することはしますが、動作している端末上に表示するようなことは行いません。画面に分かりやすく結果を表示する、ということを意識せずに、結果を指令サーバに通知すればよかったため、目を使わずに開発を行っている私としては開発の行いやすい形態でした。これは今回の疑似攻撃マルウェアに限らず、結果をユーザに直接表示するのではなく、結果をサーバに送信するような形態のプログラムであれば、視覚を必要としないため、開発しやすい分野であると言えると思います。

③スクリーンリーダー(画面読み上げソフト)の裏側が少し見えた

私がパソコンを操作する際は、スクリーンリーダーといわれる、画面の文字を読み上げてくれるソフトウェアを利用して操作しています(この記事の入力も同様です)。今回、疑似攻撃マルウェアの実装を行うにあたって、最終的に機能として組み込まなかったものも多いですが、OSに近いレベルの情報を取得する方法を調査しました。必要な情報を文字列として取得する(たとえば入力したパスワードを取得するようなイメージです)方法を調査したり、実際、試したりしている中で、普段使っているスクリーンリーダーが読み上げている内容ってこの情報を取得しているんだな、という発見がいくつかありました。使い方によっては、パスワードを盗み出すというような悪意のある使い方もできる一方で、スクリーンリーダーで必要な情報を読み上げるためにも利用できる、技術は本当に使い方次第だなと改めて感じました。

スクリーンリーダー

この記事は役に立ちましたか?

はい いいえ

サイバーセキュリティに関する
様々な情報をお届けします

メルマガでは、より厳選した情報を
月に2〜3回配信しています
詳しくはこちら

page top