2017年9月1日

企業のITセキュリティ:武器として使われるMicrosoftのサービス

ビジネス 脅威

ハッカーは、正規ソフトウェアの悪用によって成功を収めています。7月に開催されたBlack Hat 2017では、Microsoftのエンタープライズ向けソリューションを攻撃手段として活用できることが報告されました。

従来のクラウドシステムを使用する企業に比べ、ハイブリッドクラウドを使用する企業は、セキュリティ上のさまざまな懸念事項を考慮する必要があります。しかし実際問題として、セキュリティ更新の適用が迅速に行われているとは言えず、結果として、Black Hat 2017で発表されたように、悪用されかねないセキュリティ上の盲点がいくつも生じています。ハッカーがセキュリティ製品による検知を避けようとする際に、一般的なオフィスのインフラがいかにして利用されうるのか、各種研究で明らかになりました。

金銭目当てのハッカーが企業ネットワークに侵入してから直面する最大の難関は、感染マシン同士で密かにデータのやりとりをすることです。そもそもハッカーの目標は、侵入検知システム(IDS)や情報漏洩防止(DLP)システムに気付かれることなく感染マシンでコマンドを受け取り、盗んだ情報を送信することです。Microsoftの各種サービスは、セキュリティゾーンの制約下にない場合があり、これらサービスが送信するデータは詳しくスキャンされません。これが、攻撃者を助けることになります。

Threat Intelligenceのタイ・ミラー(Ty Miller)氏とポール・カリニン(Paul Kalinin)氏の研究では、ボットが企業ネットワーク上のActive Directory(AD)を介して通信する方法が紹介されました。ネットワーク上の全クライアント(モバイルクライアントを含む)とサーバーのほとんどは認証のためにADにアクセスする必要があり、ADサーバーは「通信の中心点」なのですが、この事実はボットネットを管理する上で非常に好都合です。また、Azure ADをエンタープライズ向けADサーバーと統合すると、ネットワーク外からボットネットへの直接アクセスが認められる、と両氏は述べています。

ボットネットの運営とデータの抽出において、ADはどういった役割を担うのでしょうか。概念はいたってシンプルです。既定では、ネットワーク上の各クライアントは、ADサーバー上の自分の情報(電話番号やメールアドレスなど)を更新できます。書き換え可能なADフィールドの中には、1 MBまでのデータを保存可能な大容量フィールドもあります。他のAD利用者はこれらの情報を参照できるので、情報伝達が可能になります。

『The Active Directory Botnet』講演資料より

ミラー氏とカリニン氏は、定期的に不自然な変更がADフィールドに加えられていないか監視することと、大半のADフィールドを書き込み不可にすることを勧めています。

『The Active Directory Botnet』講演資料より

Juniper Networksのクレイグ・ドッズ(Craig Dods)氏の研究は、Office 365を使ってデータを密かに抜き出す手法にスポットライトを当てたものです。数ある手法の中でも人気が高いのは、Microsoft Online Servicesのクライアントの約80%が使用しているOneDrive for Businessを使用するやり方です。ハッカーがOneDriveを好むのは、企業のIT担当者がMicrosoftのサーバーを信頼して、サーバーへの高速接続を許可し、トラフィックの復号をしないのが通常であるためです。ハッカー側としては、企業ユーザーではない人の認証情報を使って、標的コンピューター上のOneDriveディスクに接続すればよいのです。この場合、データをOneDriveにコピーする操作は企業ネットワークの境界を離れようとする行為とは見なされず、セキュリティ製品は接続されたOneDriveディスクを企業のディスクだと見なします。また、このディスクを非表示モードで接続することも可能なので、検知される可能性は低くなります。非表示モードでの接続には、さらに2つのMicrosoftツール、Internet ExplorerおよびPowerShellが必要です。こうして、ボットはデータを自由に「自分の」ディスクにコピーできるようになり、攻撃者はそのデータをOneDriveから簡単にダウンロード可能です。

『Infecting the Enterprise: Abusing Office365+Powershell for Covert C2』講演資料より

ドッズ氏は、こうした攻撃から身を守るには、自社のOffice 365サブドメインだけを許可するようにアクセス制限する必要があるとしています。このほかにも、暗号化されたトラフィックを詳しく調査し、PowerShellスクリプトの動きをサンドボックス内で分析することが推奨されています。

どちらの脅威も、今のところは仮定にすぎません。これらの手口を使うには、サイバー犯罪者は何らかの方法で標的のインフラに侵入するところから始めなくてはなりません。しかし、いったん侵入してしまえば、セキュリティ対策の十分でない管理者はもとより、最新のセキュリティ製品のほとんども、犯罪者の活動を検知することができないでしょう。ITインフラに脆弱性がないかどうか定期的に分析を行うことには、意味があるのです。Kaspersky Labは、ご使用のインフラの状況を情報セキュリティの観点から分析し、必要に応じてシステムに対する侵入の有無を確認する包括的なエキスパートサービスをご用意しています。