隣国のセキュリティ事案を教訓とするために

隣国、韓国で3月20に起きたセキュリティ事案は、日本でも大きく取り上げられ注目されている。

この事案について、一部でWindows Updateが利用された可能性が指摘されているが、Windows Updateでは各モジュールのコード署名を確認しているため、このような単純な手法では悪用することはできない。また、関連するセキュリティベンダーが公表した資料を見ると、そのベンダーが提供している資産管理サーバーが利用されたもので、Windows Updateが利用されたわけではないようだ[1]。

韓国の事案とFlameの相違

Windows Updateを悪用した攻撃としては、2012年5-6月にかけて話題となったFlameが思い起こされる[2]。Flameはマイクロソフトの証明書を偽造し、自身のモジュールにマイクロソフトのコード署名することで、イントラネット内でのWindows Updateを悪用したと考えられている。悪用を避けるためのコード署名が、逆手に取られた格好である。なお、研究者の発表によれば、Flameの証明書偽造は”世界トップクラスの暗号解析技術使われた”と分析している[3]。

高度で執拗な攻撃（APT）事案としての側面

この事件をいわゆる高度で執拗な攻撃（APT）として捉えると違った側面が見えてくる。報告書によれば、資産管理サーバーの管理者権限が盗られ、この権限を使ってマルウェアの配布が行われたと推定している。一歩踏み込んで考えると、2011年に大きな話題となった、日本における政府機関や防衛産業の攻撃のように、アカウント管理サーバーが侵害を受けている可能性が高い。つまり、今回は特定の製品が利用されたが、その他の攻撃方法を使う選択肢も持っていたと考えた方が自然である。

今回の事案を教訓とする

今回の事件を教訓として捉えると、標的型攻撃などによる社内ネットワークに侵入への対策実施されている事に加え、万一、侵入を許してしまった場合でも、重要なサーバーが保護されることを確認する、ということだと思う。特に、重要サーバーの対策の重要性が、あまり認識されていないようにも感じることがある。

マイクロソフトでは、高度で執拗な攻撃（APT）などの現在の攻撃手法の分析と必要とされる対策について、以下のホワイトペーパーをまとめている。参考にしていただければ幸いである。

•  組織に対する標的型攻撃を緩和する
  http://blogs.technet.com/b/jpsecurity/archive/2013/03/14/3558580.aspx
   
• Determined Adversaries and Targeted Attacks (Oct 2012)
  http://download.microsoft.com/download/C/9/A/C9A544AD-4150-43D3-80F7-4F1641EF910A/Microsoft_Security_Intelligence_Report_Volume_12_Determined_Adversaries_And_Targeted_Attacks_English.pdf
• Microsoft Security Intelligence Report, Jan-June 2012, vol 13,　section “Defending Against Pass-the-Hash Attacks”
  http://download.microsoft.com/download/C/1/F/C1F6A2B2-F45F-45F7-B788-32D2CCA48D29/Microsoft_Security_Intelligence_Report_Volume_13_English.pdf
   
• Mitigating Pass-the-Hash (PtH) Attacks and Other Credential Theft　Techniques (Dec 2012),with step-by-step instructions in Appendix A
  http://www.microsoft.com/en-us/download/details.aspx?id=36036