果敢な
戦い

ネットワークの上は常に戦場で、世界中のセキュリティ研究者がその最前線で戦っています。ここでは、この数年で最大と言われる脅威を、シスコ精鋭のセキュリティ リサーチ チームがどのように無力化したかをご紹介します。

文:Eric Adams
写真:Kenny Braun

2015 年のある土曜日の午後でした。サイバーセキュリティの専門家 Matt Olney(写真上)にとって、その日は特別な 1 日になりました。Olney はメリーランド州の自宅でソファーに座り、膝にコンピュータを置いて、いつものようにサイバー犯罪者との終わりなき戦いに没頭していました。

Olney は 250 人以上のメンバーで構成された Cisco Talos の一員です。Talos はシスコ精鋭のセキュリティ リサーチ チームであり、攻撃者と日々戦い、進化をやめない悪意のあるサイバー攻撃から世界のネットワークを防御しています。

この日 Olney は、ハニーポットと呼ばれる一見何の仕掛けもないサーバを設定していました。このサーバは、脆弱なパスワードと古いままのセキュリティ パッチで攻撃者を誘い込むように設計されています。意図をカモフラージュするために、Olney はそのサーバがシンガポールに置かれているように装いました。

Talos のチーム メンバーの多くと同様に、Olney も週末に仕事をするのが好きでした。「これは義務でやっているわけではありません」と Olney は言います。「サイバー犯罪者には平日も休日もないのですから、当然でしょう」

Talos は毎日 150 万件のマルウェアを分析し、年間 7.2 兆もの攻撃を防御しています。そのために Talos は、ハッキング活動、侵入、マルウェア、脆弱性の最新トレンドを検出して評価し、それに対抗できる最先端の検出/防止手法を駆使して、世界最大の脅威検出ネットワークを維持しています。

Talos では、結束力の強い少人数で構成されるチームごとに、それぞれ異なる最前線の脅威を調査しています。アウトリーチ チームは、新たに登場する脅威を常に精査しています。その他のチームは、新たなマルウェアや脆弱性のリバース エンジニアリングを行い、お客様のネットワークを保護しています。他にも、情報入手、セキュリティ レポートの発行、そしてお客様、IT ベンダー、サービス プロバイダー、さらに競合他社との情報交換を行うメンバーがいます。

ときには Olney のように、昔ながらの捕獲ゲームを楽しむこともあります。Olney はハニーポットを起動して、飲み物に手を伸ばしました。一口飲んで戻そうとしたところで、1 件ヒットがありました。

「実はハニーポット ソフトウェアを完全にインストールする前に、最初のログイン失敗がありました」と Olney は述べています。

つまりサイバー攻撃者は、侵入および感染を目的として、すでにハニーポットへの攻撃を試みていたということになります。ここで攻撃者が行っていたのは、ブルートフォース攻撃という方法です。これは既知のパスワードや一般的なパスワードを集中砲火のように次々に打ち込んで、アクセスを試みるものです。「まさかこんなに早く来るとは思いませんでした」と Olney は語っています。

攻撃者が網にかかったところで、その攻撃者をさらに誘い込むため、Olney は海外の多数のネットワークにハニーポットをすばやく設定しました。これらのハニーポットが互いに関係しているとは、外部からは誰にもわかりません。「私たちはいつも、産業用制御システムや Web サーバ、エラスティック サーチ サーバ、IP テレフォニー サーバ、場合によってはガソリン ポンプに見せかけたハニーポットを設定しています」と Olney は説明しています。

「どのハニーポットにも正当なトラフィックはなく、すべてが攻撃者からのものでした。まさに前例のない、白昼堂々の犯行です」

Craig Williams
脅威インテリジェンス アウトリーチ マネージャ

デジタル捜査

ここから本格的な捜査が始まりました。Olney のハニーポットではすべてのログイン失敗が密かに記録されていたため、Talos のアナリストは、既知のパスワード「辞書」と照合することができました。これは、ハッカーがオンラインで取引している 45 万を超えるパスワードのデータベースです。

脅威インテリジェンス チームは、トラフィック パターンの分析を担当しました。検出調査チームは、DDoS Trojan(トロイの木馬)のコードに対するリバース エンジニアリングを行いました。Talos のデータ アナリスト チームが、さらに攻撃者の正体を見極める手掛かりを見つけ出しました。

「Talos のデータ サイエンティストは、データの微妙な違いを見つける名人です。集合論とクラスタリング アルゴリズムを理解し、厳密な数学的手法によって攻撃者と攻撃方法、攻撃された場所を明確に判定します」と、セキュリティ リサーチの専門家であり、メリーランド州コロンビアにいる Talos の責任者であるシニア ディレクター、Matt Watchinski は述べています。

Talos の各チームは協力して、攻撃元が香港の 2 つのネットワークであると特定しました。いくつかの名前を候補に挙げた上で、Talos ではこの攻撃者に SSHPsychos という名前を付けました。

そして間もなく、SSHPsyhcos が小規模な組織ではないことがわかりました。Talos とセキュリティの専門家は、SSHPsychos がインフラストラクチャだけで 10 万ドルを超える規模であると推定しました。もちろんこれ以外に、継続的な運用コストがかかります。「今は攻撃元も、驚くほど装備が複雑化しています」と Williams は述べています。

「Talos のデータ サイエンティストは、データの微妙な違いを見つける名人です。集合論とクラスタリング アルゴリズムを理解し、厳密な数学的手法によって攻撃者と攻撃方法、攻撃された場所を明確に判定します」

Matt Watchinski
Cisco Talos シニア ディレクター

追跡開始

攻撃者を SSHPsychos と特定したところで、追跡が始まります。

今度は Talos が攻めに転じる番です。これは孤独な戦いではありません。Talos は、サイバー セキュリティのコミュニティとの信頼関係を構築してきました。これは SSHPsychos を制圧するには不可欠な要素です。

Olney とチームは、コロラド州ブルームフィールドにある Level 3 Communications の脅威リサーチ チームに、それまでにわかったことを密かに伝えました。Level 3 Communications は国際的な通信プロバイダーであり、インターネットのバックボーンになっているグローバル インフラストラクチャの構築に携わっています。

「当社は Cisco Talos と協力して、私たちのネットワークとお客様のネットワークで発生する脅威を緩和しています。この協力関係の下で、攻撃者を十分に把握して、攻撃の影響を最小にしているのです」と、Level 3 Threat Research Labs の Mike Benjamin は述べています。

Level 3 の専門家は、この脅威の範囲をすぐに理解し、直ちに対応を開始しました。ただし Level 3 では、顧客との契約上、あるサイトがどのようなトラフィックを送出していたとしても、それを理由にブラックリストへの登録はできないことになっています。そのため China Telecom に対して、ネットワーク上の不正なアクティビティについて警告することにしました。

調査の急速な拡大とともに、攻撃者もそれに気づくことになりました。それとほぼ同時に SSHPsychos は活動を停止し、Talos が痕跡を調査することもできなくなりました。

こうした攻撃者のアクティビティは、あるときには世界の SSH アクティビティの 3 分の 1 を占めることがあります。そして翌日には消え失せたりします。ここに攻撃者を阻止するチャンスがあるとも言えます。

「Talos では人々の注意を喚起し、脅威の進化について広く情報を公開することを心がけています。我々は結束して戦う必要があるのです」

Joel Esler
脅威インテリジェンス マネージャ
Cisco Talos

Esler は、Talos でさまざまな役割を担っています。捜査当局との連携の他に、Snort をはじめとするオープンソース セキュリティ コミュニティを管理するチームのリーダーでもあります。Snort は、Martin Roesch が開発した実績のある侵入検出システムです。Roesch はその後 Sourcefire を設立しています。2013 年に Sourcefire がシスコ傘下に入ると、Snort もシスコに加わりました。Esler のチームは、Talos が広く情報を公開している TalosIntel.com も管理しています。

「Talos では人々の注意を喚起し、脅威の進化について広く情報を公開することを心がけています」と Esler は語ります。「我々は結束して戦う必要があるのです」

Talos と Level 3 は、ここで改めて攻撃者に立ち向かいました。そして、今度は遠慮はしませんでした。

2015 年 4 月 7 日、Level 3 はグローバル ネットワーク上の SSHPsychos のすべてのトラフィックに対し、ブラック ホーリングもしくはブロッキングを実施するという、前例のない処置に出ました。また他のインターネット プロバイダーに連絡し、同様の処置を要請しました。