サイバー攻撃の対策に役立つ脅威情報を集めようとすると、その膨大な量に圧倒されるでしょう。その中から、自分の組織の対策に本当に役立つ情報を取捨選択するとなると、莫大な労力がかかります。
最近日本でも浸透しつつある「サイバー脅威インテリジェンス」とは、まさに、こうした膨大な脅威情報の中から、「自分たちにとって意味のある情報」を選んで意思決定に役立てるプロセスと言えます。
では「意味のある情報とは何か」 – この問いに対し、脅威情報を使った対策によって攻撃者に与えられる「痛手」という視点から答えるのが、今回紹介する「ピラミッドオブペイン(Pyramid of Pain、痛みのピラミッド)」です。
ピラミッドオブペインとは
ピラミッドオブペインは、セキュリティ専門家の「David J Bianco」氏が2013年に提唱した概念モデル[*1]です。このモデルは、「攻撃者の動きの検出に使われる各種インジケーター相互の関係」と「各インジケーターを攻撃者から奪う(=利用不能にする)ことで攻撃者に与えられる痛手」を、ピラミッド状の図で表現したものです。
ピラミッドは6つの階層から成り、下から順に攻撃者が使う「ハッシュ値」「IPアドレス」「ドメイン名」「ネットワーク/ホスト・アーティファクト」「ツール」「TTP(戦術・技術・手順)」です。ピラミッドの上にあるインジケーターほど、攻撃者に大きな痛手を与えます。逆に言えば、下にあるものほど攻撃者が受ける痛手が少ないということです。もちろん痛手が少ないからと言って不要な情報とまでは言い切れません。David J Bianco氏もハッシュ値やドメイン名の活用を全否定はしていません。
では、痛みがインジケーターごとに異なるのはなぜでしょうか。
ツールやTTPを変えるのは難しい
昨今のサイバー攻撃では、攻撃者は自らのIPアドレス、ドメイン名を頻繁に変更し、いわば使い捨てしています。また、ハッシュ値も後述するように、簡単に変更することができます。なので、これらのインジケーターを追跡することは、価値が低い(=攻撃者にとっては痛手が少ない)ばかりか、誤検知の原因にすらなります。
これに対して、攻撃者が自ら使用するツールやTTPを変えるには時間や手間がかかるため(後述)、対策側が検出してブロックできれば、攻撃者にとって相当な痛手となります。
以下、各インジケーターについて詳しく見ていきましょう。
ピラミッドの各階層
ハッシュ値
SHA1、MD5などのハッシュ関数によって元データから算出されるハッシュ値は、具体的なマルウェアのサンプルや、侵入に使われたファイルの固有の参照値として使われます。固有なので、2つのファイルの中身が1ビットでも異なれば、これら2つのファイルのハッシュ値は全く異なるものになります。なお、異なる2つのファイルが同一のハッシュ値を持つことは、ほぼありません。このためハッシュ値は「最も正確なインジケーター」[*1]です。
しかし反面、少しでもデータを変更すれば、得られるハッシュ値は全く異なる無関係なものとなります(例えば「利用されていないリソースで1ビット反転させる」「最後にnullを追加する」といった些細な変更)。
つまり攻撃者は、有害なファイルのハッシュ値を意図的に操作することで、簡単にセキュリティシステムをすり抜けることができます。このため、ハッシュ値は「多くの場合、追跡する価値すらない」とDavid J Bianco氏は指摘します。
ファジーハッシュ
上記の問題を解決するものとして、類似するデータ同士で似た値が算出されるファジーハッシュがあります。David J Bianco氏によると、ファジーハッシュは値の変更や操作に対する抵抗力がハッシュ値より強いため、ピラミッドの上から2番目の階層(「ツール」)に適しているとのことです。
ファジーハッシュを計算するための主なツールには、ssdeepがあります。
IPアドレス
攻撃者はTorやVPN、匿名プロキシを使うことで、IPアドレスを好きな時に労力をかけることなく変更することができます。このため、攻撃者のIPアドレスに制限をかけたところで、攻撃を止められるとは限りません。
ドメイン名
ドメイン名を変更するには登録や料金の支払いが必要であるため、ドメイン名を使った対策による痛手は、IPアドレスの場合よりもわずかに大きくなります。
しかし、ダイナミックDNS(DDNS)サービスや、DGA(domain-generated algorithms)を使うことで攻撃者はドメイン名を自動生成することができます。以下は、無料のダイナミックDNSサービス「Duck DNS」で作成したドメインがマルウェアの配信に利用されていた、最近の例です。
日本のユーザー狙うマルウェア「MoqHao」
MoqHaoマルウェアは、ダイナミックDNSサービスであるDuck DNSを通じて作成されたドメインを、第一段階の配布インフラとして使用しています。
(マルウェアMoqHaoの)運営担当者は、平均14日ごとにIPアドレスをローテーションしつつ、複数のドメイン(こちらは、より頻繁に更新される)をホストすることで、個々のドメイン名に基づくブロックリストを回避しています。
ネットワーク/ホスト・アーティファクト
ネットワーク・アーティファクト
ネットワーク・アーティファクトとは、David J Bianco氏の定義によると以下の通りです。
攻撃者による自分のネットワーク上での活動で生じる観察可能なもの(observables)。技術的には、攻撃者の操作によって自分のネットワーク上を流れるデータの1バイト、1バイトは、すべてアーティファクトとなり得るが、実際問題として、アーティファクトの意味するところは、悪意のある活動を正当なユーザーによる活動から区別する傾向にあると思われる活動の痕跡。[*1]
例
・URIのパターン
・ネットワークプロトコルに埋め込まれたC2(コマンドアンドコントロール)情報
・異常なHTTP User-Agent
・異常なSMTP Mailerの値
ホスト・アーティファクト
ホスト・アーティファクトの定義は以下の通りです。
自分のホスト上での攻撃者による活動によって生じる観察可能なもの。ネットワーク・アーティファクトと同様、悪意のある活動を正当なユーザーによる活動から区別する傾向にあると思われるものに注目する。[*1]
例
・特定のマルウェアによって作成されたことが分かっているレジストリキーやレジストリの値
・特定の場所にドロップされたり、特定の名前を使ってドロップされたファイルやディレクトリ
ピラミッドの図では、これらのアーティファクトから暖色(黄色、橙、赤)に色付けされており、David J Bianco氏は「ここに来てやっと、敵に何らかの負の影響を与えるようになる」としています。
このレベルのインジケーターを検出できて、これに対処できれば、攻撃者をラボに帰らせ、自分のツールの再設定や再コンパイルをさせることになる。例えば、攻撃者のHTTP偵察ツールが独特のUser-Agent文字列を使って、自分(対策側)のWebコンテンツを検索していることに気がついた場合(例えば、スペースやセミコロン1個分のずれ。攻撃者が自分の名前を入れていることもある。笑ってしまうかもしれないが、これは本当にあること)。もし、このUser-Agentが表示されたリクエストを対策側がすべてブロックすれば、敵は退散して(a)自分の偵察ツールが検出された理由を考え(b)偵察ツールを修正するための時間を取らざるを得なくなる。もちろん、その修正が取るに足らないものである場合もあるが、少なくとも、敵は何らかの取り組みを強化して、対策側によって目の前に投げ込まれた障害を特定・克服しなければならない。[*1]
ツール
「ツール」は、「攻撃者が目的達成のために使用するソフトウェア」[*1]です。
例
・スピアフィッシングのための有害ドキュメントを作成するように設計されたユーティリティ
・C2通信のために使われるバックドア、パスワード解読ツール、その他攻撃者がポストコンプロマイズ[*2]で使いたがるホストベースのユーティリティ
敵はツールを特定されてしまうと、
・調査(同じ性能を持つ既存ツールを発見する)
・開発(もし可能なら新たなツールを作る)
・訓練(そのツールの使い方を学び習得する)
のための時間を費やす必要があるため、かなりの痛手を被ります。
TTP(戦術・技術・手順)
「TTP」とは、「目的達成のために攻撃者がとる方法」[*1]のことです。
例
・「スピアフィッシング」は、ネットワーク内に侵入するためによく使われるTTP
もっと具体的なレベルに行くと・・・
・「トロイの木馬化したPDFファイルを使ったスピアフィッシング」
・「ZIPファイルを装った有害な.SCRファイルへのリンクを使ったスピアフィッシング」
・「認証情報のキャッシュデータをダンプし、『パス・ザ・ハッシュ』攻撃に再利用する」
ここでは、個々のツールの話をしているわけではないので、注意が必要です。例えば、有害なPDFファイルを作ったり「パス・ザ・ハッシュ」攻撃を実行したりする方法は、いくらでも存在します。TTPレベルでの対策とは、例えば、「パス・ザ・ハッシュ攻撃を行うために敵が使うツールを検出する」ことではなく、「Windowsのログを詳しく調べるなどしてパス・ザ・ハッシュ攻撃そのものを検出する」ことです。
TTPのレベルで検出と対応を行うなら、敵の振る舞い、挙動(behavior)に直に影響を及ぼしていることになります。
純粋な有効性という観点からは、このレベルが私たち(対策側)にとっての理想だ。敵のTTPに十分素早く対応できれば、敵に最も時間のかかること、つまり新たな振る舞いを学ぶことを強いることになる。[*1]
まとめ
ここまで、ピラミッドオブペインと、攻撃者に与える痛みの程度がインジケーターごとに異なることについて見てきました。
大量のIoCを読み解く際に、それぞれがピラミッドオブペインのどこに相当するかを見極め、最も効果的なインジケーターを対策に活用すること、そして、有効なインジケーターに対応したツールを選ぶことが大切になってくるでしょう。
関連商材(EDR)のご紹介:CyCraft AIR
オンプレミスとクラウド経由の別を問わず、同時に何千ものエンドポイントを検査し、リアルタイムで脅威を検知し、根本原因を見つけ、即時対応します。Xensorエージェントレス・モードではエンドポイントを日次ベースでスキャンし、エージェント・モードでは、エンドポイントで悪意のある挙動を常時モニタリングします。
Xensorで収集された元レポートはCyCarrier(AI搭載フォレンジック分析センター)へ送られ、マルウェアのサンプルやメモリ内のコマンド、その他シグニチャベースやウイルス対策では分類できない疑わしい振る舞いを調査します。CyCarrierのデータベースを拡充するため、脅威インテリジェンスプラットフォームCybertotalが内部ソースを複数の外部CTIデータソースと統合し、独自のビジネスインテリジェンスを提供します。
製品の詳細は弊社公式サイトをご覧ください。
インテリジェンストレーニング、コンサルティング
マキナレコードは、「サイバー脅威インテリジェンスをチームとして積極的に取り入れていきたいが、どこからはじめたらいいかわからない」という方に向け、インテリジェンス運用のためのトレーニングや、導入支援のコンサルティングサービスを提供しています。
“Cyber Intelligence Fundamental Training”
目的
「インテリジェンス」が業務になった場合の具体的なイメージを理解する(インテリジェンスサイクルの理解)
・チーム構成の人員要件を確認する
・自分の組織に必要な、収集するべき情報、分析するためのツールの確認
対象
・セキュリティ・リスク管理の担当者
・C職を含む意思決定者
特色
・Laith Alkhouri氏による監修(Flashpoint創業者、対テロリストインテリジェンス専門家)
・米国CISAによるNICE Frameworkへのアダプト
・ハンズオントレーニングを含む2日間のトレーニング
学習する項目
・インテリジェンスサイクルの理解
・脅威の定義
・データソースの特徴
・要件定義の仕方
・情報収集とは
・分析ツール、各種フォーマット
コンサルティング(インテリジェンスの導入支援)
インテリジェンスを始めるための支援を、マキナレコードのコンサルタント及びアナリストが実施いたします。
対象となるお客様例
・インテリジェンスが重要なことはわかっているが、何から始めたらいいのかわからない
・情報が散在しており、活用しきれていない
・どういった情報があつめられ、どのように活用すればいいかがわからない
サービス内容例
・要件定義の策定支援
・インテリジェンスを始めるにあたっての基礎トレーニング
・必要なツールの選定
・インテリジェンスを活用するためのレポーティング手法
・他サービスとのインテグレーション
・運用支援
参考資料
[*1] DavidJBianco, “The Pyramid of Pain”, 2013年3月2日(2014年1月17日更新)
http://detect-respond.blogspot.com/2013/03/the-pyramid-of-pain.html
[*2] ポストコンプロマイズとは…
ロッキードマーティン社の「サイバーキルチェーン」で使用される用語で、攻撃者の取る行動の7段階のうち、標的のネットワークとの遠隔通信ができるようになって以降の2段階を指します。「攻撃後」「侵入後」などと訳されます。
ランサムウェアレポート無料配布中!
以下のバナーより、ランサムウェアのトレンドを扱ったSilobreaker社のレポート『2024 Ransomware? What Ransomware?』の日本語訳バージョンを無料でダウンロードいただけます。
<レポートの主なトピック>
- 主なプレーヤーと被害組織
- データリークと被害者による身代金支払い
- ハクティビストからランサムウェアアクターへ
- 暗号化せずにデータを盗むアクターが増加
- 初期アクセス獲得に脆弱性を悪用する事例が増加
- 公に報告された情報、および被害者による情報開示のタイムライン
- ランサムウェアのリークサイト – ダークウェブ上での犯行声明
- 被害者による情報開示で使われる表現
- ランサムウェアに対する法的措置が世界中で増加
- サプライチェーン攻撃を防ぐため、手口の変化に関する情報を漏らさず把握
- 複数の情報源と脅威インテリジェンスツールを活用することが依然不可欠
サイバー脅威インテリジェンスの要件定義ガイド、無料配布中!
インテリジェンス要件定義に関するガイドブック:『要件主導型インテリジェンスプログラムの構築方法』
以下のバナーより、優先的インテリジェンス要件(PIR)を中心とした効果的なインテリジェンスプログラムを確立するためのポイントなどを解説したSilobreaker社のガイドブック『要件主導型インテリジェンスプログラムの構築方法』の日本語訳バージョンを無料でダウンロードいただけます。
<ガイドブックの主なトピック>
本ガイドブックでは、優先的インテリジェンス要件(PIR)の策定にあたって検討すべき点と、PIRをステークホルダーのニーズに沿ったものにするために考慮すべき点について詳しく解説しています。具体的には、以下のトピックを取り上げます。
- 脅威プロファイルの確立
- ステークホルダーの特定・分析
- ユースケースの確立
- 要件の定義と管理
- データの収集と処理
- 分析と生産
- 報告
- フィードバック
- 実効性の評価
Writer
2013年に一橋大学卒業後、新聞記者などを経て、2020年にマキナレコード入社。以降、翻訳スタッフとして、情報セキュリティ、インテリジェンス、ダークウェブ関連のレポートやマニュアル文書等の英日翻訳に携わる。インテリジェンス関連のブログ記事制作も担当。