セキュリティコンサルタントの日誌から

セキュリティに関するエッセイなど

Cyber Threat Attributionとは何か?(2019年度版)

Cyber Threat Attributionとは、攻撃主体の帰属を特定する技術です。

攻撃者も人間である以上、アイデンティティ(攻撃の目的)、動機、攻撃手口などを持っているはずです。それらを洗い出すことで、自分の組織が狙われないようにする、TTP(Tactics, Techniques, Procedures)を分析して防御に役立てるなど、様々な活用方法が考えられます。

この技術はThreat Intelligenceの中でもOperational Intelligenceのレベルで活用されることが一般的です。以前も講演をもとに攻撃パターン・メタデータ・攻撃リソースを分析する方法を紹介しましたが、少し新しい知見をもとに分析をしてみたいと思います。

www.scientia-security.org

Attributionを行う4つの方法

SANSでは、Robert M. Lee氏の研究に基づき、Attributionは4つの方法があると述べています。但し、この一つに頼ると誤った結論に達するケースが多いため、Intrusion Analysisとその他3つを組み合わせて正しいAttributionを行うべきと述べています。特にAdversary Admissionとして名乗っている組織が本当に攻撃を行っているかなどはわからないモノです。

  • Adversary Admission
    • これは、攻撃グループ自体が自分の犯行であることを認めている場合です。
  • Leaks / OPSEC Failures
    • これは、攻撃グループ内から情報が漏洩する場合です。Edward Snowden氏のように内部の人が情報を漏洩する場合もあれば、OPSEC(作戦行動中のセキュリティ)に漏れがあり、自分の行動がばれてしまうなどのケースも含まれます。
  • Direct Access
    • これは、Cyber HUMINTなどの観点から攻撃者と直接やり取りをして情報を取得する場合です。
  • Intrusion Analysis
    • これは侵入分析を行い、その過程からグループや攻撃キャンペーンについて分析を行うパターンです。この分析には、ACH(競合仮説分析)などを利用します。

 A Guide to Cyber Attribution

一方、ODNI(Office of The Director of National Intelligence)は、Cyber Attributionの短いガイド『A Guide to Cyber Attribution』を公開し、その手法について簡単ながら解説しています。この文書は、上でいう「OpSec Failure」と「Intrusion Analysis」に着目する点を述べていきます。

この文書によれば、注目すべき点は大きく5種類あると述べていますので少し解釈もつけながら説明していきます。

  • Tradecraft(=攻撃パターン)
    • 攻撃時の振る舞い、時間帯・利用する攻撃種類(Web攻撃・マルウェアの特徴)など、攻撃における習慣を意味しています。DNIの資料によれば、こうした習慣は技術的ツールよりもむしろ変更しづらいために、十四な指標だと述べています。但し、この情報は一度外部に出てしまうと、誰でもマネできてしまうため、価値が損なわれるとも書かれています。
  • Infrastructure(=攻撃リソース
    • 攻撃を行う上では、C2サーバなど攻撃の足掛かりとなる攻撃基盤が必要になるため、攻撃基盤の分析することを意味しています。
    • そのため、各種情報(Exploit Kitの種類・攻撃基盤の特徴・XaaSの利用状況・環境の成熟度・ドメイン・IPアドレス・メール・フリードメイン・SNSアカウント)などの情報を収集して分析を行います。
  • Malware(=メタデータ)
    • マルウェアは高度標的型攻撃で必ず登場するもので、エンドポイント(端末)に痕跡が残ります(最近では、ファイルレスマルウェアなどもありますが、とはいえ適切なセンサーがあれば記録は残ります)。そのため、マルウェアやそれに付随する情報(攻撃に利用された文言・特定の文字列・言語・メタデータ・ファイル命名則 etc.)を分析することにより、Attributionに貢献してくれます。
  • Intent(攻撃者の意図)
  • Indicators from External Source
    • 民間企業、メディア、学術界の知見を活用する方法です。

まとめ

Cyber Threat Attribution技術は、実際にベンダー等のレポートを見ると、推理小説みたいで非常に面白い内容です。ただ、実際の分析で利用するまで成熟の高い企業は少ないとも言えるので、まずは基本に忠実にやることが重要とも言えるでしょう。