サイバー攻撃を偽装環境に誘引する攻撃誘引基盤「STARDUST」とは？：5分で分かる最新キーワード解説（1/3 ページ）

　今回のテーマは企業ネットワークに侵入したマルウェアを発端にした標的型攻撃を、巧みに企業システムに偽装した観測用環境に誘い込み、攻撃者の行動を詳細に把握しようという「サイバー攻撃誘引基盤」だ。「STARDUST（スターダスト）」と名付けられたこのシステムは、攻撃者にどんなわなを仕掛けるのか？

「STARDUST」って何？

　STARDUSTは、標的型攻撃を「偽の」企業ネットワークに誘い込んで、攻撃者には監視を悟らせないようにこの行動を長期にわたって観測、分析できるようにする「サイバー攻撃誘引基盤」だ。情報通信研究機構（NICT）サイバーセキュリティ研究室が2011年に着想し、2017年5月に成果を公表、6月には「Interop Tokyo 2017」で動態展示を行った。

　日本年金機構の大規模情報漏えい事件をはじめ、国内外で「標的型攻撃」による情報窃取事例が後を絶たない。しかし標的となった組織のネットワークで実際に何が行われたのか、組織から実態が公表されることはまずない。もし詳細を公開したら、組織ネットワークの構成やセキュリティ対策が丸裸になってしまう可能性があるからだ。

　一方、セキュリティベンダー各社は、マルウェアのコードを分析し、またテスト環境で動作させて、その機能を明らかにしているが、攻撃者の支配下に置かれたシステムで、攻撃者がどのようなコマンドを使い、何を探り、何を外部に持ち出したのかは、ベンダーといえども標的組織の協力がなければ分からない。

　このように攻撃や被害実態を完全に把握できない状況では、対策や被害拡大阻止のための研究に限界がある。攻撃者の思考と行動を明らかにする方法はないかと考えたとき、攻撃者を偽装環境に誘引して自由に泳がせ、時には数週間から数カ月にわたる攻撃活動を逐一観測し、その手口や目的とする情報が何かを明らかにする仕組みが有効なはずだ。ただしこれには少なくとも、次の3つの障壁がある。

「STARDUST」が必要な理由は？

（1）攻撃者に偽装環境を気付かせてはいけない

　ある程度侵入を深めた攻撃者に偽装された仮想環境であることが気付かれると、その時点で攻撃をやめてしまうことがあり得る。例えば実環境と異なる環境では動作を変えるマルウェアがある。サンドボックスを設置していてもマルウェアに感染することがあるのは、サンドボックスの仮想環境を自動検知して欺く機能を備えているのが一因だ。

　また自動的に検知できなくても、PCの遠隔操作が可能になった段階でネットワーク内を探索すれば不自然なところがすぐに分かってしまうこともある。そのため、偽装環境は標的組織のネットワークを精密に模倣していなければならない。

　偽装ネットワークが標的組織のグローバルIPアドレスと同じでなければならず、ネットワーク内には当然あるべきネットワークセグメントがあり、各セグメント内には役割に応じたサーバがなければいけない。

　サーバにはその役割に応じたソフトウェアやデータが入っている必要がある。クライアントPCも相応の台数があり、それぞれが実際に運用されているかのようにファイルが現実的な名前と階層のフォルダに保存されていることが重要だ。そうしないと攻撃者をだませないからだ。

（2）偽装環境構築のリソース

　精巧な偽装ネットワーク構築には相応の規模のITリソースが必要だ。物理システムを仮想環境で模倣することはできるとしても、民間企業やセキュリティサービス企業がそのためのリソースを用意するのはコスト面で問題がある。

（3）偽装環境構築のスピード

　攻撃が始まった段階でできる限り速く標的企業の実ネットワークを模倣した偽装環境を構築する必要がある。あまり時間がかかってしまっては、実ネットワークで攻撃者の目的が遂げられてしまうからだ。

Copyright © ITmedia, Inc. All Rights Reserved.