この記事は、Jason Brvenik によるブログ「Cisco 2014 Midyear Security Report: Threats – Inside and Out 」(2014/08/07)を意訳したものです。
シスコで実施している「Inside Out」プロジェクトを通じて、弊社の脅威調査担当者は、
特定のネットワークを(お客様の許可を得た上で)綿密に調べたところ、悪意のあるトラフィックの形跡があることを発見しました。弊社では、エンタープライズネットワークからのドメインネームシステム(DNS)ルックアップを使用して、データ流出や脆弱性の可能性を示すスナップショットを作成しています。この調査では、シスコ 2014 年度年次セキュリティレポートで報告したように、サンプリング対象の企業ネットワーク内から送信した DNS ルックアップを分析したところ、これらのネットワークすべてにおいて悪意のあるトラフィックが見つかりました。
最近リリースしたシスコ 2014 年中期セキュリティレポートでは、シスコの多国籍企業のお客様の中から大企業の 16 社のネットワークを集中的に調べました。2014 年上半期の調査では、これらの企業と悪意のあるトラフィックのつながりの中に、以下に示す 3 つのセキュリティへの考察を深めることができました。
- ボットネットの「Hide and Seek」:ダイナミック DNS(DDNS)は、通常は正当な目的に使用されますが、ボットネットの検出と破壊を免れるために利用できることから、攻撃者にとって人気の攻撃対象システムになっています。Inside Out プロジェクトの一環として 2014 年に観察した顧客ネットワークのサンプル クエリの大半は、DDNS に対する DNS クエリの発行であることがわかりました。この結果は、必ずしもこれらの組織が DDNS プロバイダーを使用するマルウェアによって侵害されていることを示すものではありませんが、シスコからは今後 DDNS リクエストを詳しく調べることにより、常に業務上の正当な理由で動作していることを確認するようアドバイスしました。
- マンインザブラウザマルウェア:Palevo、SpyEye、および Zeus は、マンインザブラウザ(MiTB)機能を組み込んだマルウェアファミリです。これらのマルウェアによって生じるボットネットは、インスタントメッセージ、ピアツーピア(P2P)ネットワーク、および取り外し可能なドライブを介して拡散されます。その後、分散型 DDoS 攻撃の実行や、Windows オペレーティングシステム上のブラウザでオンラインフォームに入力された情報を盗むために使用されます。これらのマルウェアによって侵害されたホストへの DNS ルックアップは非常に強い脅威とみなされており、Inside Out プロジェクトの一環として 2014 年上半期に観察した顧客ネットワークのほとんど(90% 以上)で Palevo、SpyEye、および Zeus マルウェアをホストする Web サイトへのトラフィックが存在することがわかりました。
- 盗んだデータの暗号化:悪意のあるエンティティの中には、情報を盗む際に痕跡を隠すため、暗号化された通信チャネルまたはデータ転送プロトコルを使用するものがあります。たとえば、IP セキュリティ(IPsec) VPN、セキュアソケットレイヤ(SSL)VPN、セキュアファイル転送プロトコル(SFTP)などです。弊社の調査担当者によれば、2014 年上半期に観察したネットワークの 3 分の 1 以上が、IPsec VPN、SSL VPN、SFTP などのサービスを提供するデバイスに関連するサイトやドメインに DNS リクエストを発行しているということです。このようなサイトは、暗号化されたチャネルを使い、検出されることなくデータを持ち出すことに利用されるため、組織はこのような通信を定期的に監視して検証する必要があります。
調査の詳細については、「シスコ 2014 年中期セキュリティレポート」を参照してください。カスタム脅威インテリジェンス(CTI)サービスの一環として弊社の Inside Out 調査プロジェクトに参加をご希望のシスコのお客様は、アカウントチームにお問い合わせください。Inside Out プロジェクトにご参加いただいたシスコのお客様には、シスコが作成する「External Cyber Threat Report(外部サイバー脅威レポート)」を提供しています。