Copyright © 2021,INTELLIGENT WAVE INC. All rights reserved.

開催終了

2021.04.13(火)

エンドポイント保護のためのMoving Target Defense 技術

サイバーセキュリティ対策の投資対効果

前回の記事で、「攻撃者側の視点に立った場合、金銭目的の攻撃においては投資対効果が重視されます。」と書きました。これは我々防御側も同じで、防御側の視点に立った場合も投資対効果が重要です。つまり、過大な投資による過剰防御は不要で、どの様な攻撃であっても必要な情報を守れる防御が必要です。

NIST サイバーセキュリティフレームワーク
*1では、対策プロセスとして以下を定めています。
 



具体的な対策としては、「特定(識別)」「防御」では脆弱性スキャン/アンチウイルスなど、「検知」ではふるまい検知/サンドボックス/AIなど、そして「対応」ではEDR/SIEMなどがあります。
仮に、「防御」の部分が十分に機能して、攻撃者の侵入、いわゆる「すり抜け」が発生しなければ、「検知」「対応」における対策は不要となります。つまり、防御力を上げると、他の高価な対策の必要がなくなるのです。

一般的な対策法として、既知の脆弱性やマルウェアコードのパターン、ふるまいなどを学習したシグネチャーや検知エンジン、AI推論などが挙げられます。
これらの手法は、残念ながらまったく新しい手法の攻撃に対しては無力だと言えます。新しい手法の攻撃に対しては、迅速なシグネチャー生成やエンジン改善が必要となり、防御側は後手に回ります。
これがサイバーセキュリティにおいて攻撃側が優位であるといわれている所以です。




攻撃側優位から、防御側優位へのパラダイムシフト

攻撃者優位の状況から防御側優位の状況への転換を果たすためにはどうしたらいいのでしょうか?いつ、どこへ、どのような攻撃が起こっても、運用に負荷をかけずに重要な情報を守れる方法はないのでしょうか?

攻撃者は組織内部に共犯者がいない限り、攻撃対象のシステム構成、利用しているアプリケーションやバージョンなどの情報を知り得ません。結果、一番多く使われているOS、一般的に利用されているアプリケーション(Microsoft Office等)を対象にします。
その為に、攻撃者はアプリケーションの脆弱性をベンダーが発表を行う前に発見し、様々な脆弱性を悪用すると何が出来るか、どう脆弱性を使うかを研究しています。そして、人間心理の悪用を前提に攻撃ストーリーを作成し、必要な攻撃ツールの開発、攻撃ポイント、攻撃時間(週末直前とか)を決めて実行することで投資対効果
*2の最大化を狙っています。

そうであれば、攻撃者の考え方や行動パターンを逆手に取り、攻撃者が嫌がる、対策されては攻撃できない(あるいは成果が投資コストに見合わない)状況をつくれば良いのです。
この結果、攻撃側優位から、防御側優位へのパラダイムシフトを果たすことが出来ます。




攻撃者が嫌がる事、対策されて困る事を行う

イスラエルには国防の関係からサイバー部隊8200に代表される諜報部隊組織があります。彼らはサイバー攻撃、サイバーセキュリティに関する知見が豊富であり、攻撃と防衛、両方の観点からツールを開発しています。当然、攻撃者がやられて嫌な事も熟知しているため、サイバーセキュリティ製品も攻撃者が嫌がる事、対策されて困る事を前提に開発しています。
前述の様に攻撃者は念入りに事前準備をし、どの対象OSやアプリケーションで、何をすればマルウェア(RATやランサムウェアなど)の侵入と攻撃が出来るかを研究しています。
従って、攻撃者の前提を覆されるのが最も嫌な事、あるいは対策されては困る事です。

その手法の一つが、実行環境のマルウェアやアプリケーションといったプログラム領域、ライブラリなどのプログラム(ラベル)名称、スタックやヒープ領域といったユーザ領域のメモリ配置を、プロセスが生成される度に毎回変えることです。そのために、エンドポイント保護の為のMoving Target Defense技術(以下、MTD技術)が活用されています。
つまり、静的なエンドポイント環境を、動的に変化する環境に変えてしまうのです。

 


この方法のメリットは、
 
  • 攻撃内容の解析が不要で攻撃が成立しない(既知、未知の攻撃は関係ない)
  • 他のサービスと連携不要でネットワーク接続や、パターンファイル更新が不要
  • アプリケーション稼働を妨げるCPU負荷が発生しない(プロセス起動時のみ発生)

などです。



本当に環境を動的に変化させることは可能なのか?

エンドポイント向けのMTD技術を使用した唯一のエンドポイント保護製品を開発しているのが、イスラエルにある2014年6月設立のMorphisec社*3で、現時点で約5,000社、7百万台に導入されており、全世界のべ31件の特許*4を取得しています。

Morphisec社は、OS毎の特徴を十分理解し、OSやアプリケーションに一切影響を及ぼさないという、複雑なMTD技術の実装を実現しています。その結果、前述のMTD技術のメリットに加えて、

 
  • インストールが簡単で、再起動が不要
  • ユーザモードで稼働するので、コアダンプやブルースクリーンが発生しない
  • 攻撃者を検知した際に、攻撃を解析する為のフォレンジックを最大限取得する
  • 論理的に過検知、誤検知が発生せず、運用に余計な手間がかからない

と言う点も実現しています。

Morphisec社のMTD技術は外部からの評価も高く、下記のアワードを受賞しています。

 
  • ガートナー「Cool Vendors in Security for Technology and Service Providers, 2016」*5
  • 米国国土安全保障省(DHS)、2018年10月【仮想システムのための強化されたMTDによる防御製品の開発】を受賞*6し、『今後のサイバーセキュリティ対策は、MTD技術でないと守ることは出来ない』と国土安全保障省は表明しています。
CYBERSECURITY Excellence Award*7 @2016
XCellence award Midsize Enterprise Summit®: Fall 2018 (MES Fall)
*8 @2018
CyberSecurity Breakthrough Award for APT Solution of the Year
*9 @2019
TOP 100 CYBERSECURITY STARTUPS FOR 2020」
*10 @202            など多数


 
マイクロソフトコーポレーションも認めるセキュリティ対策

Morphisec社はマイクロソフトコーポレーションのMISA(Microsoft Intelligence Security Alliance)パートナーとして、Microsoft Defenderの管理機能を製品に実装している唯一の製品です。また、Defender for Endpoint*11*12(旧Defender for ATP)の検知情報としてMorphisecの情報を取り込んでいます。



どうやって動的に変化する環境を作るか(少し技術的です)

アプリケーションプログラムは、C++などの言語で書かれ、それをコンパイルして、リンカーで実行モジュール(バイナリファイル)を作成します。その時点でそのプログラムが、ユーザのメモリ空間のどこにモジュール(メインプログラム、ライブラリなど)や、スタック領域/ヒープ領域などの開始アドレスを確保するかを決めています。
Windowsでは、実行モジュール.exeのインポートセクションなどにその情報が保有されています。このインポートセクションの情報に従い、Windowsは当該プロセスのプロセスメモリ領域を確保し、実行モジュールなどをロードやスタック領域確保をします。
攻撃者はユーザプロセス空間の、どのメモリ領域(アドレス)に何があるかを事前調査で知っており、そのアドレスにジャンプすることで、攻撃者がやりたい事(例えば、管理者権限の奪取、プログラムフローの変更など)を行います。勿論、何という名前のライブラリがどこにあるかも知っています。

従って、プロセスメモリの配置をプロセス生成毎に変えてしまえば、その攻撃プログラムが正常に動作したとしても、攻撃者の知っているメモリアドレスにはやりたい事を実行するコードやテーブルが無いため、そもそも攻撃を実行することができません。このMTD技術によって環境を動的に変化できる事になります。万が一、メモリ配置テーブル(と思わしきもの)があっても、ライブラリ名が動的に変更されているので、やりたい事を実行するシステムコールを発するライブラリを見つけることもできません。
これが、エンドポイント保護の為のMTD動作原理になります。
(Windows Vistaから実装されたASLRと同じ様な原理ですが、全てのプログラムで問題が発生しない実装はASLRではできませんでした)

 

 
 
しかし、MTD技術でメモリ領域を変化させたプログラム領域でも正常にプログラムが動作するためには、プログラム自体が相対アドレス(PIC:Position Independent Code)で記述されていることが前提になります。(ジャンプ先をハードコーディングしている絶対アドレスでは正常にプログラムが動作しなくなります)
ただし、攻撃者が利用する、一番多く使われているOS(Windowsなど)や一般的に利用されているアプリケーション(Microsoft Officeとか)は膨大ではなく限られています。この限られた組合せを重点的に守れば、脆弱性の悪用はできなくなります。

守るべき情報資産はサーバーに保存されており、サーバーへのアクセスは厳重に守るべく様々な対策が施されています。その一つがサーバーに接続されているネットワークや、クレデンシャル情報などアクセスに必要なシステム環境です。しかし、いかに厳重に守ろうとも時間をかけて攻撃が実行されると異常と検知されない、あるいはOS自体がクレデンシャル情報をキャッシュしているという事実に変わりはなく、クライアント端末が攻撃者に乗っ取られてサーバーへアクセスされた場合、最終的には情報搾取されてしまいます。

つまり、動的に環境を変更することで、攻撃者がどんなに時間をかけても攻撃ができない状況を作ることでしか、情報資産にアクセスするクライアント端末を守れないと言えます。この事こそが、エンドポイントが最後の砦であり、MTD技術こそが攻撃から情報資産を守る最大の武器になりうる理由です。




Moving Target Defense技術の歴史(詳細は、各出典の資料をご覧ください)

MTD技術自体は、米大統領府国家科学技術評議会(Executive Office of the President National Science and Technology Council)のCyberspace Policy Reviewのアクションプランにて2009年5月から取組み、2011年12月に策定された【連邦サイバーセキュリティ研究開発プログラムの戦略的計画(Trustworthy Cyberspace: Strategic Plan For The Federal Cybersecurity Research and Development Program)
*13*14】にてMTDとして正式に取組を発表しました。その後ACM(Association for Computing Machinery)*15にて2014年からMTDに関するワークショップがほぼ毎年開かれるに至りました。

また、SDN(Software Defined Network)にMTD技術を取り入れることで、攻撃されないネットワーク環境を開発する研究、開発
*16も行われています。

ネットワークとエンドポイントの両方にMTD技術を適用すれば、サイバー攻撃に対して非常に堅牢なセキュリティ対策になるのではないでしょうか?
 
■ 参考
*01    https://www.ipa.go.jp/files/000071204.pdf (IPAが提供している和訳版です) ,2021/4/13
*02    https://www.itmedia.co.jp/enterprise/articles/2103/17/news010.html#cxrecs_s ,2021/4/13
*03    https://www.morphisec.com/ ,2021/4/13
*04    米国
US10402563B2 US10515215B2 US10528735B2 US2015356297A1 US2017206357A1 US2018137280A1 US2018181752A1 US2019332766A1 US2019334949A1 US2020342100A1 US2021056205A1 US9703954B2
EU
EP2946330A1 EP2946330A4 EP2946330B1 EP3123311A1 EP3123311B1 EP3230919A1 EP3283995A1 EP3283995B1 EP3568790A1 EP3568791A1 EP3612969A1 EP3769247A1
WIPO
WO2016079602A1 WO2016166744A1 WO2017137804A1 WO2019180667A1
Israel
IL249969D0 IL267854D0 IL267855D0
*05    https://blog.morphisec.com/newsroom/gartner-names-morphisec-2016-cool-vendor/ ,2021/4/13
*06    https://www.dhs.gov/science-and-technology/news/2018/10/02/news-release-israeli-morphisec-gets-200k-cybersecurity-tech ,2021/4/13
*07    https://cybersecurity-excellence-awards.com/candidates/morphisec/ ,2021/4/13
*08    https://www.businesswire.com/news/home/20180924005709/en/Morphisec-Recognized-as-the-Most-Awarded-Software-Vendor-at-The-Channel-Company%E2%80%99s-Midsize-Enterprise-Summit-Fall-2018 ,2021/4/13
*09    https://cybersecuritybreakthrough.com/2019-winners/ ,2021/4/13
          https://www.prweb.com/releases/morphisec_wins_2019_cybersecurity_breakthrough_award_for_apt_solution_of_the_year/prweb16618173.htm ,2021/4/13
*10    https://cyberdefenseawards.com/top-100-cybersecurity-startups-for-2020/ ,2021/4/13
*11    https://www.microsoft.com/security/blog/2019/08/27/improve-security-simplify-operations-windows-defender-antivirus-morphisec/ ,2021/4/13
*12    https://www.morphisec.com/morphisec-microsoft-defender-for-endpoint ,2021/4/13
*13    https://www.nisc.go.jp/conference/seisaku/strategy/dai21/pdf/21sankou02.pdf ,2021/4/13
*14    https://www.nitrd.gov/pubs/Fed_Cybersecurity_RD_Strategic_Plan_2011.pdf ,2021/4/13
*15    https://dl.acm.org/doi/proceedings/10.1145/2663474 ,2021/4/13
*16    https://ieeexplore.ieee.org/document/6918979 ,2021/4/13
          https://arxiv.org/abs/1704.01482 ,2021/4/13
          https://dl.acm.org/doi/abs/10.1145/2808475.2808485 ,2021/4/13
          https://www.atmarkit.co.jp/ait/articles/1809/18/news077.html ,2021/4/13



■ 執筆者
手塚 弘章(てづか ひろあき)
インテリジェント ウェイブ 第三システム開発本部 技術主幹 セキュリティビジネス担当。専門はサイバーセキュリティ、イスラエルに年数回出張をして現地のパートナーや友人と意見交換することで、最先端の技術や新しいスタートアップ企業の発掘を推進。
サイバーセキュリティを専門としている手塚と申します。(この1年は無理ですが)サイバーセキュリティ先進国イスラエルに毎年数回出張しており、イスラエルは近い将来の日本の縮図と思っています。そこで、現地のパートナーや多くの友人達から聞いた話や、日本のニュースから感じたこと、最新の技術などをBlogとして書きたいと思います。よろしくお願い致します。

リンク










お問い合わせ

お問い合わせフォーム    
03-6222-7300
(平日9:00~18:00)