セキュリティ対策のためのDeception技術

公開日：2021.04.20｜

更新日：2024.02.29｜

アクティブディフェンス

本物だと信じている情報が、実は嘘の情報！？

攻撃者は「前提を覆されるのが最も嫌な事、あるいはされては困る事」と以前の「エンドポイント保護のためのMoving Target Defense 技術」で書きました。特に攻撃を高い投資対効果を求める攻撃者にとっては、これは死活問題と言えます。

ここで言う「前提」とは何でしょうか？

前号で述べた通り、攻撃者は実際に攻撃を実行する前に事前調査を行います。攻撃者は前提として、事前調査により得た情報は本物の情報である、と信じています。

攻撃者の活動内容

攻撃者（マルウェアではなく人間）は、バックドアを開けてくれる「トロイの木馬」などのRAT（Remote Access Tool）を侵入させますが、この時点では侵入させたエンドポイントやシステムの全体像がどうなっているのかも把握することはできません。

従って、情報を搾取するために「自分はどこにいるのか？」、「攻撃対象の重要資産がどこにあるのか？」、「どうすれば重要資産に辿り着けるのか？」などを侵入後に探す必要があります。勿論、攻撃を受ける側である企業などの組織は、通常、重要資産へはアクセスできないように幾重にもセキュリティ対策をしているため、簡単に見つけることも辿り着くこともできません。

そこで、攻撃者は侵入することができたエンドポイントから横移動（Lateral Movement）を行い、システムの全体像や重要資産の場所、迂回路などについて探索を開始します。この時、攻撃者は侵入している事を防御側であるシステム管理者には知られたくないので、ネットワークのポートスキャンなどの外部へのアクセス活動は一切行なわず、侵入したエンドポイント内の情報のみを使ってシステムの全体像の把握や重要資産の場所の探索をはじめます。

攻撃者が利用したいエンドポイントに保存されている情報

侵入したエンドポイントで収集できる情報とは、どんな種類があるのでしょうか？

エンドポイントのOSや各種システムアプリケーションは、利用者の利便性を考え、様々な情報をシステム内に保有しています。それはキャッシュ（一時記憶）データであったり、特定あるいは特殊なファイルであったりと様々です。この様々な情報を使い攻撃者は横移動を継続し攻撃活動を行います。

エンドポイントに保有されている情報は攻撃者にとっていわゆる「宝の山」です。そこには、

クレデンシャル情報（ユーザIDやパスワード、あるいはパスワードのハッシュ値）
過去に接続したアクセス可能なエンドポイント
その際に利用したエンドポイント名、ネットワークプロトコル、ポート番号
ブラウザなどのアプリケーションがアクセスした対象や情報　　　　　　　　　　など、

多岐にわたる情報が保有されています。これらのエンドポイントが保有している情報を全てかき集めるツールは、簡単に入手が可能です。そのため、攻撃者は全く苦労することなく横移動に必要な情報を手に入れることができるのです。

攻撃者を逆手に取るDeception技術

「宝の山」は、無償のツールがあるくらいですから、OSやアプリケーションの種類によって内容も場所も簡単に特定が可能です。

攻撃者は、侵入後にこれらのツールを使い、侵入できたエンドポイントから簡単にシステムに関する情報を入手します。しかし、攻撃者にとって残念なのは、その情報が「本物」か「偽物」かの判断ができないことです。

これこそが、攻撃者の「前提を覆し、最も嫌な事あるいはされては困る事をする」上でポイントとなります。もし、偽の情報が本物の情報以上に多く存在しており、いかにも本物の情報のように見えていれば、攻撃者は偽の情報を本物の情報と誤認して利用する可能性が高まります。

その中で、

攻撃者が侵入した後にどの様な行動をするのか？
どんな情報を欲しているのか？
何を基準にして本物の情報か偽物の情報かを判断するのか？

を把握することが重要です。そのような攻撃者のプロセス（行動特性）や判断基準（考え方）を逆手に取り、攻撃を防ぐ技術が今回ご紹介するDeception技術です。

Deception技術について

Deception技術は、攻撃者を騙し、確実に侵入検知をすることを目的にした技術です。「Deception」とは「欺瞞（ぎまん）、まやかし」のことで、これをサイバーセキュリティに適用したものが攻撃者を欺くDeception技術です。

攻撃者はエンドポイント内の情報を利用して横移動を図りますが、Deception技術を用いて具体的に、以下の方法で横移動を防ぎます。

様々なエンドポイント名、種類、ネットワークプロトコルに対応して偽の情報を挿入
攻撃者だけが見える偽の情報をエンドポイント内に挿入
AIが本物の情報と同じ命名規則、文字種類を組み合わせ、偽の情報を自動生成
攻撃者が侵入した端末内で、偽の情報を配布しているシステムを見つけられない様に、エージェントレスで実装（※勿論、攻撃者が欲しい本物の情報に偽の情報を挿入する方法は、当技術を開発もしくは採用している企業にとって、要となりますので開示はされていません。)

もし、本物とそっくりな偽の情報が真の情報以上に多く存在していれば、攻撃者が誤って偽の情報を利用する確度が高まることになります。

そして何よりも技術として大切なことは、

攻撃者が欲している情報がどこにあるかが、俯瞰できること
偽の情報が攻撃者は本物に見えるが、利用者（管理者やエンドポイント利用者）はそもそも見えないこと
攻撃者にDeception技術を使っていると判別できないこと（エージェントレスなど）

です。

ただし、システム運用者には、本来のエンドポイント利用者と攻撃者の見分けがつかずに生成される過検知や誤検知により、運用上、絶えず不要な負荷がかかります。
それを踏まえ、Deception技術が実現すべきポイントは、

攻撃者に偽の情報を使わせる仕組み
攻撃者の目標、あるいは攻撃手法を検知する方法
攻撃者にだけ偽の情報が見せることで、利用者には見えない（利用者を混乱させない）こと
運用者の負荷を増やさないこと（自動で偽の情報作成、過検知/誤検知の排除など）
短期間でのシステム更改でも確実に偽の情報が配付できること

となります。

Honeypot技術との違い

Deception技術と同じような技術で、Honeypot技術があります。何がどう違うのでしょうか？

Honeypot(ハニーポッド)とは、その名の通り「蜜のつまった壺」のことで、これをサイバーに適用したものとなります。Honeypot技術を簡単な例で説明しますと、

ハチミツ（重要情報）の入った壺をシステム内に設置する
ハチミツ（重要情報）が大好物である攻撃者を引き寄せて、蜜壺のハチミツを搾取させる

技術です。

具体的には、

本物のエンドポイントのように見えるデコイ（偽物のエンドポイント）をシステムに設置
そのデコイにアクセスをしてきた攻撃者の侵入を検知
アクセス履歴によりフォレンジック情報を収集

することで、非常に詳細なフォレンジック情報を取得します。

欠点は、実際のシステムのコピーとなりますので、システムの一つとして運用しないと、例えば作成日付やアクセス履歴等で偽物である、と簡単に看破されてしまうため、デコイを本物に見せ続けるためには継続的な運用が必要となる点です。

Deception技術は、Honeypot技術と比べると2つの制限があります。1つが取得可能なフォレンジック情報がエンドポイント内の情報（実行した攻撃手法やツールに関する情報、利用したクレデンシャルなどの取得できた情報など）に限られる事。

もう1つが罠であるデコイがハリボテのため、攻撃者がDeception技術によって作られた偽の情報に入り込むと、比較的早く偽物であると気が付かれてしまう事です。

もっとも、気が付いた時には既に罠にかかっており、攻撃が不可能になっていますので、クリティカルな欠点ではありませんが。

逆に、Honeypot技術と比較した場合のDeception技術を活用したサイバーセキュリティの最大の特長は、Honeypot技術よりも攻撃者を誘い込む力が強い点、誘い込むことで侵入検知と防御・攻撃遅延が確実である点にあります。

つまり、侵入を確実に検知し、攻撃者の居場所を知り、重要資産を防御する為の方策を検討・実施する時間が作れることです。

具体的にDeception技術を使った防御ソリューション

日本で聞く製品としては、Attivo（2015年設立）、illusive networks（2014年設立、以下illusive社）などがあります。当社では、2016年からillusive社のDeceptions everywhereの取扱いをしており、大手保険会社での導入をはじめとして、2021年には某政府組織に導入しています。

元々、illusive社は多くの企業のCISOから「実際に攻撃を受けているかどうかが判る方法はないか？」というニーズに基づき、確実に攻撃を検知する製品としてDeception技術を活用しました。

現在では、