許可プロトコルから忍び寄る脅威：ラテラルムーブメント攻撃 vs NSX Security

こんにちは、最近は息子が学校で利用しているタブレットが夜間に充電されている際に異常に熱を持っているのに気がつき画面を見るとシャットダウンが中断され、なにかが実行され続けているのを何度か経験したり、実家の母からはPCで「ウイルスに感染しました。サポートセンターにお電話ください」という音声が連呼されて困っていると電話で相談を受けたり、と私の周囲でもよくよくちょっとしたテクノロジーのトラブルを実感している今日この頃であり、ICT に詳しくない人がこうしたことに困ってしまう実情に少し心を痛めております。事態が悪化せずに、軽微な事象のままでありますように日々祈っています。

さて、話題は変わりますが、近年のサイバー攻撃では、境界型セキュリティの先に位置するシステム内のサーバーに保持される貴重な情報がターゲットとなり、「遠隔からの多段攻撃」が行われていることが報告されています。

この攻撃手法では、攻撃者はシステム内で巧妙な探索活動を行ったり、脆弱性を悪用してシステムに侵入するなど、内部での攻撃活動を展開します。このような内部活動は一般的に「ラテラルムーブメント」と呼ばれます。

そうした「遠隔からの多段攻撃」の実手法の一例として、過去のブログでは「DNS トンネリング」を取り上げました。

今回は、侵害事例を参考にした攻撃サンプルをいくつかのデモ動画での実演を通じて、システム内部を標的とした攻撃の多くで報告されているラテラルムーブメントの動作を１つ１つ深掘りしたり、NSX Security を利用した場合でのこれらラテラルムーブメントの防御方法とその効果についてご紹介したいと思います。

デモのフルバージョンは以下のページにまとめておりますので、こちらの解説記事とあわせて是非ご視聴ください。

みなさまも「遠隔からの多段攻撃」/「ラテラルムーブメントの脅威」について、なんとなくご理解はされつつも、以下のような疑問を持たれてはないでしょうか？

私たち VMware は過去いくつかの Blog や IT 価値創造塾における記事にて、外部からの脅威に対して「従来型の境界型セキュリティだけでは対策が不完全」であるということを発信し続けております。読者のみなさまにもこのトピックを日頃から考えていただくきっかけになればとの思いで、情報発信を続けております。

上記の記事で何度も触れておりますが、境界型ファイアウォールなど、境界のセキュリティ対策だけでは不完全であり、攻撃者はシステム内において対策が弱い箇所から初期侵入を試み、権限の昇格や脆弱性の悪用を通じてより重要な情報に近づいていきます。攻撃者は遠隔操作できる踏み台を構成した後、システムの内部ネットワーク全体を探索し、攻撃戦略を組み立てていきます。このような「遠隔からの多段攻撃」を防ぐためには、境界のセキュリティ対策だけでは内部攻撃活動が把握できないため（ブラインドスポット）、従来型の境界型セキュリティだけでなく「内部ネットワークのセキュリティ」がこれまで以上に需要になってきているのです。

そこで、上記の３つの疑問の３つ目はご理解いただけたかと思いますが、このブログでは 実際の「遠隔からの多段攻撃」のサンプルをデモで再現することで、効果的なラテラルムーブメントの防御方法とその効果を解説し、１−２点目についての疑問の解決策のヒントをお示ししたいと思います。

このデモでは、情報システム部門の方が業務に使用するためにインストールするアプリケーションに問題があった場合を想定した例としています。インストーラに不正なコードが含まれているアプリケーションを実行してしまうと、攻撃者が遠隔操作できる踏み台として機能してしまいます。

侵害される想定の Windows クライアントでは、侵害されたクライアント端末とのセッションを確立し、遠隔操作によって侵害された端末のファイル操作やメッセージ送信が可能です。

[構成図]

このように正規インストーラと見せかけたモノや、フリーソフトに不正なプログラムを忍び込ませることで、攻撃者は攻撃対象への侵入経路を確保しそれを永続化することで、システム内部へ遠隔操作による攻撃ができることが再現されています。

攻撃者は遠隔操作できる踏み台を構成したあとは、システムの内部ネットワーク全体を探索し、権限の昇格や、脆弱性を悪用を通じてより重要な重要な情報に近づいていきます。このような攻撃者のシステム内で行われる探索行動は一般的に、「ラテラルムーブメント（水平展開）」 と呼ばれます。攻撃者は永続化させた経路を活用して、こうした探索行為やラテラルムーブメントを介して 内部システムの状況をより詳細に把握し、攻撃戦略を着々と組み立てていきます。踏み台として永続的な侵入口を設け、そこから外部からは直接アクセスできない内部ネットワークに踏み台を介して（ピボット）アクセスできるようになります。

この「ピボット」とは、攻撃者が既に侵入したネットワーク内で異なるシステムやサーバーに進入し、攻撃の範囲を拡大することを指す用語として使われることがあります。攻撃者はネットワーク内の脆弱なホストを利用して制御を拡大し、より高い特権や機密情報にアクセスすることを目指します。

このデモでは具体的な例として、攻撃者がネットワーク内の一つのシステムに侵入し、ポートフォワードを用いるなどこの侵入したシステムを使用して、攻撃者はネットワーク内の他のシステムに対して攻撃を仕掛けていきます。このような「遠隔からの多段攻撃」によって、攻撃者はネットワーク内での位置を変え、攻撃の可視性を低く保ちながら攻撃を進めることを再現しています。

[構成図]

[攻撃手法の再現]

このように、ピボットは攻撃者にとって攻撃範囲を広げるための重要な手法であり、攻撃者が侵入したシステムからさらなる攻撃目標に到達するための経路を見つけることに焦点があてられた攻撃手法です。

標的とするシステムに脆弱性などが放置されていることを発見すると、攻撃者は遠隔からその脆弱性を悪用してサーバーへの侵害を実行します。このときシステム内部で許可された通信により、リモートからの制御やデータの抜き出しが実行されることが多く、境界型ファイアウォールではこの攻撃を検知することが困難です。

このデモでは具体的な例として、攻撃者は踏み台を経由して外部との接点がない イントラ向けサービスへのアクセスを試み、このイントラサーバーの Web アプリのもつ脆弱性をみつけられてしまい、その脆弱性を悪用し侵入が成功していることを再現しています。

[構成図]

 

この脆弱性は過去に実在したものであり、ウェブアプリケーションフレームワーク「Apache Struts 2」の脆弱性「CVE-2017-5638」を取り上げています。独立行政法人情報処理推進機構（IPA）セキュリティセンターによれば、脆弱性の実証コードが複数のサイトで配布されていたり、これを用いた通信や被害が発生したとの情報も確認されていたため、早急な更新が推奨された脆弱性でした。近年では、Apache Log4j の脆弱性 「CVE-2021-44228」なども被害が拡大するおそれがあるため、至急、対策を講じる必要性のあった脆弱性の１つとして記憶に新しいかと思います。

「Apache Struts 2」の脆弱性「CVE-2017-5638」は、リモートからのコード実行（Remote Code Execution）の可能性を持つ非常に危険な脆弱性です。攻撃者は特殊なペイロード（payload）を含む HTTP リクエストを送信することで、脆弱性を悪用し、任意のコードを実行することができます。攻撃者が特定のリクエストパラメータに悪意のあるコード（OS コマンドやシェルスクリプトなど）を埋め込み、サーバーがこのリクエストを処理すると、攻撃者が埋め込んだコードが実行され、サーバー上での任意の操作が可能になります。今回の攻撃では、DNSCAT2（詳細は後述）を実行させています。

前述のように攻撃者が侵入に成功したサーバーでは、任意のコードを実行することができ、攻撃者はサーバー上での情報漏洩、システムの乗っ取り、マルウェアの配置、拡散などの攻撃を行うこともできます。侵害を受けたシステムから外部のサーバーと通信を行うことで、重要なデータを盗み出すことがあります。個人情報、金融情報、機密データなどが漏洩し、不正な目的で悪用される可能性があります。

このデモでは具体的な例として、DNSCAT2 を利用しサーバー上のデータの盗み出しを行っています。DNSCAT2 の仕組みで、DNS パケットを利用した攻撃者による遠隔操作が行われ、秘密情報がダウンロードされてしまいます。この攻撃は正規の DNS 通信を偽装しているため、 境界型ファイアウォールでは検知を行うことが出来ません。詳細はこちらのブログで解説しています。

[攻撃手法の再現]

このように、システム内部の脆弱性対策とラテラルムーブメントへの対処を怠ることによって、外部からの遠隔攻撃に対して脆弱なシステムとなってしまいセキュリティインシデントに至る例をリアルに再現したデモでご覧いただきました。

それでは、こうした脅威をどのように予防したり効果的に防御していけばよいのでしょうか？

「境界型ファイアウォールでは、このような「遠隔からの多段攻撃」を検知することは困難」ですし、「攻撃者は侵入先に遠隔操作できる踏み台を用意するための具体的な手段」が揃ってしまってるわけなので、「内部ネットワークセキュリティ」の側面を強化したラテラルムーブメントなどへの効果ある対策がここでは重要になってきます。

ここからは、NSX を利用して効果的なラテラルムーブメントの防御方法とその効果を解説してみたいと思います。

前半で解説してきたように、ラテラルムーブメントを介して発見されたシステムの脆弱性に対する攻撃者による遠隔からの攻撃は、旧来型の境界防御やエンドポイントセキュリティだけでは認識が困難です。

よって、境界防御やエンドポイントセキュリティで 初期侵入をすべて防御できるとはかぎらない、という前提に立ってシステム内部へのラテラルムーブメントへの監視・対処を行うことが重要です。

このデモビデオでは、NSX Security を利用してラテラルムーブメントに対する監視を行い、悪意のある攻撃を遮断、および可視化を行う様子を実演しています。

NSX Security によって提供されるラテラルセキュリティはワークロードが動作するハイパーバイザー内（VDS）で動作し、ネットワークの変更などを一切必要とせずに簡単に実施することができます。

VMware NSX 分散型 IPS を利用して、リスクが High（高） や Critical（重大）の脅威を検知した場合には、自動的に該当通信を遮断するポリシー設定を行うことができます。

イベントが発生した際、Syslog サーバーに 必要な通知を送信する設定も併せて行っておくと、監視が容易です。

NSX Security の分散 IPS ポリシーが設定された状態で、侵害された想定の Windows PC から、内部の Web サーバーに対して Apache Struts2 の脆弱性を利用した攻撃を遠隔から仕掛けています。

設定された分散 IPS のポリシーにより Web サーバーへの侵害が成功できず、侵害自体を防御出来ていることがわかります。

この際の NSX における UI を確認してみると、分散 IPS が検知した侵入攻撃に関する情報が表示されています。ここでは重要度 High の侵害を遮断したイベントが表示されており、設定したポリシーに応じて、 指定した Syslog Server へアラートも発報されています。

NSX で設定したログラベルを含んだ Syslog を利用することで 、管理者はイベントの重要度に応じた警報を運用に組み込むことが可能です。分散 IPS のログ管理に関する詳細は、こちらのブログで解説しています。

今回は、分散 IPS を用いることでのラテラルムーブメント対策の効果、容易さを実演とともにみなさまに見ていただきました。

旧来からある信頼された IDS/IPS の機能自体を仮想化し、分散配備することにより、ワークロード直下でこの機能を提供することができるので、「内部ネットワークのセキュリティ」としてシステム全体に侵入検知・防御の機能を配備することが可能となります。まさにインフラのゼロトラスト化がこれにより実現されることになります。

ただし、このような攻撃手法により効果的に対抗するためには、ネットワークのセグメンテーション、アクセス制御、侵入検知システム（IPS）などの適切なセキュリティ対策がなにより重要です。攻撃者のラテラルムーブメントがますます高度化する中、 防御や可視化の一手として NSX Security が提供する「ラテラルセキュリティ」が「内部ネットワークのセキュリティ」としてお役立ていただけら幸いです。

今回の記事が、

こうした疑問の解決策のヒントとなれば幸いです。

– – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – –

 

〜お知らせ〜

 

 

• NSX-T Networking Fundamentals (HOL-2225-01-NET) (日本語ガイド付き）
• NSX SecOps – Foundation (HOL-2226-01-SEC) (日本語ガイド付き）