細工された製品が突然牙をむく「サプライチェーン攻撃」の脅威

新潟県サイバー脅威対策協議会新潟県サイバーセキュリティフォーラム 2017
細工された製品が突然牙をむく
「サプライチェーン攻撃」の脅威
トレンドマイクロ株式会社
公共ビジネス戦略推進室
シニアリサーチャー
林憲明（Noriaki Hayashi)

2 Copyright © 2017 Trend Micro Incorporated. All rights reserved.
トレンドマイクロ株式会社シニアリサーチャー
サイバー犯罪対策、特にオンライン詐欺を専門に調査・研究
活動を行う研究員。
サイバーセキュリティに関する多数の寄稿、著書がある。
また、APWG（Anti-Phishing Working Group）や情報セキュ
リティ EXPO、サイバー犯罪に関する白浜シンポジウム、情報
セキュリティワークショップin越後湯沢など国内外のセキュリ
ティ会議にて研究発表も行っている。
■最近の主な活動
□ サイバー犯罪捜査知識体系（CIBOK）著者
□ フィッシング対策協議会運営委員、STC普及啓発WG 主査
□ 情報処理技術者試験委員・情報処理安全確保支援士試験委員
□ NPO日本ネットワークセキュリティ協会教育部会ゲーム教育WG
林憲明

目次
• 「サプライチェーン攻撃」とは何か？
• 変遷を確認
• 洗練された諜報活動における事例
• 三大手口の理解を深める
• レッドチーム視点で成熟度を評価
• 加速化する脅威に対する一手

「サプライチェーン攻撃」とは何か？
ライフサイクルにおける任意の時点で、敵対者がマルウェ
アやその他の脆弱性を仕掛けることにより、情報技術に関
するハードウェア、ソフトウェア、オペレーティングシス
テム、周辺機器（情報技術製品）、その他情報サービスに
対する不正アクセスを試みる攻撃。
Attacks that allow the adversary to utilize implants or other vulnerabilities
inserted prior to installation in order to infiltrate data, or manipulate information
technology hardware, software, operating systems, peripherals (information
technology products) or services at any point during the life cycle.
Source:米国国家安全保障システム委員会（CNSS 4009-2015）Glossary

NISTの C-SCRM プログラム
サイバーサプライチェーンリスクマネジメント
• なぜリスクが高まったのか
- 利点を可能にする要因（低コスト
相互運用性、イノベーション、さまざ
まな製品機能）による、妥協の誘引
• なにが起こりうるのか
- 模倣品の挿入、不正生産、改ざん
盗難、マルウェアと不正ハードウェア米国におけるITサプライチェーン構造
出典：NIST SP 800-161, "Supply Chain Risk Management
Practices for Federal Information System and Organizations"

フィッシング
開発者
環境
個人情報
詐取
ウェブ汚染
汚染環境
で開発
攻撃基盤
攻撃者
ソフトウェア
利用者
端末の
ボット化

2009年8月 Delphi 汚染ウイルス
80,404件
• 人気ソフトの汚染
- 「 Glary Utilities」/「Glary
Undelete 」 PE_INDUC.Aの感染報告数
http://blog.trendmicro.co.jp/archives/3011

2015年9月 iOS Xcode Ghost
「Xcode」のコピーを宣伝するフォーラム
• 開発環境の二次配布、汚染
- Xcode や Unityプラットフォーム
• 人気アプリの汚染
- 「WeChat」中国No.1 メッセンジャー
- 銀行、モバイル通信、地図、株取引、
タクシー配車など
汚染された開発環境

2015年11月 AndroidOS Moplus SDK
• 信頼の崩壊（悪質アドウェア）
- 「百度（Baidu）」が提供するSDKにロ
ーカルHTTPサーバを立ち上げる機能
• SDK汚染の影響力
- Moplus SDK組み込みアプリは14,112件
• 機能の悪用
- 個人情報の収集
- 特定のファイルをアップロード
- 任意アプリのインストール
- SMS送信、電話の発信
スマートフォンに
連絡先が追加され
る様子を遠隔から
監視

2017年5月 OSX「Proton」マルウェア
• DeepWeb上で売買のmacOS RAT
Proton
- YouTubeに専門チャネル
- 感染端末からキーチェーンや1Password、その他Wallets情報
を盗み出す
• 相次いでオンラインソフトに仕込まれる
- 2017年5月：DVDリッピングソフト - HandBrake
- 2017年10月：メディアプレイヤー - Elmedia Player
- 2017年10月：ダウンロード管理 – Folx
- 2017年11月：偽ソフト – Symantec Malware Detector
(SAH1: 4322ee3d2d26f490a1b06634e4f9c81f3c937020)
• ソースコードの盗難被害
- Panic社のWebエディタの「Coda」やFTPアプリ「Transmit」
のソースコードを盗まれる
https://panic.com/blog/ja/stolen-source-code/
$ cat
/System/Library/CoreServices/XProtect.bundle/Conten
ts/Resources/XProtect.plist |grep -A1 “OSX.Proton"
OSX マルウェア定義リスト「XProtect」の登録確認
HandBrake
ファイル名:HandBrake-1.0.7.dmg
SHA1:0935a43ca90c6c419a49e4f8f1d75e68cd70b274
検出名:OSX_PROTON.A

Copyright © 2017 Trend Micro Incorporated. All rights reserved.11
「サプライチェーン攻撃」の
変遷を確認

1999年1月 TCP Wrapper
https://www.cert.org/historical/advisories/CA-1999-01.cfm
配布パッケージのすり替え
• 信頼の崩壊
- セキュリティ製品「TCP Wrapper」
にトロイの木馬
- root権限の取得
• CERT勧告 CA-99.02
- Linuxのツール集「util-linux」の偽
者。ユーザ名とログインIDを電子メ
ールで送信。

2002年11月 Bofishyバックドア
配布パッケージのすり替え
• 信頼の崩壊
- パケットキャプチャライブラリの
「libpcap」「tcpdump」が汚染
- リモートからのシェルアクセスを
提供するバックドアが混入。

2004年頃？偽 Cisco 製品問題
• 障害や火災などの事故？
- 米連邦政府機関向けに大量販売
• 諜報活動？が疑われたサプ
ライチェーン攻撃
• FBIによる「Op#Cisco
Raider」
- 捜査資料？とされるFBIのパワー
ポイントが漏洩し注目が高まる
写真・真贋判定ガイド
https://www.andovercg.com/services/white-
papers.shtml

参考情報
http://www.abovetopsecret.com/forum/thread350381/pg1

2010年5月 Op#CiscoRaider 30件の告発
https://archives.fbi.gov/archives/news/pressrel/press-releases/departments-of-
justice-and-homeland-security-announce-30-convictions-more-than-143-million-
in-seizures-from-initiative-targeting-traffickers-in-counterfeit-network-hardware
• 「Op#Cisco Raider」成果
- 3500万ドル以上の偽造シスコ製品
を押収
- 94,000件以上の偽造品のラベルと
ネットワークコンポーネント押収

2011年7月改ざんされた ALZip Update
https://www.commandfive.com/papers/C5_APT_SKHack.pdf
http://blog.estsoft.co.kr/139
脆弱な
ALCMUpdate.exe
更新要求
標的外
接続元
判定
標的
正規
CDN
悪質
CDN
改ざんされた
ALZip Update
Server
更新プロセスの汚染
- 正規とは異なる攻撃者の用意したCDN
（Content Delivery Network）へ接続
• 更新チェックの脆弱性を突く
- 正当な「ALAd.dll」の代わりに悪意ある
DLLをロード
• 標的が明確（諜報活動）な攻撃
- 標的「SK Communications」からの更
新要求のみを悪意CDNへ接続
- 標的外からの更新要求は正規CDNへ接続

「サプライチェーン攻撃」による
洗練された諜報活動の事例

2013年8月台湾： KMPlayer事件
• 自己解凍形式でパッケージ化
- 7z SFX: Self-extracting archive
• 有効なデジタル署名
- 内部に含まれている「time.exe」にも
デジタル署名が付与
• PlugXはRAT（Remote Access Tool）
- CnCサーバリスト
pen.abacocafe.com
pens.abacocafe.com
cdn.abacocafe.com
vpen.abacocafe.com
ファイル名:KMP_3.7.0.87.EXE
SHA1:107e48a8c4cbbd1738b96984e2105c37ece4c1ae
検出名:BKDR_PLUGX.ZZXX

2014年1月日本：GOM Player事件
- 標的からの更新要求のみを偽の更新ファ
イル配布サイトへ接続
- IPアドレスに基づく接続元判定
• 日本原子力研究開発機構が被害
を公式発表
- キャプチャー画像、ファイル／フォルダ
名称、IPアドレス、ユーザアカウント情
報が漏洩
- http://www.jaea.go.jp/02/press201
3/p14022801/
ファイル名:GoMPLAYERJPSETUP.EXE
SHA1:295b91daa7e7cbf61ced13eaeb074356ea64de8e
検出名:TROJ_DROPPR.YZ
KMPlayer事例と同様に自己解凍機能で
マルウェアをドロップ

2014年8月日本：EmEditor事件
- IPアドレスに基づく接続元判定
- 大学、省庁、報道機関などを標的
• 影響によるマルウェアの詳細は
公表されていない
更新サーバに残された痕跡
.htaccess ファイル
※公式サイトより引用
https://jp.emeditor.com/general/今回のハッカーに
よる攻撃の詳細について/

2014年12月台湾：オンラインゲーム事件
- 台湾版のみ改ざん。世界的に人気ゲー
ムの正規ランチャ
• 別の攻撃時に使用されていた登
録情報の転用
- プログラム中の「Cooper」
- 別攻撃におけるCnCサーバの登録者名ファイル名:FO3Launcher.EXE
SHA1:f920e6b34fb25f54c5f9b9b3a85dca6575708631
検出名:BKDR_PLUGX.ZTBL-EC

2017年3月ウクライナ NotPetya
- ウクライナ警察が感染ベクト
ルを発表
- 会計ソフト「MeDoc」のア
ップデート（EzVit.exe）に
より感染

2017年8月日米：CCleaner 事件
- 標的ドメインは、Cisco / HTC /
Samsung / ソニー / VMWare / Intel
/ Microsoft / Linksys / D-Link
• 悪質なコードはバイナリに組み
込み
- ccleaner.exe ファイル名:CCleaner_5.33.exe
SHA1:c705c0b0210ebda6a3301c6ca9c6091b2ee11d5b
検出名:BKDR_CCHACK.B

「サプライチェーン攻撃」に関する
三大手口の理解を深める

手口類型を知れば、次の一手が見えてくる
開発環境汚染更新プロセス汚染モジュールすり替え

脅威を与える役者「Threat Actor」
Threat Actor モチベーションシナリオ
諜報機関
国家
経済、政治的または軍事的な優位性
の確立
悪意あるコードの挿入
偽造者
（組織犯罪者）
即時性の高い財政利益
将来の財政利益に向けての基盤づく
り
偽物を挿入
従業員
（インサイダー）
個人的な利益（不満解消/復讐）、金
銭的利益
知的財産の損失
ハクティビスト政治的/社会的な変化を及ぼす扇動
慣行を変革させようとする圧力
不正アクセス
妨害工作

「サプライチェーン攻撃」への耐性
レッドチーム視点で成熟度を評価

敵対的思考から防衛を支援する
• BLUE：ディフェンスを主
- サービスの安定稼働
- 検出と対応
- アラートの抑制
• RED：アタックを主
- 敵対的思考からシナリオ作成
- 検出のバイパス（迂回）
- あらゆる可能性の列挙
• ゴールはデジタル資産の防衛

ISR-EvilGrade – 偽の自動更新
https://github.com/infobyte/faraday/wiki/Evilgrade
• 偽の自動更新を注入
- DNSトラフィックのハイジャック
• 複数のモジュールに対応
- Java / Winzip / MacOSX / Safari
/ iTunes…
• 多くのソフトは脆弱な更新
- 電子署名チェックは一部のみ
- CRCチェックは署名ではない

さまざまな手口が考えられる
• 外部に細工
- 偽のアクセスポイント、EvilTwin（Wi-Phishing）、ファーミング
- BGPハイジャック
2017年8月：グーグルによる誤った経路情報の大量送信
• 内部侵入後に細工
- DNSサーバのハイジャック、キャッシュポイズニング
- ARPスプーフィング
- DHCPスプーフィング
- Webプロキシ自動検出（WPAD）、BadWPAD

mitmproxy - 通信内容の分析
https://mitmproxy.org/
• 通信を傍受し分析
- Man-in-the-middle攻撃の手法を
倫理的に活用
- 暗号化（SSL/TLS）通信を復号し
分析
• モバイルやIoT機器の分析
• MITM分析の仮想イメージ
- CERT Tapioca:
https://www.cert.org/vulnerability-analysis/tools/cert-
tapioca.cfm

加速化する脅威に対する一手

経営者に向けてのアドバイス
• 『サイバーセキュリティ経営ガイドライン
Ver2.0』抜粋
http://www.meti.go.jp/policy/netsecurity/mng_guide.html

開発者に向けてのアドバイス
• 適切な鍵の管理
- コード証明のための鍵は更新サーバ
とは独立して管理を行う
• 検証可能なHTTPS通信で更
新を行う
• 更新プログラムの適用前に
デジタル署名の検証を行う

管理者に向けて NIST SP 800-61 R2
• インシデント対応ライフサイクルを意識する
- フェーズの差し戻し、インシデント宣言を恐れない
準備
Preparation
検出・分析
Detection &
Analysis
封じ込め・
根絶・復旧
Containment
Eradication
& Recovery 教訓
Post-
Incident
Activity

CSIRT機能の頂を知り、成熟度を高める
OGCの｢組織対応力ベンチマークチェックシート｣では、以下①～⑥を必要な要素と定義し、計25問のチェックシートによっ
て達成度合いを5段階で評価します。
達成度合いが｢3｣以上であれば一定のレベルに達していると評価できますので、｢2｣以下の項目を優先的に組織に実装するこ
とが求められます。
①文書類の整備状況 ②インシデント対応チームの構成 ③インシデント対応の準備
• インシデント対応ポリシー
• インシデント対応計画
• インシデント対応手順
• 関係組織への周知徹底と合意
• インシデント対応チームの構成検討
• インシデント対応の参加グループ
• インシデント対応チームが担うインシデント対応以外の
役割
• インシデント対応担当者への連絡と設備
• インシデント分析のためのハードウェアとソフトウェア
• インシデント分析のための準備
• インシデント鎮静化のためのソフトウェア
④予防 ⑤検知と分析 ⑥封じ込め・根絶・復旧および事後活動
• リスク評価
• パッチ管理
• ホストのセキュリティ管理
• ネットワークのセキュリティ管理
• 悪意のコードを予防する仕組み
• ユーザのセキュリティ意識向上
• 攻撃検知
• 異常検知
• ログの管理と相関分析
• 知識やスキルの向上
• インシデントの封じ込め
• 証拠保全
• 揮発性データ及び完全なディスクイメージの収集
• インシデント対応の事後活動
ベンチマークシートに対する解説書も用意されています。まずはこちらを活用し、自組織の状況
把握を推奨します。
http://ogc.or.jp/archives/1525
引用元：一般社団法人オープンガバメン
ト・コンソーシアム(OGC) ｢組織対応力
ベンチマークチェックシート｣

ソフトウェアの完全性を確認
• 1999年の教訓
- 18年前からやるべきことは変わっていない
• 脅威は継続中
- 2016年「Linux Mint」に「Tsunami」
ボットネットが組み込まれる
• 複数ミラー、ハッシュ確認
C:¥>certutil –hashfile ファイル名 SHA1
- PGP署名によるチェックが望ましい
• まずはテスト環境へ、そして本番に

ネットワーク分離とセグメンテーション
Citrix XenDesktop
VMWare Horizon
• 洗練された攻撃の泣き所
- ネットワーク侵入後の横方向の動き
に依存
• 被害の拡大を防止
- 目的・用途ごとにセグメントの分割
- 自分のネットワーク内で何が起きて
も、他に迷惑をかけない
• シンクライアントも有効
- 複雑なゾーニングと分離の手助けに

脅威の痕跡情報
内部で得られた知見こそが最高の情報
IOC：Indicator Of Compromise

境界監視の強化が重要
• イベント収集に役立つゾーン
- ネットワーク境界線
- ホスト境界線
- システムレベルの検知
- アプリケーションレベルの検知
• 理想はネットワーク境界線で
の検知
- システムレベルの検知を強化する
EDR（Endpoint Detection &
Response）の導入が注目

DNSデータとProxyログの見直し
• DNSトラフィックの分析
- DNS名前解決の履歴を蓄積しておく
- サブドメインの長さに注目
- 「dns-blacklists.py」にて既知の脅威
を見つけ出す
- 「dnstwist」、「URLCrazy」による
積極的なThreat Hunting
• 定期的なProxyログのチェック
- ユーザーエージェント名に注目

まとめ
• 「サプライチェーン攻撃」は古典な手口
- 1999年から現在まで、ハードウェア・ソフトウェアにて報告されている
- 利点を可能にする要因により妥協が誘因され、脅威が高まっている
• 洗練された攻撃者集団が多用する攻撃手口
- 国内外で深刻な実害が報告されている
• ベンダーが常に信頼できるとは限らない
- 侵害された場合、デジタル署名すら信頼できない
- フィッシングなどソーシャルエンジニアリングな手法すら不要
• 考慮すべきは人・技術・プロセスと多岐にわたる
- 仕入れ（新たに利用する製品）の本番環境適用ポリシーを定義する
- 許容（健全な）ベンダーの把握、管理を行う
- 平常値を把握し、異常値の早期発見。出血は直ちに処置する

Thank you.
本ドキュメントに記載されている各社の社名、製品名およびサービス名は、各社の商標または登録商標です。

細工された製品が突然牙をむく「サプライチェーン攻撃」の脅威

Recomendados

Recomendados

Mais conteúdo relacionado

Mais procurados

Mais procurados (16)

Semelhante a 細工された製品が突然牙をむく「サプライチェーン攻撃」の脅威

Semelhante a 細工された製品が突然牙をむく「サプライチェーン攻撃」の脅威 (20)

Último

Último (8)

細工された製品が突然牙をむく「サプライチェーン攻撃」の脅威