TAOによるハッキングへの道

先月末にサンフランシスコで開催された ENIGMAという USENIXの新しいカンファレンスのクロージングセッションにおいて、アメリカ国家安全保障局 (NSA) の Tailored Access Operations (TAO) という部門のチーフである Rob Joyce氏がプレゼンテーションを行った。これは極めて珍しいことのようで海外のメディアでいくつか話題となっていた。

約35分の講演の様子は YouTubeで公開されている。講演のタイトルは “Dirsrupting Nation State Hackers” で、NSAによる攻撃の手法を解説し、そういった国家レベルの攻撃を防ぐにはどうするか、効果的な対策方法を紹介する、といった内容である。時間も短いので興味のある方はぜひ講演のビデオを見ていただきたい。


USENIX Enigma 2016 - NSA TAO Chief on Disrupting Nation State Hackers

もちろん公の場での講演であるから、NSAの機密に関わる情報などが出るはずはなく、いわゆる標的型攻撃 (Targeted Attack) や APT (Advanced Persistent Threat) などと呼ばれる攻撃、およびその防御策についての一般的な内容だ。


TAOによるターゲットへの侵入は以下の 6つのフェーズで行われているそうだ。これは Cyber Kill Chain (Intrusion Kill Chain, APT Kill Chainなどとも呼ばれる) や APT Attack Lifecycle などのモデルとも類似している。日本語の資料だと IPA「『高度標的型攻撃』対策に向けたシステム設計ガイド」も参考になるだろう。

Intrusion Phases

  1. Reconnaissance
  2. Initial Exploitation
  3. Establish Persistence
  4. Install Tools
  5. Move Laterally
  6. Collect, Exfiltrate and Exploit


これに対する防御策としては、NSAInformation Assurance Directorate (IAD) 部門が公開しているガイダンスを紹介しつつ、各フェーズにおける具体的な対策手法について説明している。(ちなみに TAOは Signals Intelligence Directorate (SID) の中の部門の一つ。Rob Joyce氏は 2013年4月に TAOのチーフになる前は IADの Deputy Directorを務めていた。つまり防御側から攻撃側へと役割を変えたわけだ。なおSIDとIADを一つにする組織再編の話もあるらしい。)

いくつかポイントだけ紹介する。

  • 攻撃する側 (TAO) はターゲットのネットワークについて、それを設計/構築/運用する人よりも詳しく調べあげる。だから侵入に成功する。防御する側は自分達が使っている技術、製品についてすみずみまでよく知り、導入にあたって評価するための手続きを定め、適切な設定を行い、必要のない機能を止めるということが大事。Attack Surfaceを減らすこと。
  • 高度な攻撃者がいつもゼロデイを利用していると考えるのは間違い。大規模なネットワークはもっと簡単に少ないリスクで攻略できる攻撃ベクトルがたくさんあり、そのほうが効率もよく効果的。防御側は継続的に製品やソフトウェアの脆弱性対応などアップデートが必要。攻撃のハードルを上げること。
  • 侵入にもっとも使われる 3つの攻撃ベクトルは、(1) Eメール (2) Webサイト (受動型攻撃) (3) リムーバブルメディア。(3)はエアギャップを越えるのに使われることもある。
  • 人に頼る対策はだめ。いくら不審なメールを開くなと教育したところで開くやつは開く。そうではなくて、組織のポリシーを技術的に強制するための仕組みが必要。人がミスをしても攻撃を防ぐことができるかが大事。例えば Microsoftの EMETなど Anti-Exploitationの機能を使うことを推奨。IADの Host Mitigation Package (HMP) を読め。
  • Application Whitelistingを活用する。大規模なネットワークで一般ユーザに適用するのは難しいが、本当に守るべきネットワークを分離し、その範囲内において適用する。
  • ウイルス対策ではレピュテーションの機能は有効な防御手段。コンピュータ上で実行されるプログラムに関する情報をクラウドに送信して、レピュテーションデータベースとマッチング。また攻撃ツールがアクセスするサイトのドメイン名に関するレピュテーションも有効。
  • 侵入後の Lateral Movementを防ぐには、境界防御に頼っていてはダメで、ネットワークのセグメンテーションやモニタリングが大事。
  • 攻撃者は単に情報を盗むだけでなく破壊工作をすることもある。Saudi AramcoSony Pictures Entertainmentの事例など。オフサイトのバックアップなどの備えをすること。
  • サイバー犯罪者と国家レベルの攻撃者との違いに注意。サイバー犯罪者は日和見主義だが、NSAや APTはそうではない。ターゲットに侵入できるまでしつこく狙ってくるし、侵入後は長くとどまる。したがって防御側は継続的に対策の評価、改善を行わなければいけない。そうでなければ防げない。

どれも特に奇をてらったものではなく、いわゆるベストプラクティスといわれるセキュリティ対策がなぜ有効なのかを攻撃側の手法とあわせて解説している。講演はとても平易でわかりやすく、かつ有用な内容なので、ぜひご覧になることをお奨めする。


ところで TAOと聞いてすぐにピンとくる方ばかりでもないと思うので最後に少し補足すると、まあわかりやすく言えば TAOは世界最強のハッカー集団である。敵対国家あるいは同盟諸国のターゲットに侵入し、国家安全保障上必要な情報の収集などを行うことを目的とした攻撃専門の部隊、それが TAOである。当然ながらこれまでその活動実態はあまり表にはでてこなかったが、2013年の Edward Snowden氏による機密情報のリークにより、さまざまなことがわかってきた。Der Spiegelや The Interceptなど複数のメディアが、Snowden氏のリークしたドキュメントにもとづいて TAOに関する多数の記事を公開している。TAOが関わっているとされる活動としては、例えば以下のようなものがある。

  • 2011年には世界中で 231の攻撃作戦を展開した。2008年には 20,000台以上のコンピュータをマルウェア (implant) に感染させた。

U.S. spy agencies mounted 231 offensive cyber-operations in 2011, documents show - The Washington Post

  • 2012年の内部資料によると、TAOは世界中で 50,000台のコンピュータをマルウェアに感染させた。

NSA infected 50,000 computer networks with malicious software - NRC

  • メキシコの Secretariat of Public Securityへの侵入。メキシコの大統領のメールにもアクセスしていた。

NSA Hacked Email Account of Mexican President - SPIEGEL ONLINE
Inside TAO: Targeting Mexico - SPIEGEL ONLINE

  • QUANTUM, FOXACIDなどのシステムを使いターゲットマシンをマルウェアに感染させる。Tor Browserを攻撃した事例がある。GCHQによる Belgacomへの侵入や、OPECへの侵入、また欧州から中東を経由してアジアとを結ぶ海底ケーブル SEA-ME-WE_4への攻撃でも QUANTUMが使われた。

Attacking Tor: how the NSA targets users' online anonymity | US news | The Guardian
GHCQ Targets Engineers with Fake LinkedIn Pages - SPIEGEL ONLINE
How the NSA and GCHQ Spied on OPEC - SPIEGEL ONLINE
Inside TAO: The NSA's Shadow Network - SPIEGEL ONLINE

  • ANTカタログ。NSAは PC、サーバ、ネットワーク機器、スマートフォンなど様々な機器に監視用のソフトウェア (implant) を埋め込むことができ、その製品カタログが存在する。Advanced Network Technology (ANT) は TAOの中の一部門

Interactive Graphic: The NSA's Spy Catalog - SPIEGEL ONLINE
NSA Secret Toolbox: ANT Unit Offers Spy Gadgets for Every Need - SPIEGEL ONLINE

  • TURBINE, TURMOILなどの攻撃自動化システムにより、大規模なマルウェア感染が可能。

How the NSA Plans to Infect ‘Millions’ of Computers with Malware


世界最高の攻撃能力があるからこそ防御も可能ということだろうか。まあその活動内容の是非はともかく、対策手法など優れた部分は大いに参考にするべきだろう。