ISDEF2日目の最初の講演は、「FENROR7」という会社の創業者であるYaniv Miron氏による「Lateral Movement Cyber Security」であった。

Yaniv Miron氏は、会社のホームページで自らのことを「Founder, CEO & Chief Hacking Officer」と称しているように、長年に渡りホワイトハッカーとして実際の攻撃の研究や侵入テストを行ってきた。脆弱性や0デイ攻撃（脆弱性の対策前に攻撃すること）を発見するプログラムを開発したり、実際のマルウエアのコードを書いて、実践的にリアルなハッキングをしてきた技術者である。

前回の記事「不法侵入のドローンを無力化」でも触れたように、セキュリティには「攻撃する力があるからこそ防御できる」という側面があり、Yaniv Miron氏の講演「Lateral Movement Cyber Security」もそういった技術の紹介であった。

彼の講演の基本認識は次の4点である。

・Perimeter is dead
ネットワークを守るために設置されるファイアウォールなどの「防衛線」はもはや無力である。

・Detection takes long time
被害を被るような内部の脅威を検出するには大変な時間がかかる。

・Hackers are better
守る側は100％を期さねばならないが、ハッカーは100回に1回でも成功すれば良い、つまりハッカーは常に優位である。

・They are coming
ハッカーは既にそこにいる。

これらの中で最も重要なのは、最初の点である。ネットワークを守るためのファイアウォールなどの技術は過去のもので役に立たない、と言い切っている。Yaniv Miron氏は講演の中で「eSecurity Planet」というセキュリティ専門のメディアの記事を紹介したのだが、NGFW（Next Generation FireWall、次世代ファイアウオール）の80％は役に立っていないという。

最近の日経ビジネスDIGITALにも、米国サイバーリーズンCEOであるリオール・ディブ氏のインタビュー記事「イラン襲うサイバー兵器を開発したかって？」が掲載されているが、ディブ氏は8200部隊出身で「現役時代に侵入できなかったシステムは無い」と言い切っており、「Perimeter is dead」ということを認識しなければならない。

こんな状況のなかでYaniv Miron氏が主張するのが、「Lateral Movement（横方向移動）」の重要性である。

Lateral Movement（横方向移動）とは何か？

Lateral Movement（横方向移動）とは、攻撃者が対象とするネットワークに潜り込んだあと、目的とするもの（盗みたい情報、マルウエアを忍び込ませたいサーバーなど）にたどり着くために、管理者権限を手に入れて一つのデバイスから他のデバイスへと次々に移動することを示す。通常の侵入（ペネトレーション）テストの中でも実施される工程である。

▼写真1 Lateral Movement（横方向移動）の概念

Yaniv Miron氏によれば、この移動は平均して15から60ステップだという。0デイ攻撃やAPT（Advanced Persistent Threat）など攻撃にも様々な種類があるが、攻撃とは詰まるところ、コンピュータからコンピュータへ移動するLateral Movement（横方向移動）なのである。

攻撃者が、この横方向移動をしながら目的に到達するには、それなりに時間がかかる。従って、その間に横方向移動を「可視化」して攻撃を見つける、というのがFENRO7のソリューションのコンセプトである。実際に可視化された移動の例を写真2に示す。

▼写真2 可視化されたLateral Movement（横方向移動）

なぜこの手法が有効なのか？

攻撃やマルウエアの検出には様々な手法がある。過去にはマルウエアのパターンファイルとのマッチングで検出したり、最近ではAIによりシステムの正常時動作を学習し、その正常状態とは異なる「異常」動作を検出する、というのもトレンドである。

しかしこれらの手法だと、既知のマルウエアしか検出できず未知の脅威には対応できない、あるいは攻撃側もAI技術を使いAI同士の戦いで攻撃の動作にバリエーションを加えることで相手を欺く、といった事例も報告されている。

とはいえ、どのような手法の攻撃であれ、攻撃ではそのプロセスの中で「横方向移動」することは避けられない。そのため、この横方向移動を検出する、という手法は理に適っているといえる。

今回の講演や展示では、どのように侵入を見つけ、どのように横方向移動をトラッキングするのかなどの詳細については説明されていない。おそらく、スタンドアローンあるいはクラウドにある検出エンジンがAgentを用いてネットワークを監視することで、「横方向移動」を検知するのだと推測される。

このソリューションは、今年の5月11日に公開した記事「ハッカーの考える攻撃シナリオを生成する、世界初の自動侵入テストツール」で紹介したCRONUSにも似ている。

CRONUSの場合は、常時ネットワークをモニタリングすることで、「攻撃される可能性のあるルート（シナリオ）」を可視化する。ネットワークの脆弱部分を見つけ、攻撃に利用されないようにその穴を塞ぐ、といった日常的な予防措置のためのソリューションであった。一方、FENROR7は、実際の攻撃を受けたときに、リアルタイムでその動きを検知・可視化してその後の対処につなげる、という点が異なる。

いずれにせよ、

・攻撃者は必ず一定ステップの横方向の動きをする

という点への気付きは、実践的な攻撃者としての経験があればこそだろう。横方向移動をどのように検知すればよいか、というノウハウとそこを押さえて可視化すれば防御につながる、というこのソリューションは、「攻撃と防御は表裏一体である」ことを示す好例ではないだろうか。

言うまでもなく、サイバー攻撃は犯罪である。しかし、日本のように「攻め」から必要以上に距離を置き、「セキュリティ対策 ＝ 守り」という発想のままでは、このような技術は生まれないことを自覚すべきであろう。