【ITニュース解説】Attackers Abuse Velociraptor Forensic Tool to Deploy Visual Studio Code for C2 Tunneling
ITニュース概要
サイバー攻撃者が、本来は調査用のツールであるVelociraptorを悪用した。これにより、Visual Studio Codeを展開し、不正な通信経路を構築しようとした。合法的なソフトウェアが悪用される手口の事例だ。
ITニュース解説
最近のサイバーセキュリティの動向として、攻撃者が正規のソフトウェアを悪用し、悪質な活動を行う手口が注目されている。今回のニュースは、まさにそのような事例の一つであり、システムエンジニアを目指す初心者にとっても重要な学びが含まれている。 このサイバー攻撃では、「Velociraptor」というオープンソースのツールが悪用された。Velociraptorは、本来、エンドポイント監視やデジタルフォレンジック、インシデントレスポンスのために開発された非常に強力なツールである。エンドポイントとは、パソコンやサーバー、スマートフォンといった、ネットワークに接続された末端のデバイスを指す。デジタルフォレンジックとは、サイバー攻撃や情報漏洩などのインシデントが発生した際に、その原因を究明し、証拠を収集・分析する一連の技術のことだ。つまり、Velociraptorは、組織のシステム内で何が起きているかを詳細に調査し、セキュリティインシデントの対応を支援するために用いられる、セキュリティ担当者にとって非常に有用なツールなのである。攻撃者はこのVelociraptorを、自らの活動を隠蔽したり、システムの情報を収集したりするために悪用したと考えられる。正規のツールであるため、システムの防御メカニズムによる検知を回避しやすいという点が、攻撃者にとって魅力的だったのだろう。 そして攻撃者は、このVelociraptorを用いて、さらに「Visual Studio Code(VS Code)」というソフトウェアをダウンロードし、実行させたという。Visual Studio Codeは、マイクロソフトが開発・提供する、非常に人気のあるプログラミング用テキストエディタだ。世界中の多くのソフトウェア開発者が、このVS Codeを使ってプログラムのコードを記述したり、デバッグ(バグの発見と修正)を行ったりしている。豊富な機能と拡張性、そしてオープンソースであることがその人気の理由である。本来は開発作業を効率化するためのツールであり、セキュリティ上の脅威とは考えられていない。しかし、今回の攻撃では、このVS Codeが悪意のある目的で利用されたと推測されている。 具体的には、VS Codeを「C2トンネリング」のために利用したとされている。C2トンネリングとは、攻撃者が侵害したシステムを遠隔で操作するための通信経路を確立する技術のことだ。C2は「Command and Control(コマンド&コントロール)」の略であり、攻撃者が自分のコンピュータ(C2サーバー)から、感染させたシステムに対して命令を送り、その結果を受け取るための司令塔のような役割を果たす。トンネリングとは、正規の通信プロトコルやポートを使って、あたかも正規の通信であるかのように見せかけながら、実際には悪意のあるデータを送受信する技術である。これにより、ファイアウォールやIDS/IPS(不正侵入検知・防御システム)といったセキュリティ製品による検知を回避し、攻撃者がシステムへのアクセスを維持し続けることが可能になる。VS Codeは、ネットワーク通信を行う機能も持っており、その通信を悪用してC2サーバーとの間で秘密裏にやり取りを行った可能性が考えられる。例えば、VS Codeの拡張機能として提供される正規の機能を利用して通信を隠蔽したり、通常のHTTP/HTTPS通信に偽装して外部のC2サーバーと通信したりといった手法が考えられる。 今回の事例は、「正規のソフトウェアの悪用」という、現代のサイバー攻撃で頻繁に見られる手口の典型例だ。これは「Living off the Land (LotL)」と呼ばれる攻撃手法の一種で、攻撃者がシステムに元々備わっているツールや、正規に導入されているソフトウェアを悪用することで、外部から持ち込んだマルウェア(悪意のあるソフトウェア)を使うよりも検知されにくく、痕跡も残しにくいという利点がある。セキュリティ製品は、未知のマルウェアを検出することに力を入れているが、正規のプログラムが悪意のある振る舞いをした場合、それを悪性と判断するのは非常に難しい場合があるからだ。 システムエンジニアを目指す皆さんにとって、このニュースから学ぶべきことは多い。まず、ツールの機能や目的を正しく理解することが重要だ。VelociraptorもVisual Studio Codeも、それ自体は悪ではない。問題は、それを使う人間の意図である。次に、システムの「振る舞い」に着目することの重要性を認識するべきだ。特定のプロセスが実行されていること自体は問題なくても、そのプロセスが通常とは異なる通信を行っていたり、不審なファイルをダウンロードしていたりしないかなど、常に監視する視点を持つことが求められる。例えば、開発者が利用するはずのVS Codeが、サーバー上で不審な通信を行っている場合などは、異常事態と判断できる。 現代のセキュリティ対策では、単一のセキュリティ製品に依存するのではなく、多層的な防御を構築することが不可欠だ。エンドポイントの挙動監視、ネットワーク通信の監視、ログの分析など、複数の視点からシステムを監視し、異常を早期に発見する体制を整える必要がある。将来、システムエンジニアとして働く際に、これらの知識と視点は、安全で信頼性の高いシステムを構築・運用するために不可欠となるだろう。