特定の企業や組織を執拗に狙う「標的型攻撃」。日本の企業にとっても「他人事」では済まされない非常に身近で、かつ深刻な脅威になってきたが、問題は、標的型攻撃が既存のセキュリティ対策をやすやすとすり抜けてしまうことだ。標的型攻撃への対策では、標的型攻撃に特化したツールと運用体制の構築が求められる。

 そこでITpro Activeでは、ITPro Active製品選択支援セミナー「標的型攻撃への対策~脅威への対策製品の特長と製品選択のポイント~」を、2013年7月25日に東京で開催した。情報処理推進機構(IPA)の金野 千里 情報セキュリティ技術ラボラトリー長が、標的型攻撃の動向や対策の全体像などを解説したほか、主要な対策ツールベンダーが製品の特徴や戦略を紹介。最後に『日経コンピュータ』の浅川 直輝記者が、リスクを最小に抑える対策について解説した。

基調講演
標的型攻撃の脅威と対策について---ITから制御システムまで

 基調講演では、情報処理推進機構(IPA)の金野 千里 情報セキュリティ技術ラボラトリー長が、サイバー攻撃の最近の動向や標的型攻撃の特徴、標的型攻撃への対策の全体像、IPAによる標的型攻撃に対する活動などを解説した。

情報処理推進機構
技術本部 セキュリティセンター
情報セキュリティ技術ラボラトリー
ラボラトリー長
金野 千里氏

 金野氏は冒頭で、2011年以降のサイバー攻撃の報道事例を紹介したうえで、サイバー攻撃が大きく変化していることを強調した。

 例えば攻撃者の狙いは、いたずら目的や顕示欲の誇示から、金銭目的やサービス妨害、さらにはスパイ・諜報活動や機密情報の搾取にシフトしてきている。「現在ではスパイ・諜報活動や機密情報の搾取が顕著になってきている」(金野氏)。攻撃者像についても、一人の攻撃者から、グループや犯罪者、さらには国家やハクティビスト、犯罪プロ集団へと変化。攻撃手法も、不正侵入から、ボットネットやSpamメール、さらには標的型攻撃やシーケンシャルマルウエアへと変化している。

 次いで金野氏はサイバー攻撃の種類を分類。サイバー攻撃は、その攻撃者像から(1)諜報活動をする者による攻撃、(2)共通思想集団(ハクティビスト)による攻撃、(3)詐欺集団による攻撃---の3つに分けられるという。

 (1)は、情報搾取が主な目的であり(情報破壊もあり得る)、手法は標的型攻撃メールが多い。(2)は、独自の主義主張が目的で、手法としてはDDoS攻撃やサーバーからの情報搾取が一般的。(3)は金銭目的で、フィッシング詐欺やマルウエア感染(クレジットカード番号取得など)といった手法が多い。

 金野氏によれば、このうち標的型攻撃メールは、10年ほど前から行われている攻撃という。日本では、2005年に始めて認知され(国内の政府機関への攻撃)、「ここ2年間で被害が顕在化してきた。国内でも身近になり、現実の問題になってきた」(金野氏)。

非常に重要な脆弱性対策

 続いて金野氏は、標的型攻撃について詳しく説明した。

 標的型攻撃の主な特徴は3つあるという。1つは、人間工学的な巧妙さ。2つめは、とにかくしつこいこと。「1回の攻撃で終わりではなく、何度も何度もやってくる。組織のネットワークに忍び込んで、何カ月~何年の単位で徐々に攻撃を行うこともある」(金野氏)。3つめは、組織の活動に大きな被害をもたらしかねない情報を搾取される(もしくは破壊される)ことである。

 攻撃の流れについては、

  1. 事前調査
    ターゲットとなる組織を攻撃するための情報を収集
  2. 初期潜入段階
    標的型メールやUSBメモリー、Webサイト閲覧などを通じてウイルスに感染する
  3. 攻撃基盤攻撃段階
    侵入したPC内でバックドアを作成し、外部のC&Cサーバーと通信を行い、新たなウイルスをダウンロードする
  4. システム調査段階
    情報の存在個所特定や情報の取得を行う。攻撃者は取得情報を基に新たな攻撃を仕掛ける
  5. 攻撃最終目的の遂行段階
    攻撃専用のウイルスをダウンロードして、攻撃を遂行する

の5段階があるという。「事前調査では、ターゲットとなる組織と付き合いのある企業や業界団体のメールを搾取して、ターゲットとなる組織で誰がどのような業務についているのか調査することもある」(金野氏)。

 金野氏は、「実は標的型攻撃メールの99%以上は、『既知の脆弱性』が悪用されている」と指摘する。「ウイルスが新種でも、脆弱性対策さえ行われていれば、攻撃は回避できる。脆弱性対策は、非常に重要だ」(同)。

 金野氏は、標的型攻撃メールの実際のメール文面も紹介した。IPAに届け出のあったメールの場合、メールタイトルが「3月30日放射線量の状況」で添付ファイル名が「3月30日放射線量の状況.doc」だった。「送信時期は2011年4月で、この時期に興味が持たれそうなタイトルやファイル名を使っていた」(金野氏)。IPAを騙ったメールもあったという。このメール本文内容は、実際にIPAがWebなどで発表した内容であり、添付ファイル名は「調査報告書概要」だった。「標的型攻撃メールでは、信頼している組織を騙ることが多い。とにかく開けたくなる」(同)。

この先は日経クロステック Active会員の登録が必要です

日経クロステック Activeは、IT/製造/建設各分野にかかわる企業向け製品・サービスについて、選択や導入を支援する情報サイトです。製品・サービス情報、導入事例などのコンテンツを多数掲載しています。初めてご覧になる際には、会員登録(無料)をお願いいたします。