“絞り込み”が進む標的型攻撃のトレンド

特定の組織や人物に狙いを定めたサイバー攻撃の「標的型攻撃」が国内でニュースになる機会が増えている。攻撃の特徴などをおさらいしてみたい。

[國谷武史，ITmedia]

　2011年夏以降、特定の国内の企業や組織が狙わる「標的型攻撃」が次々と明るみになった。この標的型攻撃とは何か、また、攻撃者はどのようにして標的の人物や組織に攻撃を仕掛けるのかをおさらいしてみたい。

標的の絞り込み

　従来のサイバー攻撃は、基本的には「コンピュータの利用者」という条件であれば誰もが対象になり得た。標的型攻撃は、この対象が一定の範囲に絞り込まれているタイプの攻撃となる。

　「標的型」とひと言でいっても、対象の範囲は攻撃者の狙いによって変わる。例えば、銀行のオンラインバンキング利用者の口座から金銭を盗み取るのが目的なら、銀行のオンラインバンキング利用者の数だけ標的が存在する。また、企業の機密情報を盗み取るのが目的なら、その企業の関係者、さらには、情報に関わるごく少数の人物が標的になる。

　攻撃手法も対象によって変わり、特に後者の企業や組織が標的になる場合では、ITセキュリティの専門家でも対応に苦慮するほどの高度なテクニックが使われる傾向にある。

　実際にITセキュリティ業界を震撼させた事例が、2010年に発覚した「Stuxnet」事件である。詳細は関連記事などを参照していただきたいが、その目的はイランにある原子力施設の機器を不正にコントールすることにあったと言われる。攻撃手法には、当時としては公にされていなかったWindowsの脆弱性を複数悪用する不正プログラムが使われ、その感染にはUSBメモリという物理的な移動手段が使われた。標的が絞り込まれていることに加えて、未知の脆弱性の悪用と原始的ともいえる感染手段が組み合わさっている点が脅威とされた。

　国内で次々と発覚しているサイバー攻撃の多くは、まだ警察による捜査や専門家による調査の途上にあるので詳細は明らかではないが、機密情報を狙った標的型攻撃の疑いが強いようだ。そこで使われている手法は高度なものがあれば、一般にも知られているものもあり、一概に論ずることは難しいが、セキュリティ企業のF-Secureでチーフリサーチオフィサーを務めるミッコ・ヒッポネン氏は次のように指摘している。

　「Stuxnetのケースでは非常に高度な技術を持った国家レベルとも言える集団が多額の資金を費やし、政治的な動機で攻撃を仕掛けたようだ。一方、日本の企業や組織が狙われるケースではスパイ活動が動機だと思われる。Stuxnetに比べるとリスクレベルが幾分低く、あまりにも高度な手法が使われるとは考えにくい」

　Stuxnet事件のような規模のリスクは、既存のセキュリティ対策技術ではほぼ不可避とされる。だがそこまでに至らない規模のリスクであれば、既存の対策技術である程度は回避できる余地があるとみることもできよう。しかし、ここ数年間で主流となった標的型攻撃には、既存の対策技術に発見されないよう人間自体を巧妙にだますテクニックが多用されている。その代表が「標的型メール」だ。

標的の人物に近付ける環境を悪用

　標的型メールは、攻撃者が受信相手に関係する人物や話題をかたった内容のメールで、不審なファイルが添付されていたり、「追加情報を参照してほしい」などの文言でリンクのURLが記載されたりしている。受信者の置かれている環境に関連した内容であり、また、添付ファイルが文書形式に偽装されていたり、リンクに短縮URLサービスを使って誘導先がどこであるかを分からないようにするなど、迷惑メール対策技術などで「攻撃」として検知することが難しいとされる。

　受信者が添付ファイルを開いたり、リンク先を参照したりしてしまうと、受信者のコンピュータに不正プログラムが侵入し、感染活動を始める。感染に成功すれば「バックドア」と呼ばれる侵入口が作られ、不正プログラムが外部と通信できるようになる。攻撃者は感染したコンピュータに密かに指令を出して、目的とする機密情報の所在を探り、追加の不正プログラムを送り込んで情報を取得し、盗み出す。そして情報を求める相手に闇市場で売り付け、金銭を得ているといわれる。

　標的型メールは、こうした一連の攻撃プロセスの最初のステップに当たるだけに、攻撃者は受信相手をだますために相当な準備を行っているようだ。メールセキュリティ企業の日本プルーフポイントでテクニカルセールス／サービスマネージャーを務める高橋哲也氏によれば、攻撃者が受信相手をだます手がかりを得ている場として、ソーシャルネットワークサービス（SNS）が挙げられるという。

　「狙う相手が普段からSNSで発信している情報や話題、プロフィール、友人関係などから“だます”ための手がかりを簡単に得ることができる。サービスによっては履歴書に近い内容を見られるので、狙う相手も探しやすいだろう」

　攻撃者がこうした活動を展開している実態が、Facebookで毎日60万件もの乗っ取られたアカウント乗っ取りによるログインが行われているというニュースからもうかがえるとしている。

　標的型メールを回避できれば、企業や組織全体が標的型攻撃に巻き込まれる危険性が下がる可能性は高い。だがメールは企業や組織で頻繁に利用されるツールであるだけに、明らかに怪しいと分かる特徴がなければ、その見極めは難しい。メールでやり取りする頻度が多ければ多いほど、サイバー攻撃に対する警戒心が薄らいでしまうこともあり、攻撃の回避策は受信者の“感覚”に依存せざるを得ないのが実情だ。攻撃者がメールを“突破口”とする理由もここにあると言えるだろう。

　標的型攻撃の対策としては、ヒッポネン氏や高橋氏を始めとするITセキュリティの有識者が推奨しているのが、「多層型防御」である。これはコンピュータの利用プロセスに幾つもの“落とし穴”があることを認識し、それぞれの部分に幾重もの対策を講じるというアプローチだ。

　仮に標的型メールで不正プログラムの侵入を許したとしても、「不正プログラムと外部の通信を遮断する」、「機密情報の所在を見つからないようにする」、「見つかって流出を阻止する」、「情報が流出しても暗号化などで内容をみられないようにする」というように、情報を幾重にも守る対策を平時から適切に機能するように講じていれば標的型攻撃の影響を軽減できる可能性が高まる。

　「多層型防御」の実現には、既存のセキュリティ対策を有効活用しつつ、新しく開発される技術も取り入れる、さらには組織に関わる人材の理解も促進していく――これまでに繰り返し提起されてきたものばかりだが、標的型攻撃の広がりを受けて、企業や組織には自身の活動に関わる重要な情報を本当の意味でどう守っていくかという課題が改めて浮き彫りになっている。