チェック・ポイント・ソフトウェア・テクノロジーズの企業向けセキュリティセミナーで基調講演に登壇したJPCERT コーディネーションセンターの真鍋敬士 理事・分析センター長は、標的型攻撃の手法に対する一般的なイメージと実態について解説した。「標的型」という言葉から特別な手法が使われるとイメージをしてしまいがちだが、よく知られた手法を用いるケースが大半だという。
よく知られる標的型攻撃は、
といったステップで行われる。
この中で(1)は、ごく限られた相手にだけメールを送付するケースと比較的多くの相手に送付するケースがあるが、真鍋氏によれば後者の方が大半という。また(2)は、JPCERT コーディネーションセンターが解析したところではMicrosoftやAdobe製品の既知の脆弱性が悪用されるケースが大半だった。従来はOSの脆弱性を悪用するケースが多かったが、OSの脆弱性対策が進んだことで、アプリケーションの脆弱性を狙うようになりつつある。
標的型攻撃の初期段階は、広範な相手に対して既に知られた脆弱性や不正プログラムを仕掛けるケースがほとんどだという。攻撃者が不正操作できるコンピュータを獲得した(3)以降のステップでは未知の脆弱性を突いたり、特別に開発された不正プログラムを用いたりするケースが増える。
このことからも標的型攻撃の対策は、既知の手法が使われる初期段階において、「メールの不審点に注意を傾け、うかつにファイルをダウンロードしたり実行したりしない」「コンピュータを最新の状態にして脆弱性をできる限り解消する」「セキュリティソフトを最新にする」という基本を徹底することが重要になるという。
脅威の侵入を許した(3)以降のステップは、不正プログラムの検出が非常に難しくなる。通信ログやアクセス履歴といった証跡を確実に保管し、不審な兆候を発見した際に“何が起きているか”を詳細に分析できるようにしておく、分析から被害の抑止や再発防止策を講じられるようにしておく――という体制が必要とされる。標的型攻撃のための“特別な対策”というより、日頃から求められる基本対策の徹底、そして、事後把握が可能な監視・分析基盤の整備という両輪がカギを握ると言えそうだ。
標的型攻撃は、日本では2011年に相次いだ企業被害の発覚で社会の注目を集めるようになったが、海外では2009年に発生した欧米ハイテク企業の知的財産を狙ったとされる「オーロラ攻撃」や、イランの原子力施設の破壊を狙ったとされる「Stuxnet攻撃」で広く注目されるようになった。
「標的型」と一括りにしても、実際には政府機関や大企業などごく限られた標的を狙うものから、不特定多数の企業を狙うものまで、標的の範囲や使われる手法は多岐にわたる。Stuxnet攻撃では国家レベルの技術を持つ組織の関与が疑われ、一歩間違えば国民の生命を脅かす事態になりかねなかった。一方、日本では「個人情報の流出がなければ公表されないことがほとんど。実態はよく分かっていない」(真鍋氏)という状況にあり、企業や組織が標的型攻撃の対策を練る上で参考となる事例が乏しい。
それゆえ、冒頭にある思い込みから標的型攻撃対策に「特別な技術と多額の投資が必要」との誤解が生じて取り組みに消極的になる組織や、「わが社に狙われるようなものはないから対策は不要」と“ノーガード戦法”を決め込んでしまう組織もあるとされる。
真鍋氏は、「どのような組織も狙われる可能性がある。自分たちの弱点がどこなのかを理解し、必要な対策を講じることを心掛けてほしい」とアドバイスする。
Copyright © ITmedia, Inc. All Rights Reserved.