ニュース
» 2011年11月30日 12時19分 UPDATE

日本は狙われている?:シマンテックが警告する「標的型攻撃」の現在

特定の政府機関や企業を狙ったサイバー攻撃が新たな脅威として注目されている。どのような組織や個人が狙われるのか。メールを使った標的型攻撃について、Symantec.Cloudのシニアアナリストであるマーティン・リー氏が解説した。

[ITmedia]

クラウド型メールセキュリティから見た標的型攻撃

og_symantec_001.jpg Symantec.Cloudのシニアアナリスト、マーティン・リー(Martin Lee)氏

 シマンテックは11月29日、日本における「標的型攻撃」(APT:Advanced Persistent Threats)について、報道関係者向けの説明会を実施した。

 金銭詐取を目的として不特定多数が対象になる従来型の脅威とは異なり、StuxnetやDuquに代表される標的型攻撃では、事前に攻撃対象を調べ上げ、高度かつ洗練されたマルウェアを用いるのが特徴だ。その攻撃経路はさまざまだが、1つにメールが挙げられる。クラウド型メールセキュリティを提供するSymantec.Cloudのシニアアナリスト、マーティン・リー(Martin Lee)氏は、同社のラボで収集・分析した結果を元に、メールを使った標的型攻撃の現状を解説した。

 Symantec.Cloudは現在、ワールドワイドで3万5000社の顧客を抱え、そのユーザー数は1100万人にのぼる。ここで収集したデータ(2011年10月現在)を見ると、メールの74.2%がスパムに分類され、235.8通に1通の割合でマルウェアが含まれているという(日本国内でもスパムの割合は同じだが、マルウェアを含むメールは1048通に1通の割合とやや低い)。ここで見られるマルウェアの大半は、ボットネットを構築するために利用されており、感染したPCをコントロールしてスパムを送信したり、インターネットバンクのEマネーや認証情報を盗む、あるいはDDoS攻撃を行うなど、金銭的動機が明らかな場合が多い。しかし、これらのマルウェアを含むメールのうち5000件に1件という割合で、前述した標的型攻撃も観測されている。

 リー氏は標的型攻撃の特徴として希少性と洗練性を挙げる。「重要なのはこれらの攻撃が非常に珍しいということだ。マスをターゲットに大量送信されるスパムとは違い、標的型は特定個人の興味を調べ上げ、それに沿った形で作られている。また、従来型の攻撃はコピーが大量に存在するが、標的型の場合はコピーが少ない。あってもせいぜい5、6個で、ウイルス作成キットではなく、スキルのある技術者がオーダーメイドで作っていると思われる。そして高度かつ数が少ないために検知するのが難しい」。

og_symantec_002.jpgog_symantec_003.jpgog_symantec_004.jpg Symantec.Cloudで観測されたスパムメールの割合(写真=左)とウイルスをともなうスパムの割合(写真=中央)。標的型攻撃の仕組み。システムに侵入し“橋頭堡”を築くための第一段階では、ソーシャルエンジニアリングをはじめ、SQLインジェクションやリムーバブルメディア経由でのマルウェアの混入などさまざまな手法が複合的に用いられる。その1つとしてメールも利用されている

 また、リー氏は「ボットネットを目的としたものはビジネスモデルが明確(金銭目的)だが、標的型攻撃は必ずしもビジネスモデルがはっきりしていない」とも述べ、イギリスの政府機関であるCPNI(Centre for the Protection of National Infrastructure)の言葉を引用した(「攻撃者の目的は、商業的・経済的に価値のある情報を密かに収集および送信することであると思われる」――CPNI)。

誰が、どんな組織が狙われるのか

 Symantec.Cloudで収集・分析したデータによれば、2008年4月以降、メールを用いた標的型攻撃は7万2500件発生し、2万8300件のメールアドレスに送信されていたことが分かった。その標的となっているのは、政府/公共サービス機関が25%と最も多く、次にメーカーが続いており、Symantec.Cloudの顧客ベースで46.1社に1社が標的型攻撃を受けている計算になる。その共通項は「価値の高い知的財産を保有している企業」(リー氏)だ。

 一方、日本国内において過去1年間のデータを収集した結果、攻撃を受けた企業は9.5社に1社と世界平均に比べて高いことも分かった。リー氏は「この(数字の)解釈として、日本が標的型攻撃のターゲットになっているとも考えられる。また、標的型攻撃を受けやすい顧客が多い(価値の高い知的財産の保有企業が多い)といえるかもしれない。おそらくその中間だろう」と述べ、日本も標的型攻撃とは無縁でないことを強調した。なお、日本におけるターゲットの内訳は、ゲーム業界が35%と政府機関を上回っているが、これは特定の1社が長期に渡って繰り返し攻撃にさらされているためで、それ以外の数字はグローバルの状況とほぼ同じという。

 また、リー氏は「標的になるのは大企業だけではない」とも指摘する。「大企業の場合は実際に攻撃を受けた場合に大きなニュースになるが、現実にはどのような規模の企業も同様に攻撃を受けている。中小企業であってもその分野で革新の先端にいることは往々にしてあり、社内にセキュリティスタッフを持てない規模ということで(攻撃者にとって)魅力的なターゲットになってしまう」と警告した。

og_symantec_005.jpgog_symantec_006.jpgog_symantec_007.jpg 標的型攻撃を受けた組織の内訳。日本はゲーム業界がトップに来ているが、ある特定の企業に対して繰り返し執拗に攻撃が継続しているため(写真=左/中央)。企業規模に関係なく、重要な知的財産を所有する企業が狙われる傾向にある(写真=右)

 続いて同氏は、これまで標的とされた個人のプロフィールや、実際に送られたメールをスライドで紹介した。これによると、狙われるのは経営職が最も多く、次いで管理職という結果だが、その一方で「不明」も19%存在している。「大多数はディレクター層だが、そのアシスタントに送られるケースや、シニア技術者層に送られる場合もある。不明となっているのはこちらで把握しくい層だが、攻撃側はきちんと識別して攻撃を仕掛けているようだ」(リー氏)。また、全分野で見ると防衛・政治・経済といった分野の有識者が、技術分野ではPRマネージャーが標的となっている。後者は社内外に渡ってコネクションが多いためだと分析している。

og_symantec_008.jpgog_symantec_009.jpgog_symantec_010.jpg 標的になる個人は、経営層や管理職といった役職が多い。また「@sales」などの共有メールアドレスも狙われやすいという(写真=左)。実際に送られたメールサンプル(写真=中央/右)。流ちょうな日本語で記述され、受信者の興味を引くような内容をともなっており、攻撃対象を事前に調査していることが分かる。添付されたマルウェアはpdfやdocなど、ソフトウェアのぜい弱性をつくものも多いが、リー氏は「社内全ユーザーのソフトウェアを常に最新に保つのは難しい」(リー氏)と指摘する。また、非常に高度なマルウェアが利用されることもある(写真=右)

規則正しい“ギャング”たち?

og_symantec_011.jpg 標的型攻撃に利用されたメールの発信時刻をプロットすると、3つのピークが存在している。地域の違う2つのグループが規則正しく“仕事”をしているようだが……

 ここでリー氏は、「我々の仕事は、背後に誰がいるのかを捜査することではないが」と前置きしたうえで、メールの発信時刻を分析した結果から、興味深い傾向が見て取れると説明した。メールの発信頻度を時刻でプロットすると、「太平洋の西側(アジア地域)で朝9時にあたる時間から“仕事”が始まり、昼食休憩を挟んで午後にピークがきている。またこれにあわせて、東ヨーロッパの朝9時に別のギャングが仕事を始めているように見える。その後、1つ目のグループは“帰宅”し、2つ目のグループが短いランチブレイクの後に午後の仕事をすませて帰っていると想像できる」と述べ、2つのグループが存在している可能性を示唆した。

 ただし、攻撃元が具体的にどこなのかといった問い対しては、「解釈にはいろいろあり、思いを馳せるのは興味深いが、我々の仕事はそれが誰なのかを調べることではない」と繰り返した。また、攻撃対象に政府機関が多いことから、各国の諜報機関が関与している可能性を聞いてみたが、「これらのデータからは確定的なことは分からない。公式見解としては何もコメントできない」と言及を避けた。いずれにせよ、ボットネットから発信されるスパムとは異なり、メールを使った標的型攻撃は、特定の人間が規則性を持ってマニュアルで管理していると考えられる。

 リー氏は、標的型攻撃を防ぐのが難しい理由として、改めて希少性を強調し、その対策にはスキャンプラットフォームを共有することによりサンプルを集約できるクラウドベースのセキュリティが有効だと語る。「例えば、1社のサンプルを使って全体の検知レベルを改善していくことで、すべての顧客が享受できる。多国籍の大企業でも、中小企業でも、同じレベルのセキュリティを提供できる」と、Symantec.Cloudのメリットをアピールした。

Copyright© 2017 ITmedia, Inc. All Rights Reserved.

この記事が気に入ったら
ITmedia PC USER に「いいね!」しよう