　トレンドマイクロがサイバー犯罪の実態を解説するセキュリティセミナーを実施。同社の「Forward looking Threat Research」チーム（FTR）に所属するトップリサーチャーが来日し、「Luckycat」と呼ばれる標的型攻撃と、オンラインバンキングを狙ったトロイの木馬「Tinba」の事例から、サイバー攻撃の背後にいる犯罪者自身を浮き彫りにしていくFTRの取り組みを紹介した。

　FTRは、Windows 8やNFC（Near Field Communication）といった最新技術のセキュリティ研究をはじめ、エンドユーザーのインターネット利用動向や、サイバー犯罪者の活動などを日々調査している専門組織だ。

　FTRを率いるマーティン・ルースラー氏（Martin Rosler）は「FTRはいわばトレンドマイクロの“スカウト”（斥候）」と表現し、「後に続く軍に先んじて、相手の規模や戦域の情報を収集するのに似ている。将来どのようなセキュリティリスクが起こりうるか、トレンドマイクロの今後の意思決定に影響するインテリジェンスをトップに提供することがミッションだ」と説明する。また、FTRは各国の警察組織とも積極的に連携しており、その活動はサイバー犯罪者の逮捕や起訴にも貢献している（ちなみに日本では警察庁と京都府警が関係しているそうだ）。

　その土台となっているのが、トレンドマイクロの中核を担うクラウドインフラ「Trend Micro Smart Protection Network」（SPN）と、そこで収拾したセキュリティ情報に基づくビッグデータ分析である。SPNでは1日に6Tバイトのデータ（160億のクエリ）を処理し、さまざまな脅威からエンドユーザーを保護しているが、この膨大な情報をもとにサイバー攻撃の傾向（利用されるツールやコンポーネント、C＆Cサーバなど）を分析、その相関関係をマッピングすることに成功したという。

攻撃の全体像を捉えることで効果的な対策を実現

FTR シニアスレットリサーチャーのナート・ヴェルヌーヴ氏

　シニアスレットリサーチャーのナート・ヴェルヌーヴ氏によれば、特定の企業・組織を継続的に狙う標的型攻撃には大きく分けて6つの段階があるという。まず1つ目は情報収集の段階。ここではFacebookなどインターネット上の公開情報をもとに標的にカスタマイズした攻撃を準備する。

　続く第2段階では不正なファイルを添付したEメールなどを用いて、標的への侵入を試みる。これらのメールは第一段階で収集した情報が利用されるため、ターゲットとなった組織の従業員が興味を持つ内容となっている（例えば、日本の宇宙航空産業を狙ったとされる標的型攻撃「Luckycat」では、「福島」を題材にした標的型メールも使用されたという）。

標的型攻撃の段階

　その第2段階で不正なプログラムにうまく感染させることができれば、外部サーバ（C＆Cサーバ）を通じて感染端末をコントロール下に置く、これが第3段階だ。その後、侵入したネットワーク内で水平的に感染を広げて攻撃の可能性を増やし（第4段階）、価値のある情報が保管されているサーバを特定（第5段階）、目的の情報を窃取していく（第6段階）という流れになる。

　ヴェルヌーヴ氏は、「これらを個々の攻撃として見るのではなく、一連のキャンペーン（作戦）として捉えることが重要だ」と強調する。例えば、Luckycatでは「少なくとも5つ以上のマルウェアファミリーが使われていたことが分かっている」が、これらは相互に関係している。また、「攻撃には無料のホスティングサービスが多用されていたが、その一方で専用の仮想サーバ（VPS）も用いられていた。標的型攻撃は複雑な階層構造になっており、（攻撃の段階に応じて）人の手を介して修正されているのがボットネットと大きく異なる点だ」と説明する。ヴェルヌーヴ氏は、SPNを背景にした相関分析でこれらの攻撃の「点を結ぶ」ことにより、攻撃の全体像を可視化し、今後の攻撃に効果的に備えていくことができると語る。

標的型攻撃の初期段階では、ソーシャルエンジニアリングを利用したメール攻撃などが行われる。Luckycatでは「福島」を題材にしたメールが用いられた（写真＝左）。Luckycatの攻撃で利用されたインフラ（コンピューターネットワーク）全体の相関図。まったく別の攻撃が実は関連しており、同一のキャンペーンを構成していることが分かるという（写真＝右）

犯罪者は誰だ

　　　　　　 1|2 次のページへ

SpecialPR

アクセストップ10

2024年05月05日更新

AIに予算20万円以下でピラーレスケースのビジネスPCを組んでもらって分かったこと（2024年05月04日）
レノボ「Legion Go」の“強さ”はどれだけ変わる？　電源モードごとにパフォーマンスをチェック！【レビュー後編】（2024年05月03日）
サンワ、ペンを持つように操作できるペン型マウス（2024年05月01日）
Intel N100搭載のChromebookは本当に重たくない？　Lenovo IdeaPad Flex 3i Gen 8で動作をチェック！（2024年05月02日）
Core i9搭載のミニPC「Minisforum NAB9」は最大4画面出力に対応　ワンタッチでカバーも取れる　その実力をチェックした（2024年05月01日）
あなたのPCのWindows 10／11の「ライセンス」はどうなっている？　調べる方法をチェック！（2023年10月20日）
Steamで「農業フェス」開催中！　ポイントショップでは無料アイテムも（2024年05月03日）
サンワ、体にフィットするコンパクトな回転座椅子（2024年05月02日）
Copilotの個人向け有料プラン「Copilot Pro」を契約するメリットは？（2024年04月30日）
プロセスノードに加えて新技術も売り込む！　Intelが半導体の「受託生産」で使う“武器”【後編】（2024年04月26日）

ランキングトップ30

最新トピックスPR

過去記事カレンダー

2024年

2023年

2022年

2021年

2020年

2019年

2018年

2017年

2016年

2015年

2014年

2013年

2012年

2011年

2010年

2009年

2008年

2007年

2006年

2005年

2004年

2003年

Feed Back

利用規約

ITmediaはアイティメディア株式会社の登録商標です。