標的型攻撃に備えよ！ ただし抜本対策は見つからず（前編）：Next Wave（1/2 ページ）

2008年から標的型攻撃が急増し、一般企業においても深刻な脅威となりつつある中で、その手法や目的などが十分に分析されておらず、今はまだ有効な対策が講じられていない状況だ。今回は情報セキュリティの専門家による脅威の分析と施策の一端を紹介する。

[富永康信（ロビンソン），ITmedia]

標的型攻撃は今年が"旬"の脅威

　2008年における情報セキュリティで話題となったキーワードは、SQLインジェクション（*1）、DNSキャッシュポイズニング（*2）、USBメモリを媒介とするマルウェアの拡大、そして標的型攻撃だろう。中でも、標的型攻撃は2005年の夏頃から全世界で確認され始め、急速に増加しているまさに"旬"の脅威である。2009年はマルウェアのさらなる巧妙化とともに、計画的で大規模な標的型攻撃が増加すると予測されている。だが、その手法や目的などが十分に分析されておらず、今はまだ有効な対策が講じられていない状況だ。

　標的型攻撃は、スピア型攻撃やターゲッテッドアタックとも呼ばれ、巧妙に偽装したメールを使いマルウェアやフィッシング手法などによって、特定の組織や個人を狙った攻撃手法のこと。当初は、主に政府関係機関や軍事関連企業などが狙われていたことから、国家レベルでの高度な技術を使ったスパイ活動ではないかと考えられた。

　2007年9月に、米大手コンサルティング会社の軍事担当幹部あての米国防総省から届いた電子メールが、遠隔操作タイプのキーロガーを含んだ偽物メールだった事件が発生。武器取引分野の専門用語や実際に存在する具体的な担当者名が使われていたという。

深刻な脅威と受け止める米国政府

　それを記事で報じたBusinessWeek誌は2008年4月21日発行号で、政府機関や軍事関連企業をターゲットとするサイバー攻撃は2006年ころから3倍に急増し、事態を重く見た米国政府は、政府中枢の機密ネットワークへの侵入に対する検出や追跡を行う「ビザンチンフットホールド」と称する極秘作戦に着手したと書いている。また、サイバー攻撃に対処するため「サイバーイニシアティブ」という命令書にブッシュ前大統領が署名したとし、非公開ながらその総予算は数百億ドルに達するとしている。

　そんな標的型攻撃が、最近では一般企業を狙ったものにまで拡大していると懸念するセキュリティ専門家たちもある。2008年12月16日に、JPCERTコーディネーションセンター（JPCERT/CC）ほか4団体が共同で開催した「SecurityDay2008」では、標的型攻撃の脅威の実態の報告と、技術面および運用面における対策がいくつか検討された。標的型攻撃はマルウェアによるカネになる情報やデータの略取・改変などが目的と考えられ、情報資産略取の裏ビジネスが成立しているというのだ。

ボットの成功で生まれた標的型攻撃

　世界で最初のコンピュータウイルスは、1982年にリチャード・スクレンタ氏がいたずら目的で作った「Elk Cloner」（エルク・クローナ）であるといわれる。その後、1988年にコーネル大学のロバート・モリス氏が作成した「Morris Worm」がインターネット上に大規模に拡散した世界初のワームプログラムとなったことを皮切りに、「Melissa」（メリッサ）、「Code Red」（コードレッド）、「Nimda」（ニムダ）、「Blaster」（ブラスター）といった悪名高いマルウェアが次々と登場し、時間と国境を越え爆発的に拡大した。

「SecurityDay2008」で標的型攻撃の実態を分析するマイクロソフトの高橋正和氏（左）とラックの新井悠氏

　しかし、2004年に「Agobot」（アゴボット）というIRCボットによる裏ビジネス基盤の存在が明らかになると、マルウェアは派手な拡散戦略を大きく変更する。

　「トロイの木馬型ワーム『Sobig』（ソービッグ）が、スパム業者に対し感染したサーバを貸し出して収益を得るというビジネスモデルを初めて作ったことで、現在の標的型攻撃へとつながっていった」と語るのは、マイクロソフトのチーフセキュリティアドバイザーである高橋正和氏だ。

　高橋氏は、「従来のマルウェアは感染の拡大自体が脅威で、情報を盗まれるといった被害はむしろ副作用。被害を拡大するための大量のトラフィックによってすぐに感染が判明していたが、2006年以降のマルウェアはスパイ行為や工作活動などを明確な目的に据えて、遠隔操作で更新・変更が行われるように変化した」と説明する。

*1…SQLインジェクション：データベースへの問い合わせ命令文の脆弱性を利用し、悪意を持って改ざんされたSQL文をその一部として埋め込むことで、データベースに蓄積された情報の漏えい、改ざん、不正操作などを行う攻撃手法。

*2…DNSキャッシュポイズニング：DNSキャッシュサーバーに偽のドメイン管理情報を書き換えることで、脆弱性の高いサーバソフトを利用するノードを正規のWebサイトではなく不正目的の偽サイトに誘導し、フィッシングやファーミング行為を行う攻撃手法。