2012年上半期の標的型攻撃の動向、発生地域別で日本は3位に

Symantecによると、同社の顧客企業が受ける標的型攻撃は2011年が1日平均80件だったが、2012年上半期は186件に増加した。日本では1社が集中的に狙われる事件も発生した。

[國谷武史，ITmedia]

　シマンテックは7月3日、2012年上半期のインターネットセキュリティ脅威レポートの日本語版を発表した。同日の記者会見で米Symantec サイバーセキュリティインテリジェンス マネジャーのポール・ウッド氏が、標的型攻撃に関する世界と日本の動向を説明している。

　レポートによると、同社の顧客企業に対する標的型攻撃は2011年では1日平均80件発生したが、2012年上半期は同186件と、2倍以上に増加した。日本では2011年が1件、2012年上半期が30件。4月には金融サービス会社に対して1日に数千件もの攻撃が集中的に行われる事件が発生した。これが平均件数を押し上げる格好になったが、ウッド氏は「この事件を考慮しても、日本企業に対する攻撃が増加傾向にある」と解説した。

日本の顧客企業に対する標的型攻撃の発生。左は2011年、右は2012年。なぜか4月に多いという

　国・地域別の攻撃発生状況では米国が42.02％で最多を占め、以下は英国（19.50％）、日本（17.15％）、フランス（9.13％）、オーストラリア（4.69％）の順だった。日本は2011年の10位（1.1％）から大幅に増加した。

　企業の人員規模別でみると、世界では2501人以上の企業が52.30％、250人以下の企業が31.10％を占め、大規模企業と帳小規模企業とに二分される状況だった。日本では2501人以上の企業が98.97％と圧倒的多数を占める格好となった。

地域別の発生状況

　レポートの結果だけをみると、日本企業を狙う標的型攻撃が急増していないようにもみえるが、ウッド氏は手口の巧妙化や企業間のサプライチェーンなどの観点から油断できないと警鐘を鳴らす。

　例えば、金融サービス会社に対する大規模な標的型攻撃には、日本語を日常的に使う人物が作成したと推測される巧妙な文面の「なりすましメール」が送り付けられたという。また別のなりすましメールには、悪意のあるコードを仕込んだドキュメントファイルが添付されていた。6月に見つかった別のメールでは悪意のあるコードを仕込んだ添付ファイルが暗号化されていた。

　こうした手口は、いずれもセキュリティソフトなどの検知を逃れる狙いあるという。かつての標的型攻撃で使われたメールは、機械的に日本語を翻訳したような不自然な文体であるケースが多く、受信者が不審な点を見つけやすかった。だが、最近では受信者に関係があるとした自然体の文章や添付ファイルが用いられるようになり、一見して標的型攻撃と見分けるのは非常に難しい。攻撃者側が日本語に精通した人物にメール文章の作成を委託していることも推測されるという。

顧客企業に送り付けられたという「なりすましメール」。右のケースでは日常的にやり取りしている相手のような“くだけた”感じの文体が特徴

　また日本で大企業に攻撃が集中していても、中小企業がそのきっかけになっている場合が少なくないという。「中小企業の件数が少ないからと油断するのは非常に危険だ。攻撃者は標的にした企業と取引がある中小企業にまず接近すると思われる」（ウッド氏）。

　2012年後半も引き続き標的型攻撃の拡大が予想されるほか、スマートフォンやMacといったデバイスの悪用が進むことも懸念されるという。

　ウッド氏は、「標的型攻撃の動向を理解して、技術的対策や運用面を工夫しながら組織的に対応していくべきだ。顧客窓口や人材採用など広く告知しているメールアドレスに攻撃メールが送付されるケースも多い。また攻撃者の標的の情報をソーシャルメディアなどで収集しているので不用意な情報発信は危険だ」と述べている。