「実態解明」から考える標的型サイバー攻撃への対応策（2/3 ページ）

[國谷武史，ITmedia]

うちの被害は「本丸」か「踏み台」か

　このように1つ1つの事象だけを見ていては、APTの実態を明るみにするのは難しいが、「インテリジェンス」を使って相関を探っていくことで、見えるようになってくる。ある程度実態が見えると、個々の企業や組織における被害の重大性や緊急性なども判断できるようになるという。

　2012年10月に顧客企業のA社のネットワークでPoisonIvyが見つかり、この企業から「標的型サイバー攻撃かもしれない」と相談が寄せられた。トレンドマイクロで確認したところ、少なくとも同時期に15カ所で似た攻撃が発生していた。

　さらに分析を進めた結果、このPoisonIvy（BKDR_POISON.AB）が使っているC&Cとの接続に関する設定と、4月に別の攻撃で見つかっていたPoisonIvy（BKDR_POISON.BJX、異なる亜種）の設定が、非常に似通っていることが分かった。また、4月や10月の攻撃とは別の時期の攻撃で検知したPoisonIvyには、4月の攻撃で使われたPoisonIvyと似ているパスワード情報も見つかった。

　発生時期の異なるこれらの攻撃の相関を分析した結果から、トレンドマイクロではA社に対する攻撃が、標的型に分類されるものの比較的広い範囲を標的にした攻撃と判断。「攻撃者は本命の標的に近づくための『踏み台』を探っていた可能性が高い」（染谷氏）という。

　APTなどの標的型サイバー攻撃では、攻撃者が目標の情報を持つ企業や組織に、いきなり攻撃を仕掛けるケースは少ないと言われる。まるで外堀を埋めるかのように、まずは取引先やグループ会社、あるいは関係者を巧妙にだまして「踏み台」となるコンピュータを獲得する。そこから徐々に侵入経路を広げ、「本丸」の企業や組織に近づいて行く。

　A社に対する攻撃をはじめ同社が対応した上述の事件には、特定の企業グループや業界といった関連性は現時点では認められていない。攻撃者にとっては標的を選定したり、作戦を立案したりするために必要な情報を集めていた可能性もうかがえるという。

　社内や組織の中から標的型サイバー攻撃の兆候が発見された場合、感染源のコンピュータや感染の範囲、情報漏えいなどの被害実態、侵入経路といった状況を調べていくことになる。ただ、それだけでは攻撃が自組織に対してだけ行われたのか、それともほかの組織も攻撃されたのかは分からず、包括的な対応策をとりづらい。

　染谷氏は、「標的型サイバー攻撃の脅威を無効化にしていくためにも、攻撃を受けた企業や組織には豊富な情報や知見を持つセキュリティベンダーなど専門家との協力を積極的に行っていただきたい」と話す。