標的型攻撃の危険性が叫ばれて久しいが、すべての人々が「攻撃型攻撃とは何かに」ついての正しい認識を持っているかといえばはなはだ疑問だ。少々言葉が先行しがちなこの攻撃手法に正しく対処するためには、今一度その内容を正確に知っておく必要があるだろう。

そこで、セキュリティ対策の調査や普及啓発活動に日々取り組み、標的型攻撃についても詳しい、情報処理推進機構(IPA) 技術本部の研究員、大森雅司氏に改めて標的型攻撃とはどのようなものかについて話を聞いた。

過去の攻撃手法を組み合わせ、心理面の隙まで突く攻撃手法

情報処理推進機構(IPA) 技術本部 研究員 大森雅司氏。セキュリティ業界にてセキュリティシステム構築、開発業務を経て、2009年4月より現職に就く。IPAでは、セキュリティ対策ツールの企画・開発、セキュリティ対策の調査、普及啓発活動に従事。9月20日の「標的型攻撃 対策セミナー」にて特別講演に登壇予定

大森氏によると、標的型攻撃という言葉には明確な定義はないという。

「海外ではAPT(Advanced Persistent Threat)攻撃と呼ばれるケースが多い。技術的にはとりたてて目新しい手法ではなく、旧来から知られているいくつかの手法を組み合わせつつ、綿密な攻撃計画が立てられ、戦術的に行っているのが特徴だ」(大森氏)

その戦術的という根拠の1つが、いわゆるソーシャル・エンジニアリングの手法を駆使する点である。例えば攻撃対象者が信じやすいように差出人を偽ったり文面を工夫したりしたメールを送りつけるなど、人を騙してマルウェアを忍び込ませるような手法を用いるのである。こうしたマルウェアに一度感染してしまうと、バックドアを仕掛けられ、外部の攻撃者が企業内部の情報を覗くことができる状況がつくられてしまう。そしてさらに、攻撃者はさまざまな情報を盗み出しながら、それを元にさらなる攻撃をしつこく仕掛けてくるようになる。

このソーシャル・エンジニアリングとバックドアによる情報奪取の組み合わせが、標的型攻撃への対策を難しくする要因にもなっている。まず、バックドアは攻撃に気付きにくい。なぜならば、バックドアによる通信は、オフィス環境でよく使われているHTTPやHTTPSといったプロトコルを用いて外部の攻撃者が用意した指令サーバーであるC&C(Command and Control)サーバーと通信するため、通常の通信との見分けがつかないのである。

また、攻撃者が企業ネットワークの内部を覗ける状況になるため、あらゆる情報がハッキングされてしまうことになる。ここで厄介なのが、アクティブディレクトリやLDAPなどのディレクトリサービスのハッキングだ。

「ユーザーのアカウントやパスワードを管理するこうしたサービスが侵害されてしまうと、他にいくらセキュリティ対策を施していてもどうにもならない。既存の企業内部のセキュリティが完全に無効化される程のインパクトがある」と大森氏は警告する。

そして、こうしたすべての攻撃の発端となっているのが、巧みなソーシャル・エンジニアリングだ。

「少し前までは攻撃側から送られてくるメールの内容には特徴があって比較的発見しやすかったが、最近では実際に業務で使われるメールと酷似していたり、攻撃対象者の上司や取引先を偽ったりと、心理面を巧妙について来るので気づかないケースが非常に増えている」(大森氏)

狙われるのは大企業だけではない

ではなぜ攻撃者は標的型攻撃を仕掛けてくるのか。大森氏は一昔前の攻撃者との違いを次のように強調する。

「これまでのサイバー攻撃と比べて、狙われる情報や攻撃者のマインドが大きく変わってきていると感じている。数年前までは、『サイバー・クライム』という言葉がよく表しているように、金銭やそれに結びつく個人情報の奪取を目的とする攻撃が主流だった。それが、企業の知的財産や国家の機密情報を盗み出すといったように、諜報的な攻撃が行われだしてきた。昔で言うところの産業スパイの活動が、現実世界からサイバー空間にも移ってきたのかもしれない」

標的型攻撃の対象とされやすい企業や機関も多岐にわたる。もちろん、政府機関や軍事産業、インフラ系企業、教育機関などは狙われやすいことに変わりはないが、他にもあらゆる業種や機関が狙われているのだ。

大森氏は言う。「どこが狙われるかというのは、攻撃者の目的やモチベーションにも影響しているためなかなか特定することは難しい。これまで標的型攻撃による被害が表面化しているのは大規模な企業や組織が多いが、この攻撃には気付きにくいという特徴があるため、中規模以下の企業も気づいていないだけで実際には攻撃を受けている可能性もある」

しかも、大企業はある程度セキュリティ対策が進んでおりネットワークが守られているため、攻撃者はまずその企業とつながりのあるより小規模な企業に攻撃を仕掛けるケースもあるという。そこで関連情報を収集したりして手はずを整えたうえで、最終目標である企業へと新たに攻撃を仕掛けるというわけだ。

「つまりは、攻撃対象となる企業と取引などで関係している企業はすべて危険だということになる。攻撃者が欲しい情報が、取引先の企業にある可能性もある。標的型攻撃というと、特定の一つの組織だけを狙うものと思われがちだが、実際にはそうしたケースはむしろ少なく、関連する業界全体を狙うことが多い。だからこそ、業界ぐるみで協力して、同じような内容の怪しいメールが来ていないかなど、積極的に情報交換することが大切なのだ」と大森氏は訴える。

そうした取り組みの一環として、IPAでは経済産業省の指示の下、重工業8社を対象にJ-CSIPという活動を推進している。その内容は、例えば標的型攻撃のメールが確認されると、IPAがハブ役となって情報を解析し、どのような攻撃が来ており、どういった企業が狙われているか等について情報を発信して、対策の共有化を図るというものだ。

「標的型攻撃という言葉だけに踊らされてセキュリティ対策をするのではなく、自分の企業が攻撃を受けた場合の被害のインパクトを十分に考えて対策を行って欲しい。セキュリティ担当者だけで考えるのではなく、トップを含めた企業全体で取り組むのが肝要だ。IPAでは、様々な啓発資料を出しているので、是非とも活用いただきたい」(大森氏)

ここでは、標的型攻撃とはどのようなものかを再認識してもらうために大森氏の言葉を中心に解説を試みた。次に知っておくべき事柄は、標的型攻撃の対策に向けて企業は情報システムをどのように設計し運用すればいいのかである。それについては、9月20日に開催されるセキュリティセミナーの会場で大森氏により語られる予定だ。ぜひとも来場いただき、この厄介な標的型攻撃への備えを盤石なものにしていただきたい。

標的型攻撃 対策セミナー
  - マイナビニュースITサミット Webセキュリティ -

【開催日時】
 9月20日(木)13:00~16:30
【参加費】
 無料
【場所】
 東京都千代田区一ツ橋1-1-1
 パレスサイドビル 9F マイナビルームA (東京メトロ東西線 竹橋駅直結)