トレンドマイクロは5月10日、国内で観測されている標的型攻撃に関するセミナーを開催した。同セミナーでは同社のセキュリティエバンジェリストである岡本勝之氏が登壇し、近年、国内の法人組織において観測されたさまざまな脅威について解説するとともに、これからの脅威状況や技術革新を考慮し、各企業がどのように対応すべきかについて語った。
「標的型攻撃」と「サイバー犯罪」の違いは目的
初めに岡本氏は、今回のメインテーマである「標的型攻撃」について説明した。 標的型攻撃とは、重要情報の窃取や破壊活動、情報操作などを目的として特定の法人組織や個人に対象を絞って継続的に行われるサイバー攻撃のことを指す。
「組織を狙うという点では、『標的型攻撃』と『サイバー犯罪』が一緒に語られることも多い」と岡本氏は説明した。
実際に、標的型攻撃とサイバー犯罪は似通っている部分も多く、特に近年の侵入方法はどちらも「ネットワーク機器の脆弱性を突く攻撃」「認証突破」が用いられることから、侵入手法にほとんど差は見られなくなっているという。 そうした中、両者における最大の差異は「目的」となる。
サイバー犯罪が、金銭的利益を目的に行われるものであるのに対し、標的型攻撃は軍事、外交、先端技術などに関する情報の窃取や破壊、操作が目的であるとのことだ。
日本を狙う5つの標的型攻撃者グループ
今回のセミナーでは、日本国内で活動している主な標的型攻撃者グループを5つ紹介していた。
5つのグループとは、「Earth Hundun」「Earth Tengshe」「LODEINFO」「Lazarus Group」「Earth Kumiho」(5つともトレンドマイクロでの呼称)だ。
この5つのグループは、用いる攻撃手法は異なるものの、概ねの攻撃目的は、重要情報に関する情報窃取と推測だという。 そのため公的機関・防衛分野だけではなく、学術機関を含む産官学の幅広い分野が攻撃対象となっている。 加えて、目的の情報を保有するとみられる有識者に向けての攻撃も動向として確認されている、と岡本氏は説明していた。
標的型攻撃者たちに日本企業が取るべき対策とは?
岡本氏は、セミナーの締めくくりとして、日本企業が実態の見えない標的攻撃者たちに取るべき3つの対策を語った。
1つ目は、「気づきにくい攻撃」であるがゆえの「実害防止重視の対策」だ。企業で、狙われている情報資産を把握し、侵入されても持ち出させない対策を取ることが大切だという。 岡本氏は、「侵入を防ぐのが一番だが、侵入されてからのことも考えて対策する必要がある」と警鐘を鳴らした。
2つ目は、侵入経路(Attack Surface)の可視化によるリスク低減だ。 意図せずに侵入できる経路を公開してしまっている場合もあるため、脆弱性が残ったシステムへの対策を検討することが重要だという。 特に、本社からコントロールしづらい海外拠点や組織外の個人が狙われることもあるため、そうした場所において攻撃への備えが必要になるという。
3つ目は、組織や業界、国をまたいだ情報共有活動だ。 「標的型攻撃の特徴として、『隠密性』が挙げられるため、一組織で見えている範囲が情報の全てとは限らないケースが大半だ」と岡本氏は説明しつつ、情報共有による参照・分析できる情報を増やし、より現実に近い状況を把握することの重要性を訴えていた。