日本HPは10月25日、モバイルファースト時代のセキュリティ対策と最新技術を紹介するセミナー「熾烈化する攻撃に対抗せよ! 今こそ日本企業に必要な情報セキュリティ対策最前線」を開催した。同セミナーでは、各分野におけるサイバーセキュリティのスペシャリストが講師として登壇し、世界規模で見たセキュリティの最新事情やIoT時代の到来を見据えたセキュリティ対策、今後予想されるサイバー攻撃など、さまざまな切り口からセキュリティの「今」が語られた。
ここでは、「猛威を振るう標的型攻撃の実態と、今後の予想されるサイバー攻撃最新情報」と題して行われた横浜国立大学 大学院環境情報研究院/先端科学高等研究院 准教授 吉岡克成氏による講演のもようをレポートする。
「おとり文書」が明らかにする標的型攻撃の狙い
いわゆる「標的型攻撃」では、業務内容を装ったメールにウイルスを添付したものが、組織・団体などのメンバーに送られる。受け取ったユーザーがうっかり添付ファイルを開くと、セキュリティの脆弱性を突かれてPCがウイルスに感染し、攻撃者側にそのユーザーや組織・団体の情報が漏洩する……というのが大まかなシナリオだ。
怪しい添付ファイルを開かなければ済むのだが、近年、攻撃者のメールは巧妙化しており、同窓会のお知らせや医療費通知のお知らせなど、受け取るタイミングによっては誰でも心当たりがありそうな件名で送られてくる。だまされたユーザーが開こうとする文書ファイルは通常のファイルに偽装したウイルスなのだが、クリックした時に何の文書も開かないと怪しまれる。そこで、クリックされたタイミングで「おとり」となるダミー文書を生成し、開いて見せるのだ。
吉岡氏は、この「おとり文書」に着目した。それは、おとり文書のコンテキストを調べることで、誰が狙われたのか、どうやってだまされたのといったことが分析できるのではないかと考えたからだという。例えば、おとり文書にある組織の機密文書が使われていた場合、既にその組織に攻撃者は侵入しており、機密情報の一部を既に入手していることを意味する。
横浜国立大学 大学院環境情報研究院/先端科学高等研究院 准教授 吉岡克成氏 |
吉岡氏らがここ3年間で国内組織への標的型攻撃に利用されたマルウェア検体を収集し、埋め込まれたおとり文書を調べた結果、さまざまな情報が得られたという。
「おとり文書の内容から、全体の74%については攻撃対象の推定が可能でした。また、公開情報を基にしたおとり文書も多かったのですが、中には内部機密文書を使っているものもありました。これは、既に情報が漏れてしまっているということです」(吉岡氏)
吉岡氏は、内部文書が使われていた例として、ある国際セミナーのオブザーバー名簿や国家安全保障に関する意見書の例などを紹介。後者は公開文書なのだが、ウイルス内に埋め込まれたおとり文書は内容が若干異なっており、公開前の下書きが盗まれたものだと考えられるという。
こうしたおとり文書から、攻撃者は「本当の標的」の周辺から攻撃を始めていることが推測される。周辺を攻撃し、知り得た情報から関係者になりすますことで、より確実に標的への攻撃を成功させようというわけだ。