アクセス制限をかいくぐる標的型攻撃〜ファイア・アイが解説C&Cサーバを国内に設置し日本企業を攻撃

米FifeEyeの取締役会長兼CEO、デビッド・デウォルト氏が来日し、最近のサイバー攻撃の傾向、特徴について解説した。

» 2013年06月21日 12時00分 公開
[高橋睦美,@IT]

 「新たな脅威はこれまでのものとはまったく異なっている。豊富な資金と国家や軍などのバックアップを背景に、非常に執拗で、ダイナミックかつ多種多様に姿を変え、多面的、多段的な攻撃を仕掛けてくる」――米FifeEyeの取締役会長兼CEO、デビッド・デウォルト氏は6月20日、都内で開催した記者説明会においてこのように述べた。

米FifeEyeの取締役会長兼CEO、デビッド・デウォルト氏

 同社の調査によると、標的型攻撃を含むサイバー攻撃の件数は増加の一途をたどっており、2006年当時の6.5倍以上に達している。新たに検出されるマルウェアの数は1日当たり6万個、悪意あるWebサイトの数は1日当たり9000サイト以上に上るということだ。

 「あらゆる分野の企業が、企業規模を問わず攻撃を受けている。私はしばしば『いつサイバー戦争は始まるのか』と尋ねられるが、答えは『数年前からもう始まっている』だ」(デウォルト氏)。

 こうした攻撃の目的は、企業が保有する財務情報や知的財産、あるいは国家のセキュリティ機密に関する情報、すなわち何らかの「資産」だ。フィッシングメールを通じて標的を誘導したり、ターゲットの関心を引くWebサイトにマルウェアを仕掛けておいたり、あるいはソーシャルエンジニアリングを活用して添付ファイルを送り付けて感染させたりと、多様な手法を用い、複数の段階に分けて機密情報を盗み出そうとする。

 日本もその例外ではないが、世界のほかの地域に比べやや異なる特徴があるという。何らかの形で端末に侵入したマルウェアは、攻撃者が用意した「C&Cサーバ(コールバックサーバ)」に接続して指示を受け、新たなマルウェアをダウンロードしたりする。そのコールバック先が日本国内に置かれている割合が87%と非常に高いのだ。米国の場合は、国内でコールバックが完結する割合は47%で、大半は国外のC&Cサーバと通信するが、これとは対照的という。

 ただ、これは「日本人が日本人を攻撃していることを意味するものではない」とデウォルト氏は述べている。不正アクセス対策の1つに、IPアドレスなどをベースに通信元を制限したり、普段通信を行わない国からの不審な通信を遮断する手法があるが、通常、同一国内の通信まで制限することはない。特に、日本国内のサーバは怪しまれる可能性が低いため、それを逆手にとって「別の国の攻撃者がセットアップしている」(同氏)という。既存のWebサイトを改ざんし、JavaScriptなどを埋め込んでマルウェアに感染させる、「水飲み場攻撃」と呼ばれる手法も利用されている。

 デウォルト氏は、こうした新たなタイプの攻撃は、シグネチャを利用した従来型のセキュリティでは防御できないと述べた。

 「多層型防御というアプローチはいいアイデアだが、ファイアウォールやIPSなど、防御の各層で利用されているエンジンが、ブラックリストに基づく同一タイプのものであることが問題だ」(同氏)。

 これに対しファイア・アイは、仮想マシン上で疑わしいファイルを実行し、その挙動を解析してマルウェアを検出するアプローチを提供している。これにより、まだシグネチャが用意されていない未知のマルウェアも、高い精度で検出できることが特徴という。

 最近では、VMwareなど仮想環境上で動作していることを把握すると自らを消去するなど、仮想マシン/サンドボックスを回避するロジックを組み込んだマルウェアが登場しているが、「セキュリティに特化した独自の仮想マシンを一から開発することで、そうしたマルウェアも検出できる」(同社)という。

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。