最終回 企業を狙う標的型攻撃――その手口と抜本的な対策とは


乙部幸一朗
パロアルトネットワークス合同会社
技術本部長
2011/11/14

プライベートのみならず、仕事においても、FacebookやTwitterといったソーシャルネットワーキングサービスを使うのが当たり前になってきたが、それに伴い、新たなリスクが生まれている。この連載では、新しいアプリケーションとうまく付き合いながら、脅威に対策する方法を探る。(編集部)

 前回まで、アプリケーション識別および制御技術について紹介してきた。これらは企業のセキュリティ対策にどれだけ効果を発揮するのだろうか。

 今回取り上げるのは、最近メディアをにぎわせている日本版APT(Advanced Persistent Threat)攻撃、いわゆる「標的型攻撃」だ。ソーシャルアプリ時代のセキュリティを考える上で避けて通ることのできない標的型攻撃の被害を、どのようにして食い止めることができるのか、具体的な例を交えながら考えてみよう。

 日本企業も狙われた“標的型攻撃”

 2010年1月12日、Googleは同社のネットワークに対して、中国が発信元と思われる非常に高度なAPT攻撃があったことを発表した。Googleが最初にこの攻撃に気付いたのは2009年12月で、当時まだ修正されていなかったInternet Explorer(IE)の脆弱性を狙ったゼロデイ攻撃だった。

 同様の攻撃はGoogle以外でも確認されており、被害を受けた企業はYahoo、Adobe、Symantecなど、少なくとも34社に上るといわれている。後に「オーロラ作戦(Operation Aurora」と呼ばれるこのサイバー攻撃は、標的型攻撃という新しいタイプの脅威の存在を、世の中に知らしめる大きなきっかけとなった。

 前述の「オーロラ作戦」以外にも、イランの原子力関連組織を狙った「Stuxnet」、石油・エネルギー・製薬関連企業を狙った「Night Dragon」などが知られている。

 また日本企業を狙った攻撃もあり、2011年4月にソニーのプレイステーション向けのインターネット配信サービスのネットワークが不正侵入され、登録されている利用者の個人情報、最大7700万件が流出した事件が発覚したほか、記憶に新しいところでは、9月に日本の防衛産業メーカーに対する標的型攻撃と思われるマルウェア事件などが発表されている。

 標的型攻撃の性質からいって、メディアなどで公になっているものはあくまで一部であり、被害が軽微であったものも含めると、他にも多くの企業が攻撃を受けていると考えられる。さらに現在も、攻撃を受けて侵入されているが、企業側がまだ気付いていないケースもあるだろう。

 全方位型vs標的型

 これらの標的型攻撃の特徴は、ターゲットとなっている企業が明確になっている点だ。こうした攻撃に使用されることの多いマルウェアを例に、従来型との違いを見てみよう。

 従来のような、ネットワークワームやトロイの木馬ウイルスといったマルウェアの場合、作成者自身が対象を特定していないケースがほとんどだ。そのため、幅広い企業で多く感染が確認されることになる。

 しかし、このような全方位型のマルウェアは、すぐにインターネット全体に感染が広がるため、検体となるウイルスが発見されて、ウイルス対策ベンダからパターンファイルなどの対策が早いタイミングで提供される。結果的に、セキュリティ対策にコストをかけている大企業であれば、完全ではないにしろ被害の拡大は防ぐことができるという側面がある。

 これに対して、先に述べたような標的型攻撃で利用されるマルウェアの場合、往々にしてマルウェア自体がターゲット企業を狙うためだけに「新たに」作成される。一般的なアンチウイルスベンダによって検体が発見されることなく、対応するパターンファイルなども提供されないままなので、企業側でアンチウイルスなどのセキュリティ対策を行っていたとしても、マルウェアがすり抜けてしまう可能性が高くなる(図1)。

図1 従来型マルウェアと標的型マルウェアの違い

 では、これらの攻撃がやってくる侵入経路はどうなっているのか。攻撃者はどのようにして、ターゲットとした企業に攻撃を仕掛けていくのだろうか。

 SNSアプリケーション、その恐るべき威力

 例えば、日本のある企業に対して攻撃を仕掛けていくとしよう。攻撃者が手始めに行うのは、侵入経路として利用する「ユーザーの洗い出し」だ。ここではSNSアプリケーションが大きな威力を発揮する。

 例えば、FacebookやTwitterといったSNSアプリケーション上で、対象の企業名で検索を行えば、勤務先としてその企業名を登録しているユーザーが数多くヒットする。次に、別の人物(魅力的な異性やその企業に実在する人物)になりすましたアカウントを用意し、友達リクエストを送信する。ここで何人か引っかかってくれば、第一ステップは完了だ(図2)。

図2 SNSアプリケーション上での調査。ターゲット企業名で検索し、実名登録している社員ユーザーを洗い出し、友達リクエストを送信

 いったんSNSアプリケーション上で友達となってしまえば、あとは何度かたあいのないやりとりを行った上で、折を見てマルウェア本体をダウンロードさせるリンクに誘導する(または、SNSアプリケーション上で直接ファイルをメールで送信することも可能)。もし仮に、ターゲットのユーザーが会社のパソコンからもSNSアプリケーションを利用している場合、これで企業内ネットワークへの侵入が簡単に完了してしまう。

 対象ユーザーの自宅パソコンにマルウェアを感染させた場合でも、PC上から会社のメールアドレスリストを入手して、そのアドレス宛てにマルウェアをメール送信することで、ターゲット企業内の端末へと感染を広げることができる。

 企業内の端末に感染したマルウェアは、ユーザーに気付かれないように潜伏して動作しながら、C&C(Command and Control)と呼ばれる、攻撃者が用意した指令サーバとバックドア通信を行う。そして、PC上にある機密情報の収集、社内の他の端末への感染拡大、社内のアプリケーションサーバ上への攻撃用ツールのインストールなどを行う(図3)。そして収集した情報やツールを活用して、最終目標となるサーバに対して最終的な攻撃を仕掛けていくのである。

図3 感染した端末はインターネット上にあるC&Cサーバと秘密裡に交信し、内部ネットワークで感染を広げたり、情報を盗んで外部に送信する

 一連の侵入行動は、短いもので数週間、長いものでは数年という期間をかけて実行される。だが、実際に被害を受けたほとんどの企業では、最終的な攻撃を受けるまではこうした感染端末の“諜報活動”に気付いていなかったと思われる。

第3回へ
1/2

Index
企業を狙う標的型攻撃――その手口と抜本的な対策とは
Page1
日本企業も狙われた“標的型攻撃”
全方位型vs標的型
SNSアプリケーション、その恐るべき威力
  Page2
分の悪いイタチゴッコ
標的型攻撃への抜本的な対策は?
ソーシャルアプリ時代のセキュリティとは?


ソーシャルアプリ時代のセキュリティ 連載インデックス


Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Security & Trust 記事ランキング

本日 月間