特定の企業・組織に狙いを定め、情報窃取のための執拗な攻撃を繰り返す標的型サイバー攻撃──。ここ数年来、その脅威に対する警鐘がさかんに鳴らされてきたが、攻撃による被害報告は後を絶たない。なぜ、標的型サイバー攻撃を防ぐことができないのか。また、どうして大量の重要情報を窃取されてしまうのか。問題の本質を改めて考察する。
組織のおよそ9割が攻撃に気づけない
標的型サイバー攻撃に沈静化の兆しは見えていない。今年(2016年)3月の警察庁の発表によれば、昨年一年間に報告を受けた標的型メール攻撃は3,828件と過去最多に達したという(図1参照)。この数値からは、標的型サイバー攻撃の増大という傾向と併せて、企業・組織の意識の高まりも読み取れる。
昨年、日本年金機構の事件をはじめ、標的型サイバー攻撃による深刻な被害が相次いで明るみになった。それに警戒感を強めた企業・組織が標的型サイバー攻撃に対する捜査・監視を強化させ、その施策の奏功によって警察庁への報告件数が押し上げられたと推測できる。ただし一方で、トレンドマイクロの調査からは、こうして報告された事案も「氷山の一角に過ぎない」との可能性が浮かび上がる。同社の調査が、標的型サイバー攻撃に気づくことの難しさを端的に示しているからだ。
図1:標的型サイバー攻撃の動向
資料:「平成27年におけるサイバー空間をめぐる脅威の情勢について」(警察庁)
※クリックすると拡大画像が見られます
標的型サイバー攻撃は、いったん侵入に成功すると組織内のネットワークに潜伏し、機密情報や個人情報といった重要情報を窃取するための「内部活動」を始める。この段階では、感染端末上の不正プログラムが、攻撃者からの指令に基づきながらバックドアの設置や重要サーバの調査、乗っ取りを進めていく。また、この活動を通じて管理者権限を奪取した攻撃者は、正規のツールやコマンドを用いながら重要情報に忍びよる。ゆえに、1つ1つのログを個別に見ても、それが不正な動きであるとはなかなか判断できない。しかも、攻撃者は侵入先で目的を果たすと不正操作の痕跡をすべて消去してしまう。
こうしたことから、攻撃を受けている側は攻撃の存在になかなか気づけず、外部からの指摘、つまり実害が表面化する事によって被害に気づくことが少なくない。
実際、昨年1月~7月にトレンドマイクロに調査を依頼したケースの86%が外部からの指摘により発覚したものだったという。要するに、被害組織のおよそ9割が攻撃を受けていたことすら自身で気づけなかったわけだ(昨年1~7月にトレンドマイクロが標的型攻撃対応支援サービスを行った事例から集計)。
また、企業・組織が標的型サイバー攻撃による被害に気づくのは、最初の侵入から「5カ月(平均156日)」もの期間が経過したあとという(同上調査)。
このような「気づけない攻撃」は、情報の守り手である企業・組織のIT部門にとってきわめて深刻な脅威だ。
攻撃を受けているかどうかが見えない以上、攻撃に対処することはできない。また、経営・ビジネス部門から「我が社には(標的型サイバー攻撃による)情報漏えいリスクはないのか」と問われても明確な答えを出すことができないだろう。また、IT部門自身も常に「攻撃者の侵入を許しているのではないか」、「気づかぬうちに、情報が窃取されているのではないか」という不安にさいなまれることになる。もちろん、そうした不安を解消するには、何らかの施策を講じなければならない。
およそ4社に1社がすでに脅威に侵入されている
さらにこんなデータもある。トレンドマイクロの調べによれば、同社のネットワーク監視サービスを利用する顧客のおよそ「4社に1社」において標的型サイバー攻撃で使用される不正通信(RAT通信)が確認されているというのだ(図2参照)。
図2:およそ4社に1社で不審な通信を確認
※上図データは、昨年1月~12月の期間にトレンドマイクロがネットワーク監視サービスを行った事例から無作為に抽出した各100件を調査した結果このような状況は、標的型サイバー攻撃の侵入を水際で防ぐことの難しさを示すものでもある。
標的型サイバー攻撃では、攻撃の初期段階でメール(標的型メール)がよく用いられる。つまり、不正なプログラムを添付したメールや不正サイトへのリンクを記載したメールを標的組織の従業者に送りつけ、開封した従業者のPCを攻撃用サーバ(C&Cサーバ)と通信させたり、攻撃者による遠隔操作が可能な状態にしたりするわけだ。
この攻撃の手口はすでに周知と言え、標的型メールが通常のメールフィルタリングの網にかかりにくいこともまた、広く知られている。そのため、多くの企業・組織が、「不審なメールに添付されているファイルは絶対に開かない」といったセキュリティルールを敷き、その順守を徹底させようとしている。
ところが、近年の標的型メールは標的組織の関係者や顧客を巧みに装ったかたちで送られてくる。なかには、従業者から怪しまれないよう、メールを幾度かやり取りし、信用させたうえで不正プログラムを送りつけてくるものもある。そのため、「不審なメール」か否かを見極める難度は高く、従業員教育やセキュリティルールだけで、社内の誰かが標的型メールのワナにかかるリスクを"ゼロ"にするのは困難だ。
また、いわゆる「水飲み場攻撃」において正規サイトが悪用されるケースも増えている。この手口は、正規のサイトを改ざんして不正プログラムを仕込み、標的組織の従業者をそこに誘導して感染させるというものである。しかも、「悪意のある不正サイトのドメインの60%は1時間以内で変化する」という(昨年6月~7月トレンドマイクロ調べ)。このような状況下では、ブラックリストを使ったURLフィルタリングのみで不正サイトに対する通信を完璧にブロックすることは難しい。
