経済的利益を獲得する手段としてのサイバー犯罪が増えている。その結果として、マスではなく、特定の個人や企業を狙う標的型攻撃が増えている。前編に引き続き、セキュリティ製品を提供する米FireEyeでシステムエンジニアを務めているAlex Lanstein氏に、最新の標的型攻撃の手法や対策など話を聞いた。

分業化が進むサイバー犯罪

――インフラ産業や重要情報を有する機関が標的型攻撃の対象となり、国家が当事者となった事例もあるというお話でした。こうした事例は日本でもあるのでしょうか？

　重要な情報を持っている会社や組織は標的になり得ます。日本は“モノ作り”の国ですから、何をどう作ればいいのかという情報を持っている企業は狙われる可能性が高いですね。サイバー犯罪者は、盗めるものなら盗んだ方がいいと考えています。情報を欲しがっている人は必ずいますからね。

　また、一定程度以上の規模の事業者も狙われます。国家単位にしても同様です。どこかの国が投資する際には重要な情報が必要になります。情報収集の手段として標的型攻撃を利用するケースは少なくありません。日本でも必ず起きていると思います。

――企業や国家が戦略上必要な情報を得たいときに、サイバー犯罪者に依頼するケースもあるのでしょうか？　依頼にあたっては仲介者が存在するのでしょうか。

　サイバー犯罪者の最近の傾向として、分業が進んでいることが挙げられます。多様な分野の企業に侵入して情報を盗む人や、情報を売る人、標的とする組織の脆弱性を見つける人など、役割が細分化されているのです。そういう人たちの存在は、なかなかつかめません。

　ただし、企業などから機密情報を盗み出すためには大量の資金が必要になります。判明していることは、人権が関わるものには国が資金を提供し、ビジネスに関わるものは企業が資金を提供しているということです。

――そういった標的型攻撃に対して、FireEye製品ではどのように組織を守るのでしょうか？

　スピアフィッシングを含む標的型攻撃はメジャーな手法です。対策として、FireEye製品はメッセージに添付されるファイルを独自の方法でチェックします。

　具体的には、製品の中でさまざまなバージョンの仮想マシンを複数立ち上げて、その上で添付ファイルを実行させて危険なものが入っていないかをチェックします。実際に実行することで、たとえばPDFファイルを開いただけなのにシステムにアクセスしたり、レジストリを書き換えたりするような、本来PDFファイルを開くだけでは行われないことを検知できます。

　また、メールの本文内にあるURLリンクへの対策ですが、URLリンクのあるメールはたくさんあります。そして、そのほとんどが「このサイトを参考に資料を作成してください」といった1回限りのリンクとなっており、分析が困難です。

　これらをすべて分析するのは大変なので、FireEye製品ではユーザーがクリックしたタイミングでリンク先のコンテンツをすべてチェックする仕組みになっています。特に、JavaやFlashなどといったPCの動作に影響を与える危険性のあるものをチェックするようにしています。

　添付ファイルを仮想マシンで実行させてチェックする機能が「EmailMPS（MPS：Malware Protection System）」、メール本文内にあるURLリンクをチェックする機能が「WebMPS」。このFireEye独自の2つの機能によって、標的型攻撃からユーザーを保護します。以前はWebMPSだけでしたが、2011年に新たにEmailMPSが追加されています。