過去10年、情報セキュリティ分野で以前と大きく異なる潮流があるとすれば、それは経済的利益を求める犯罪者が増えているという現実だ。自己表現のための犯罪、人が困っているところを見たいという愉快犯ではなく、誰にも気付かれずに最小のコストで最大のリターンを獲得したいという経済犯が手段としてITを活用する、というわけである。
そうした犯罪者たちに活用されているのが、標的型攻撃だ。これは、誰にも気付かれずに最小のコストで最大のリターンを獲得したいという、彼らの意図そのものが、その行動パターンに反映されたものとも表現できる。
標的型攻撃の実態がどういうものなのか、犯罪者たちは一体どんな手段で攻めようとしているのか――。ゼロデイ攻撃を未然に防ぐセキュリティ製品を開発する米FireEyeでシステムエンジニアを務めているAlex Lanstein氏に、最新の標的型攻撃の手法や対策などを聞いた。
外交官が標的に
――FireEyeとご自身の事業分野を教えてください。
FireEyeの製品は、米国防総省や米連邦議会をはじめとする50から60の政府機関、金融・保険業、製造業、インターネットサービス、航空関連、訴訟関連、農業関連などで活用していただいています。私は米国の政府機関と共同で、標的型攻撃の対策を担当しています。
――標的型攻撃はどのように行われるのでしょうか。
最近発生した4つの実例を紹介しましょう。1つめの実例は、科学者を標的にした攻撃です。カンファレンスに出席した科学者に、カンファレンスの記憶も生々しいタイミングで「あのカンファレンスでは、コーヒーを飲みながらお話をしましたね」といったメールが届きます。
メールには「仕事を探しています。履歴書を添付しましたのでアドバイスをお願いします」といった内容で、PDFファイルが添付されていました。添付されたPDFファイルは一見すると何の問題もない履歴書なのですが、ファイルを開いた時点で、悪意のあるプログラムが裏で動作を始めていました。
2つめの実例は学術分野、研究者を標的とした攻撃です。学者宛てに学術的な情報と自称するメールが送られてくるというもので、「参考文献」としてPDFファイルやWordファイルが添付されていました。このケースでも、添付ファイル自体が問題のあるコードを含んだファイルでした。
3つめの実例は、米国と中国の外交官を標的にした攻撃でした。外交官宛てにいろいろなウェブメールサービスからメッセージが届いたというもので、やはりWord、Excel、PDFといった「“Weaponized(武装化した)”ドキュメント」が添付されており、見た目は問題ない普通のファイルながら、攻撃コードを含むものでした。
4つめは、ミミック(なりすまし・偽装)メールです。米政権の高官たちに向けて、著名な知人の名前でフリーメールからメッセージが届いたのです。送信元はフリーメールではあるが知っている人からのメールで、内容もスパムではなくフォーマルな形のものでした。差出人や内容をみてもメールそのものには問題がなく、そのためセキュリティソフトのレピュテーション(評価)機能もすり抜けます。しかし、このメールが攻撃の第一歩となるのです。
この4つの例はメールの添付ファイルによるものですが、メールの本文内のURLリンクをクリックさせる手法もあります。リンクをクリックすると、ウェブブラウザのプラグインの脆弱性を突くコードを含んだ、悪意のあるウェブサイトに誘導されます。
添付ファイルを開くには心理的なハードルがありますが、ウェブページへのリンクなら「開いて怪しければ閉じればいい」など心理的なハードルが低いため、この手法も用いられます。