情報戦最前線「標的型攻撃」から組織と従業員を守る(前編)

吉澤亨史

2011-08-29 13:25

 過去10年、情報セキュリティ分野で以前と大きく異なる潮流があるとすれば、それは経済的利益を求める犯罪者が増えているという現実だ。自己表現のための犯罪、人が困っているところを見たいという愉快犯ではなく、誰にも気付かれずに最小のコストで最大のリターンを獲得したいという経済犯が手段としてITを活用する、というわけである。

 そうした犯罪者たちに活用されているのが、標的型攻撃だ。これは、誰にも気付かれずに最小のコストで最大のリターンを獲得したいという、彼らの意図そのものが、その行動パターンに反映されたものとも表現できる。

 標的型攻撃の実態がどういうものなのか、犯罪者たちは一体どんな手段で攻めようとしているのか――。ゼロデイ攻撃を未然に防ぐセキュリティ製品を開発する米FireEyeでシステムエンジニアを務めているAlex Lanstein氏に、最新の標的型攻撃の手法や対策などを聞いた。

外交官が標的に

――FireEyeとご自身の事業分野を教えてください。

 FireEyeの製品は、米国防総省や米連邦議会をはじめとする50から60の政府機関、金融・保険業、製造業、インターネットサービス、航空関連、訴訟関連、農業関連などで活用していただいています。私は米国の政府機関と共同で、標的型攻撃の対策を担当しています。

――標的型攻撃はどのように行われるのでしょうか。

 最近発生した4つの実例を紹介しましょう。1つめの実例は、科学者を標的にした攻撃です。カンファレンスに出席した科学者に、カンファレンスの記憶も生々しいタイミングで「あのカンファレンスでは、コーヒーを飲みながらお話をしましたね」といったメールが届きます。

 メールには「仕事を探しています。履歴書を添付しましたのでアドバイスをお願いします」といった内容で、PDFファイルが添付されていました。添付されたPDFファイルは一見すると何の問題もない履歴書なのですが、ファイルを開いた時点で、悪意のあるプログラムが裏で動作を始めていました。

 2つめの実例は学術分野、研究者を標的とした攻撃です。学者宛てに学術的な情報と自称するメールが送られてくるというもので、「参考文献」としてPDFファイルやWordファイルが添付されていました。このケースでも、添付ファイル自体が問題のあるコードを含んだファイルでした。

 3つめの実例は、米国と中国の外交官を標的にした攻撃でした。外交官宛てにいろいろなウェブメールサービスからメッセージが届いたというもので、やはりWord、Excel、PDFといった「“Weaponized(武装化した)”ドキュメント」が添付されており、見た目は問題ない普通のファイルながら、攻撃コードを含むものでした。

 4つめは、ミミック(なりすまし・偽装)メールです。米政権の高官たちに向けて、著名な知人の名前でフリーメールからメッセージが届いたのです。送信元はフリーメールではあるが知っている人からのメールで、内容もスパムではなくフォーマルな形のものでした。差出人や内容をみてもメールそのものには問題がなく、そのためセキュリティソフトのレピュテーション(評価)機能もすり抜けます。しかし、このメールが攻撃の第一歩となるのです。

 この4つの例はメールの添付ファイルによるものですが、メールの本文内のURLリンクをクリックさせる手法もあります。リンクをクリックすると、ウェブブラウザのプラグインの脆弱性を突くコードを含んだ、悪意のあるウェブサイトに誘導されます。

 添付ファイルを開くには心理的なハードルがありますが、ウェブページへのリンクなら「開いて怪しければ閉じればいい」など心理的なハードルが低いため、この手法も用いられます。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]