人脈情報はSNSで入手
――最近確認された新しい手法はありますか?
攻撃対象者を特定し、攻撃手法をカスタマイズしたスピアフィッシングが標的型攻撃の99%を占めています。残りの1%にあたるもので最近確認された手法には、人間を使った攻撃があります。
例えば、人を雇って対象の機器にUSBメモリを挿入しに行かせるというものです。もちろん、USBメモリにはマルウェアが仕込まれています。あるいは、ハードウェアレベルでバックドアを仕込んだ製品を業者に納品させるというものもあります。これらは件数としては非常に少ないですが、新たに確認された手法です。
――それは、納入事業者ぐるみで攻撃が行われるということですか?
ノートPCやルータ、スイッチといった機器を扱っている販売代理店はたくさんあります。そのひとつにサイバー犯罪者が投資し、バックドアを仕込んだハードウェア製品を安く提供させるわけです。
標的とする企業や組織がその代理店を選び、うまくバックドアを潜り込ませられれば、サイバー犯罪者は大きなリターンを得られます。サイバー犯罪者にとっては少額で有意義な投資になるのです。米国で確認された実例ですが、件数は非常に少ないです。
――スピアフィッシングは知り合いからメールが来るわけですが、サイバー犯罪者は標的となる人物の知り合いに関する情報をどうやって入手しているのでしょうか。
人脈などについて情報を得るには、さまざまな方法があります。LinkedInやFacebookといったSNSを活用しますし、カンファレンスのリストを入手するといったものもあります。もちろん、ウェブベースの検索でも人脈情報を入手できます。
珍しいところでは、標的の周囲にいる複数の人間が持つPCをまず攻撃し、その情報の中から交友関係や相関図を作成するという、手の込んだ方法も確認されています。
弁護士事務所も攻撃の対象に
――業界別で発生した特徴的な標的型攻撃があれば教えてください。
最近のものでは、5つの実例があります。ひとつは、無料メールや無料ウェブホスティングが攻撃された例です。この会社は標的型攻撃によって管理者のパスワードを盗まれ、サービスを利用しているユーザーのメールを自由に閲覧されてしまいました。
2つめは、ネットワーク機器を開発する会社が攻撃を受け、ASIC(特定用途向けIC)の設計図を盗まれました。この事件の目的は2つあり、ひとつは競合するメーカーがASICの設計情報を盗み、自社で作って売るというもの。もうひとつは、ハードウェアバックドアを仕込むための事前情報として設計図を入手するというものでした。
3つめは、石油や天然ガスなどエネルギー企業への攻撃です。これは事業の入札の際に、競合相手が入札する情報を事前に盗み、より有利な条件で入札に臨もうとしたものでした。ここ2カ月以内にあった事例で、攻撃元はわかりませんが、米国やカナダの石油会社が攻撃を受けました。
4つめは、弁護士事務所への攻撃です。これも2つの狙いがあり、ひとつはM&Aの情報でした。企業買収をあらかじめ知って、株の売買で儲けようとするものでした。もうひとつは国同士の駆け引き。自国民が他国で犯罪に巻き込まれたときの裁判で、国が情報を入手し、対策を考えるというものでした。
5つ目は経済会議です。会議で海外からスピーカーを招く場合に、そのスピーカーのPCを攻撃し、プレゼンテーションの情報を盗み出します。プレゼンの内容に自国にとって不具合な情報があった場合には内容を改ざんするわけです。メッセージをコントロールするプロバカンダといえるでしょう。
FireEyeでは、サイバー攻撃を受けた顧客のデータを分析することで、いろいろな情報が入ってきます。ボットに代表されるマルウェアの動きとして、コマンド&コントロール(C&C)サーバと通信するという特徴があります。その通信を詳細に調査することで、他のケースや他の顧客への攻撃も判明します。それを該当する顧客に伝え、さらに調査することで詳細が明らかになってくるのです。
(後編は8月30日に掲載予定です)
Keep up with ZDNet Japan
ZDNet JapanはFacebookページ、Twitter、RSS、Newsletter(メールマガジン)でも情報を配信しています。現在閲覧中の記事は、画面下部の「Meebo Bar」を通じてソーシャルメディアで共有できます。東日本大震災の情報は、特設サイト「ZDNet Japan after 3.11」にまとめています。