サイバー攻撃の“ゲームチェンジャー”
ZDNet Japanは2月22日にサイバー攻撃をテーマにしたイベント「ZDNet Japan セキュリティフォーラム」(来場事前登録を受付中)を開催する。
開催を来週に控え、シマンテック総合研究所 代表取締役社長の山内正氏にサイバー攻撃の動向について聞いた。同社は官公庁や国防関連企業向けにセキュリティ情報を提供している。官公庁や国防・公共インフラ関連企業がサイバー攻撃によって相次いで被害を受けるなど、ここにきてサイバー攻撃の脅威が増しているが、最近では従来と異なる兆候も目立つようになってきた。
山内氏はこう指摘する。
シマンテック総合研究所 代表取締役社長の山内正氏
「クラウドコンピューティングやスマートデバイス、ソーシャルネットワークの普及と拡大にともなって、サイバー空間は巨大化、複雑化した。そこでの攻撃や脅威も急速に進化、多様化している状況にある」
こうした傾向を示す端的な例としては、2010年に発見されたStuxnetが挙げられる。ご存知の通りStuxnetは、遠心分離機などのモーターの制御システム(周波数変換)プログラムを書き換え、異常な操作を引き起こすマルウェアだ。イランの核施設での実験を妨害する目的で作成されたといわれており、その目的に加え、制御システムに特化した新しいマルウェアであったことも大きな話題となった。
だが、それら以外の点でも最近のサイバー攻撃の特徴を示す点が多々見つかっている。まず、4件ものゼロデイ脆弱性を利用していた点だ。ゼロデイ脆弱性はパターンファイルで検知できない新しい脆弱性と言えるが、実際に新しい脆弱性を発見することはけっして容易なことではない。Stuxnetの場合、それらを複数発見し、しかも同時に攻撃に利用していた。また、デジタル署名を詐取している点も特徴的だった。デジタル署名は台湾企業2社のものであり、実際の攻撃に先んじて、これら企業をあらかじめ攻撃してデジタル署名を盗んでいたことになる。
「Stuxnetは、重要公共インフラをターゲットにして、それに特化したマルウェアを開発し、巧妙に執拗に攻撃するという点で、従来とは明確に異なるタイプのマルウェアだった。まさに“ゲームチェンジャー”と言える」(山内氏)
脅威を知るための5つの動向
山内氏によると、近年の脅威の動向を知るには、大きく5つの観点があるという。
1つは、Stuxnetに代表されるような標的型攻撃が進化と拡大を続けているということ。シマンテックの調査(シマンテックインテリジェンスレポート)によると、標的型攻撃の件数は、2005年は週1件だったものが、2006年は日に1〜2件、2010年は日に60件、2011年は日に80件と急速に伸びている。また、対象も政府機関や大企業にとどまらず、中小企業にも及びはじめている。2011年11月度の調査では、従業員2500名以上の大企業を対象にした攻撃件数が日に36.7件だったのに対し、従業員250名以下の中小企業への攻撃も日に11.6件に達した。
2つ目は、ハッカーらが情報収集や攻撃手段として、ソーシャルメディアを利用するようになっていること。例えば、標的型攻撃を仕掛ける際に、SNSのプロファイル情報からターゲットとなる人物の行動を把握したり、友人をよそおってフィッシングメールやニュースフィードを送ったりする。実際に、ある国の諜報機関の担当者の行動が、担当者の子息が使っていたSNSから漏れてしまった例もあるという。
3つ目は、ゼロデイ脆弱性とルートキットが広く利用されるようになり、脅威がより見えにくくなったこと。攻撃自体も、ボットネットに感染したコンピュータから行われるため、攻撃元を特定しにくくなっている。ルートキットとしては「Tidserv」「Mebratix」「Mebroot」が主流で、ボットネットに感染したコンピュータの50%が米国に存在しているという。
4つ目は攻撃キットが強力になったこと。これは脆弱性を悪用するためのキット(ツールキット)で、それらを使えば脆弱性をつくマルウェアの亜種を比較的に容易に作成することができる。
そして、5つ目は、モバイルへの脅威が増していることだ。モバイルデバイスに関する脆弱性は2009年に115件だったものが2010年には163件になるなど、標的として狙われやすくなっている。
「これらは、ITの世界で起きているトレンドとも深く関係している。クラウド、データ急増、モバイルなどをメガトレンドと呼んでいるが、サイバー攻撃者もまた、これらメガトレンドを利用して攻撃を仕掛けるようになっている」(山内氏)
