愉快犯から経済犯あるいは政治犯へ、バラマキ型から標的型へ――。過去数年間の脅威の大きな変化を表現するとこうなるだろう。この変化の陰には、さまざまな攻撃手法が編み出され、防御する技術もさまざまに開発されてきている。
そうした中で現在注目を集めているのが、サンドボックスと呼ばれる技術だ。これは、クライアント端末に潜む、怪しいファイルを実際に稼働させて、その挙動からマルウェアかどうかを判定するというものだ。米FireEyeがその先駆者であり、競合他社も相次いで製品を市場に投入している。
同社の製品担当シニアバイスプレジデントManish Gupta氏に標的型攻撃の傾向や同社の技術などについて話を聞いた。Gupta氏はMcAfeeやCiscoを経て、昨年FireEyeに入社。20年以上セキュリティ業界に携わっている。
FireEye シニアバイスプレジデント Manish Gupta氏。2007年にMcAfee、2012年にCisco Systemsを経験している
日本企業は「侵入しやすい」「簡単に盗める」ことが知られる
――最近の脅威の動向はどのように変化しているのか。
ここ3年ほどで、サイバー攻撃は大きく様変わりしました。以前は“スプレー&プレイ”と呼ばれる攻撃が主流でした。これはスプレーのように100万件規模でウイルスメールをばらまき、そのうち1000台も感染すれば良いというものでした。こうした攻撃では、ウイルス対策やファイアウォール、IDS(不正侵入検知システム)/IPS(不正侵入防御システム)、メールセキュリティ、ウェブセキュリティなどといったシグネチャベースの対策で守ることができていました。
しかし最近は、政府機関や大企業など特定の標的を狙ってカスタマイズされた攻撃が行われます。限定した対象に特化した攻撃のため、従来のシグネチャベースでは、いくら費用をかけても対応できないのです。攻撃の状況は、FireEyeの1000以上のユーザー企業で3分に1台の割合で感染が発生しており、(侵入したコンピュータに指令を与える)C&Cサーバの設置が確認された国は184カ国と1年で41%増加しました。盗む対象があれば、業界を問わず攻撃が行われる状況です。
――日本企業を狙う脅威の状況に変化はあるのか。
日本はGDP(国内総生産)で世界第3位、6兆ドルという規模ですが、製造、金融、電子機器、建設、自動車などの業界があり、大半がナレッジベースの経済という独得な国です。そのため、例えば最新の自動車のデザインや技術といった情報を盗んで開発しようという攻撃がほとんどです。攻撃を受けていない業界はないというくらい、日本のナレッジが狙われています。
FireEyeのアプライアンスが検知した標的型攻撃の平均は45%ですが、日本は68%とひときわ高くなっています。3件に2件がAPT攻撃(持続的標的型攻撃)を受けていることになり、この2年で日本を標的とした攻撃の報道も非常に増えました。
日本に限らず、独自の言語を持つ国を攻撃する際には、これまではその国の言語に堪能な人材が必要でした。それが現在では「Google翻訳」などの進化から不要になりました。そしてそれよりも、日本は「侵入しやすい」「簡単に盗める」ことが攻撃者にわかってしまったんだと思います。
成功した攻撃手法をパッケージにして販売
――国という観点から攻撃する側に特徴はあるのか。
特徴のある国は少なくありません。例えば中国からの攻撃は洗練されていないが、量が多い。政府と業界のつながりが緊密であると思われることも特徴です。ロシアからの攻撃は、複雑で高度です。ステルス攻撃が多いこと、中国よりも金銭目的の攻撃が多いことも特徴です。イランからの攻撃は、レベルは高度ではないが、それを人的要素で補っています。そして、米国からの攻撃は最も先進的です。
特に認識しなければならないことは、サイバー攻撃が国の重要なツールとなっていることです。その目的は「他国が何をやっているのかを知るため」です。誰もが誰もを攻撃をしていると言っていいでしょう。東欧でも気になる動きがありますし、インド発の攻撃も出てきています。南アフリカも同様です。要するに、先進国であれ発展途上国であれ、サイバー攻撃が強い武器になっているのです。