その上で、5番目のプロセスとして、(マルウェアを操る)コマンド&コントロール(C&C)サーバを制御し、常に状況を把握できるようにします。
6番目では、起きているマルウェアを使い、ウイルスの権限を格上げします。こうして、データセンター内を移動し、脆弱性のあるマシンを攻撃していくのです。
7番目というよりは、どの段階でもしていることですが、C&Cサーバとの通信を確立しながら、マルウェアの痕跡を消します。
8番目。このあたりで、ユーザーが攻撃を検知するとします。実際には、FBI(米連邦捜査局)などの指摘で初めて感染に気づくようなケースも多いです。ユーザーはマルウェアを消去しにかかるでしょう。しかし、攻撃側は「なぜ検知されたのか」までしっかり把握しています。ここで、寝ていた方のマルウェアを起こすと同時に、第3のマルウェアを新たに仕込むのです。
綿密に計画されている
このプロセスを繰り返しながら、マルウェアはやがてネットワーク内において、クレジットカードなどの機密性の高い個人データにたどりつきます。マルウェアはここで、クレジットカード情報を奪い、それを何の変哲もない通常トラフィックに載せて自分の元に送ります。その上でまた、痕跡も消していきます。
とにかく言えることは、攻撃は綿密に計画されており、確実に人間がかかわっているということです。数カ月という単位で仕込んでいるケースも多いです。われわれの(ネットワーク仮想化ソフトウェアである)NSXは、こうしたプロセスを止めることを目的にしています。
攻撃者はなんとかして欲しい情報にアクセスしようとします。その意味で、あらゆるところにセキュリティ対策を施す必要があると言えるでしょう。
Casado氏はInterop Tokyo 2015の2日目となる6月11日、「クラウド時代の次世代ネットワーク&セキュリティの姿」をテーマに講演する。