編集部からのお知らせ
ZDNet Japanが新しくなりました!
New! 懸念高まる産業機器のセキュリティ

安易なサイバー攻撃の“犯人探し”はやめるべき--シスコが警鐘

ZDNet Japan Staff

2018-02-27 12:40

 2月に韓国で開催された平昌冬季五輪では、9日の開幕式の混乱を狙ったとされるサイバー攻撃の実行犯に関する“憶測”が飛び交う。国家組織の関与を指摘する声がある中、「Olympic Destroyer」マルウェアを解析した米Cisco Systemsは、「科学的な事実に基づかない憶測をすべきではない」と忠告している。

 平昌冬季五輪の開幕式では、システムに対するサイバー攻撃によって、公共Wi-Fiサービスの提供などに支障が発生。セキュリティ機関などによる解析では、マルウェアはスパイ目的ではなく大会の混乱を狙った可能性があるとされた。

 マルウェアプログラムの一部の特徴からこの攻撃が、北朝鮮との関係が疑われる「Lazarus」グループによるものとの指摘がある一方、米国メディアなどは、ドーピング疑惑から国としての出場が禁止されたロシアの政府機関が、北朝鮮になりすまして攻撃を実行した可能性を報じた

 CiscoのTalos Intelligence Groupは、Olympic Destroyerについて、Lazarusが過去の攻撃に用いたファイルとの類似性のほか、中国のサイバー攻撃組織とされる「APT3」「APT10」が用いる手法、さらには2017年6月に出現したマルウェア「Nyetya」(別名「NotPetya」など)の感染手法などとの共通性があると指摘する。

 しかしマルウェア作者は、開発効率や自身の身元が特定されるのを避ける目的で、過去に“成功”を収めたマルウェアのコードやファイル、攻撃手法を流用したり、容易に入手可能な攻撃ツールを利用したりする。このため同社は、それらの痕跡がサイバー攻撃の実行者を特定する“科学的な証拠”にはならないと指摘する。

 同社は、セキュリティインシデントのアナリストが、サイバー攻撃の戦術や手法、被害者の属性、攻撃インフラや侵害の指標、マルウェアサンプルに着目し、あくまで技術的な観点からインシデントの分析作業に当たると解説。攻撃者はアナリストをあざむく方法を駆使するため、サイバー攻撃の“真の犯人”を特定することは非常に難しいと説明する。

 それにもかかわらず、科学的な根拠にほとんど基づかない安易な“犯人捜し”は、攻撃の実態を追跡して対策を講じるサイバーセキュリティの目的を阻害しかねないと警鐘を鳴らしている。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

Special PR

特集

CIO

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]