安易なサイバー攻撃の“犯人探し”はやめるべき--シスコが警鐘

ZDNET Japan Staff

2018-02-27 12:40

 2月に韓国で開催された平昌冬季五輪では、9日の開幕式の混乱を狙ったとされるサイバー攻撃の実行犯に関する“憶測”が飛び交う。国家組織の関与を指摘する声がある中、「Olympic Destroyer」マルウェアを解析した米Cisco Systemsは、「科学的な事実に基づかない憶測をすべきではない」と忠告している。

 平昌冬季五輪の開幕式では、システムに対するサイバー攻撃によって、公共Wi-Fiサービスの提供などに支障が発生。セキュリティ機関などによる解析では、マルウェアはスパイ目的ではなく大会の混乱を狙った可能性があるとされた。

 マルウェアプログラムの一部の特徴からこの攻撃が、北朝鮮との関係が疑われる「Lazarus」グループによるものとの指摘がある一方、米国メディアなどは、ドーピング疑惑から国としての出場が禁止されたロシアの政府機関が、北朝鮮になりすまして攻撃を実行した可能性を報じた

 CiscoのTalos Intelligence Groupは、Olympic Destroyerについて、Lazarusが過去の攻撃に用いたファイルとの類似性のほか、中国のサイバー攻撃組織とされる「APT3」「APT10」が用いる手法、さらには2017年6月に出現したマルウェア「Nyetya」(別名「NotPetya」など)の感染手法などとの共通性があると指摘する。

 しかしマルウェア作者は、開発効率や自身の身元が特定されるのを避ける目的で、過去に“成功”を収めたマルウェアのコードやファイル、攻撃手法を流用したり、容易に入手可能な攻撃ツールを利用したりする。このため同社は、それらの痕跡がサイバー攻撃の実行者を特定する“科学的な証拠”にはならないと指摘する。

 同社は、セキュリティインシデントのアナリストが、サイバー攻撃の戦術や手法、被害者の属性、攻撃インフラや侵害の指標、マルウェアサンプルに着目し、あくまで技術的な観点からインシデントの分析作業に当たると解説。攻撃者はアナリストをあざむく方法を駆使するため、サイバー攻撃の“真の犯人”を特定することは非常に難しいと説明する。

 それにもかかわらず、科学的な根拠にほとんど基づかない安易な“犯人捜し”は、攻撃の実態を追跡して対策を講じるサイバーセキュリティの目的を阻害しかねないと警鐘を鳴らしている。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    従来型のセキュリティでは太刀打ちできない「生成AIによるサイバー攻撃」撃退法のススメ

  2. セキュリティ

    マンガでわかる脆弱性“診断”と脆弱性“管理”の違い--セキュリティ体制の強化に脆弱性管理ツールの活用

  3. セキュリティ

    クラウドセキュリティ管理導入による投資収益率(ROI)は264%--米フォレスター調査レポート

  4. セキュリティ

    Microsoft Copilot for Security--DXをまい進する三井物産が選んだ理由

  5. セキュリティ

    情報セキュリティに対する懸念を解消、「ISMS認証」取得の検討から審査当日までのTo Doリスト

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]