Skip to content

セキュリティマガジン TREND PARK

2つの事例からみる標的型サイバー攻撃の脅威

計画的に行われる攻撃方法の実態に迫る


緻密に計画された攻撃手法

持続的標的型攻撃における攻撃活動は、それぞれが特定の目的を持って計画的に実行されます。「Luckycat」と「IXESHE」にも、それぞれが目的を達成するために綿密に計画されていることがうかがわれる固有の特徴が見られました。

「Luckycat」では、攻撃インフラとしてさまざまなドメイン名やIPアドレスを持つ無料のWebホスティングサービスが利用されていました。これは、一連の攻撃活動をさまざまな環境から実行し、攻撃の全貌をつかむのを困難にするのが狙いと考えられます。また、攻撃者は仮想専用サーバ(VPS)環境を用意し、何らかの理由で無料のWebホスティングサービス上で運営するC&Cサーバを閉鎖に追い込まれても、攻撃活動を引き継げる体制を構築していたことがわかります。また、攻撃者はWeb利用時の通信経路の特定を困難にするツールも利用しており、素性や所在を不明瞭にするための運用手順を用意していたと考えられます。

一方、「IXESHE」では企業や組織のネットワーク内部にあるコンピュータを不正プログラムに感染させて乗っ取り、そのコンピュータを他の感染したコンピュータに不正な指令を送るC&Cサーバ(コマンド&コントロールサーバ)として機能させていたのが大きな特徴です。一般的な攻撃では、標的のネットワーク外部にC&Cサーバを置き、そこから感染マシンに指令を送りますが、標的の組織ネットワーク内の感染マシンを"内部C&Cサーバ"とすることで、不正な通信を通常業務の通信に紛れ込ませると共に、外部との通信を最小限に抑え、ターゲットに感染を気づかせにくくしています。さらに、通信を中継する仕組みを使用することで外部のC&Cサーバの位置情報を隠蔽するテクニックが利用されていたこともわかりました。

「Luckycat」や「IXESHE」をはじめとする持続的標的型攻撃では、真のターゲットや目的を把握することは極めて困難です。これらの攻撃活動では、高度な技術が使われ、体系だてられた複雑なプロセスが運用されています。このため、愉快犯が単独で攻撃を仕掛けているとは考えにくく、高度なスキルを保有する犯罪者による犯行であることが伺い知れます。

攻撃の"標的"や"踏み台"にならないために―標的型サイバー攻撃から情報資産を守る

「自分の会社は犯罪組織に狙われるような情報を保有していないし、攻撃のターゲットにはなりえない」と考える方もいるかもしれません。しかし、持続的標的型攻撃で狙われるのは軍事産業に関わる組織や、政府組織、機密情報を多く取り扱う企業だけに限りません。そうした企業・組織と取引があるというだけで標的になる可能性も否定できません。真のターゲットの周辺から情報を盗み、それを足がかりにしてより大規模な攻撃を仕掛けることも考えられるためです。つまり、機密情報を盗まれる被害者となるだけでなく、取引先などへの攻撃に加担してしまう可能性もあるのです。

このような持続的標的型攻撃の被害にあわないために、どのように対策を講じればよいのでしょうか?セキュリティ対策は企業にとってコストなどの負担も大きく、万全の対策を行うことは必ずしも現実的でないかもしれません。重要なのは、「完璧な対策を導入する」ことではなく、守るべき資産が何なのかをまずきちんと整理・把握し、それを守るために「セキュリティがどうあるべきか」を考えることです。守るべき資産の優先度を整理することで、それを守るために最低限必要なセキュリティは何なのか、どれだけのコストをかけるべきか、も整理しやすくなります。「リスク」と「コスト」のバランスをとりながら、各組織でリスクを最小限にする努力が必要なのです。

外部からの攻撃・侵入を防ぐ、出て行くべきではない外部への通信・漏えいを防ぐ、といった従来からの対策も重要です。その中でも、前述のようなアプリケーションの脆弱性を悪用するような攻撃から守るために、最新のセキュリティパッチ、アップデートを適用する、それができない場合には補完するようなセキュリティ対策を導入する、などが効果的です。また、標的型攻撃のような攻撃に対しては、通信を監視することで不正な活動や攻撃をいち早く察知し、対処を可能にするような対策が特に効果的、かつ重要になります。

図2: 標的型サイバー攻撃から企業の資産を守るために

ここまで見てきたように、持続的標的型攻撃では目的を達成するために緻密に計画された執拗な手法がとられています。外部に漏えいさせてはならない機密情報を扱っていれるすべての企業が攻撃のターゲットになる可能性があります。さらに、攻撃のターゲットとなっている組織が別の大規模な攻撃を仕掛けるために、いわゆる"踏み台"として利用されることも考えられます。外部に漏えいさせてはならない機密情報を扱っていれるすべての企業が攻撃のターゲットになる可能性があるのです。持続的標的型攻撃に対抗するために万全のセキュリティを実装することは、コストやリソースの観点からも難しい面があるかもしれません。価値の高い情報と、それが漏えいするリスクを把握した上でセキュリティ要件を固め、実情に合わせた対策を講じることをおすすめします。

記事公開日 : 2012.06.29

ページの先頭へ