文字サイズ
    ITジャーナリスト三上洋さんが、サイバー犯罪から身を守る術や情報流出対策などを解説します。

    知らぬ間に被害~標的型サイバー攻撃活発化

     標的型サイバー攻撃とは、日本年金機構などが被害を受けた、特定の企業を狙った侵入行為のこと。対策をかいくぐって忍び込み、新たな手法を取り入れて情報を盗み取ろうとする。企業だけでなく、個人も警戒したほうがいい。(ITジャーナリスト・三上洋)

    年金機構漏えいのあとも侵入活動は増加

    • 標的型サイバー攻撃には個人も警戒が必要(写真はイメージ)
      標的型サイバー攻撃には個人も警戒が必要(写真はイメージ)
    • 2015年日本国内の標的型サイバー攻撃関連の通信の検知数推移(トレンドマイクロによる)
      2015年日本国内の標的型サイバー攻撃関連の通信の検知数推移(トレンドマイクロによる)

     セキュリティー大手・トレンドマイクロが、5月10日に2015年の標的型サイバー攻撃の調査データをまとめた分析セミナーを開催した。

     標的型サイバー攻撃とは、メール経由などでウイルスに感染させ、特定の企業や団体の情報を盗み出そうとする攻撃のことだ。2015年6月に発生した日本年金機構の情報漏えい事件が代表例で、前後に30団体以上が同じような標的型サイバー攻撃の被害に遭った。

     トレンドマイクロが調査した2015年の標的型サイバー攻撃関連通信の検知数グラフがある。年金機構の事件前は減少傾向にあったが、9月以降は増えており、サイバー攻撃者は活発に活動していることがわかる。9月以降は情報漏えいの報道はあまり見当たらないが、実際には多くの企業が侵入され、情報を盗み出されている可能性が高い。

     それを裏付けるデータもある。トレンドマイクロがランダムに企業100社を調査したところ「企業のおよそ4社に1社は既に侵入されている」(セキュリティエバンジェリスト・岡本勝之氏)ことがわかったそうだ。つまり、すでに被害に遭っているのに、企業は気付いていない場合が多いのだ。

    • 企業の4社に1社は標的型サイバー攻撃に気付いていない(トレンドマイクロによる)
      企業の4社に1社は標的型サイバー攻撃に気付いていない(トレンドマイクロによる)

     企業が標的型サイバー攻撃に気付くまでの平均的な期間は、最初の侵入から約5か月(平均156日)もかかっているというデータもある(2015年1月から7月にトレンドマイクロが標的型攻撃対応支援サービスを行った事例から集計)。気づいた時には5か月もたっており、すでに情報は盗み取られていることになる。

    侵入手口・ツールは変幻自在

     なぜ企業は標的型サイバー攻撃に気付くことができないのだろうか。その理由の1つが、攻撃者が手法を常に新しくしていることにある。最新の侵入手口を取り入れ、対策に合わせて手法を変え、新たなツールも使ってくる。企業も対策を進めているが、それ以上に攻撃者はより早くより柔軟に手口を変えて攻撃している。

     2015年の標的型サイバー攻撃の傾向を、トレンドマイクロでは大きく4つにまとめている。

    ★2015年の標的型サイバー攻撃の傾向

    1:新たに発覚した脆弱性を即座に利用(侵入時)

    • 新たに発覚したゼロデイ脆弱性を即座に利用している(トレンドマイクロによる)
      新たに発覚したゼロデイ脆弱性を即座に利用している(トレンドマイクロによる)

     企業への侵入では、攻撃者は最新の脆弱(ぜいじゃく)性(弱点)を突いてくる。表は2015年7月に発覚したFlashの脆弱性の時系列だ。報道される前から攻撃に使われており、企業の担当者がよく見るサイトでウイルス感染させる「水飲み場攻撃」で使われていた。ゼロデイ脆弱性とは、対策がされていない弱点のことで、攻撃されるとウイルス感染(つまり侵入)される可能性が高い。犯人がいかにスピーディーに最新に脆弱性を取り入れてくるかよくわかるだろう。

    2:日本に設置される遠隔操作用サーバーが7月以降減少(侵入時)

     2015年6月の日本年金機構の漏えい事件では、国内企業のサーバーが乗っ取られて中継サーバーに利用されていた(遠隔操作で命令を出すためのC&Cサーバーが国内企業に置かれていた)。しかしこの件が大きく報道され、国内での対策も進んだこともあって、7月以降は国内の遠隔操作用サーバーが減っている。トレンドマイクロの岡本氏は「年金機構の事件発覚後に国内サーバーの監視強化が進んだために、犯人側も手口を変えてきていると思われる」としている。

    3:内部活動で新たな手口を確認(内部活動)

    • 標的型サイバー攻撃では「速攻型」「潜伏型」攻撃を使い分けている(トレンドマイクロによる)
      標的型サイバー攻撃では「速攻型」「潜伏型」攻撃を使い分けている(トレンドマイクロによる)

     侵入後の活動も変化している。管理者のアカウント情報などを抜き取るツールとして新しいもの(Quarks PwDump:クオークパワーダンプ)を使い始めている。また侵入したネットワークの情報を確認するActive Directory(アクティブディレクトリー)のツールも、新たにマイクロソフト社の管理者用正規ツール「DSQUERY」「CSVDE」を悪用。侵入後に攻撃者が行う調査パターンを変えることで、対策をくぐり抜ける効果もあるだろう。

    4:「速攻型」「潜伏型」攻撃の使い分けが鮮明に(内部活動)

     今までは特定の組織をじっくり狙う「潜伏型」が多かったが、「速攻型」の標的型サイバー攻撃も増えてきたとのこと。侵入後、数時間~1日程度の間に情報を盗み取るもので、トレンドマイクロでは、重要情報を盗み取るための事前調査なのではないかと推定している。攻撃目的に応じて最適な攻撃手法を選んでいる。

     このように攻撃者は手を替え品を替え、企業や団体を狙って侵入に成功している。柔軟に手法を変えることで、対策をくぐり抜けているのだ。トレンドマイクロの岡本氏は、標的型サイバー攻撃の本質を表すキーワードとして「継続・隠蔽・変化」の3つがあるとまとめた。

    企業だけでなく個人も狙われる?

    • 2015年の標的型サイバー攻撃傾向から考える対策ポイント(トレンドマイクロによる)
      2015年の標的型サイバー攻撃傾向から考える対策ポイント(トレンドマイクロによる)

     今後の予測として、岡本氏は「標的組織だけでなく、周辺にも攻撃が拡大するだろう」としている。たとえば下請けの業者、取引のある個人などもターゲットになる可能性がある。個人は関係がないように思うが、社員の個人アドレスから情報が漏れる、家族や知人などから侵入ルートを作るといった方法も考えられる。私たち個人も、標的型サイバー攻撃の足がかりに使われる可能性があるため注意が必要だ。

     岡本氏は標的型サイバー攻撃対策として、左のような「侵入時活動対策(脆弱性解消、メール対策、遮断)」「内部活動対策(社内通信監視、迅速対応)」が必要だとした。

     全体的な対策としては、1つの万全な対策は存在しないので、段階的に複数の対策をとる「多層防御」が必要であることが重要だ。また、新しい攻撃手口を把握することも大切になる。

     私たち個人ユーザーも、脆弱性解消のためにOS・ブラウザー・Flash・Javaなどを自動更新にして常に最新版にすること、セキュリティー対策ソフトを入れて更新すること、メールの添付ファイルはたとえ知人からであっても警戒することを頭に入れておきたい。

    【参考記事】

    34組織で年金機構と同じウイルス感染か:サイバー護身術

    年金機構流出:3度の判断ミスで流出拡大:サイバー護身術

    2016年05月13日 12時41分 Copyright © The Yomiuri Shimbun
    プロフィル
    三上洋   (みかみ・よう
     セキュリティ、ネット活用、スマートフォンが専門のITジャーナリスト。最先端のIT事情をわかりやすく解き明かす。テレビ、週刊誌などで、ネット事件やケータイ関連の事件についての解説やコメントを求められることも多い。
    おすすめ
    PR
    今週のPICK UP
    PR
    今週のPICK UP

    山へ行こう♪

    初心者も、ベテランも 準備はしっかりと