特定の企業・組織を狙った標的型攻撃の問題が深刻化している。その特徴は、既存のセキュリティ対策をすり抜け、社内の機密情報を盗み取るところにある。マクニカネットワークスは、最新技術の仮想実行エンジンを用いて標的型攻撃を検知するセキュリティ機器「FireEye」を提供。未知の攻撃を可視化し、適切な防御策を支援する。
国家や企業の機密情報がハッカーに窃取されるサイバー事件が相次いでいる。これらの企業や官公庁などでは、従来必要とされてきたセキュリティ対策を講じていたにもかかわらず、攻撃を受け、被害に遭った。
その背景には、攻撃の目的が以前と様変わりしている点がある。近年は窃取した機密情報や個人情報を長期にわたって計画的に盗み出すスパイ活動など、明確な目的を持って特定の企業・組織を狙う標的型攻撃が増えているのだ。
その手口の一つが、実在する組織名を詐称し、企業の役員などに不正プログラム(マルウエア)を埋め込んだ添付ファイルをメールで送り付けたり、悪意のあるWebサイトに誘導したりしてユーザーのPCをマルウエア感染させる方法だ。
対策に限界のある
ブラックリスト方式
図1 既存セキュリティ対策をすり抜ける標的型攻撃 標的型攻撃は、対象となる企業ごとに攻撃の手口を変えたり、未知の攻撃を仕掛けたりする。攻撃が限定的で通信量から異常を検知しにくいといった特徴がある。そのため、大量のパケットを送り付けてシステムをダウンさせるDoS攻撃や、パターンマッチングで防御する既知のマルウエア対策などと異なり、既存のセキュリティ対策では標的型攻撃を防御するのは困難である。拡大画像表示
「標的型攻撃が厄介なのは、攻撃の手口が巧妙化しており、既存のセキュリティ対策をすり抜けてくることです。そのため、従来のブラックリストやホワイトリストに準拠する対策では防御し切れないのが実情です」とマクニカネットワークスの高橋悠介氏は指摘する(図1)。
標的型攻撃の最大の特徴は、企業・組織ごとに手口を変え、固有の脆弱性を突いて攻撃を仕掛けてくることだ。攻撃が限定的で異常が検知されにくく、攻撃パターンも一定でないことから、セキュリティベンダーが配布するパターンファイルなどでは対策が間に合わず、標的にされた企業は被害に遭いやすい。
マクニカネットワークス第4営業統括部 第1部 第3課
高橋悠介氏
つまり、パターンマッチングなどで防御するブラックリスト方式は、標的型攻撃に関して限界があるのだ。では、適正なメールアドレスやWebサイト、アプリケーションを登録してアクセスを許可するホワイトリスト方式の対策ではどうか。「ホワイトリスト方式の対策は確かに有効ですが、すべての適正なアクセスをホワイトリスト化する運用は、現実には困難である場合が多いです」(高橋氏)。
標的型攻撃の一例を紹介しよう。ある企業で会議資料をメールに添付して部署内のメンバーに配布したとする。その直後、上司をかたった攻撃者からマルウエアを埋め込んだ「会議の追加資料」がメールで届けられ、その添付ファイルを開いたメンバーのPCが感染してしまう。見ず知らずの発信元からのメールは疑ってかかるが、このように上司などを詐称され、業務に関係する件名のメールであれば当然開かざるを得ない。
また、標的型攻撃の場合、いっせいに感染を拡散させるウイルス感染などとは異なり、マルウエアを使って社内の機密情報を密かに盗み出していく手口が多い。つまり、機密情報を窃取されてもなかなか気付くことができないことに、標的型攻撃の深刻さがあるのだ。
