1. 情報セキュリティブログ ホーム
  2. 月イチIT総括
  3. 標的型攻撃の脅威と対策について

標的型攻撃の脅威と対策について

SQLインジェクション」、「DNSキャッシュ・ポイズニング」「USBウイルス」などと並んで、2008年に情報セキュリティ上の脅威として注目を集めたキーワードに「標的型攻撃」がある。

この「標的型攻撃」の最新事情と対策について興味深い記事があったので引用したい。

標的型攻撃に備えよ! ただし抜本対策は見つからず(前編) (1/2)(ITmedia)
標的型攻撃に備えよ! ただし抜本対策は見つからず(後編) (2/2)(ITmedia)


標的型攻撃とは

標的型攻撃は、「スピア(spear=槍)型攻撃」、あるいは「スピア・フィッシング」などと称され、2005年頃より見受けられるようになった攻撃手法だ。

従来、フィッシング目的のスパムマルウエアが添付されたメールは、不特定多数の相手に送られるケースがほとんどであったのに対し、標的型攻撃は特定の企業や組織に向け、文面や送信者名を“カスタマイズ”したメールを送りつけ金銭を不正に奪い取ろうとする。

記事によると、2009年はマルウエアのさらなる巧妙化とともに、計画的で大規模な標的型攻撃が増加すると予測されている。だが、その手法や目的などが十分に分析されておらず、今はまだ有効な対策が講じられていないという。

2008年12月16日に、 JPCERTコーディネーションセンター(JPCERT/CC)ほか4団体が共同で開催した「SecurityDay2008」では、標的型攻撃の脅威の実態の報告と、技術面および運用面における対策がいくつか検討された。標的型攻撃はマルウエアによるカネになる情報やデータの略取・改変などが目的と考えられ、情報資産略取の裏ビジネスが成立しているというのだ。


ボットを使った攻撃の質的変化

さらに、記事によると、ボットの出現により不正行為は大規模かつ広域なものに質的変化を遂げたということである。

(1)単なるマルウエアの感染拡大から、システムを乗っ取り、遠隔地から金銭にまつわる情報詐取を狙ったものに変化
(2)ネットワークを標的にしたものから、アプリケーションソフトを標的にしたものに変化

高橋氏は、「従来のマルウエアは感染の拡大自体が脅威で、情報を盗まれるといった被害はむしろ副作用。被害を拡大するための大量のトラフィックによってすぐに感染が判明していたが、2006年以降のマルウエアはスパイ行為や工作活動などを明確な目的に据えて、遠隔操作で更新・変更が行われるように変化した」と説明する。

また、(2)についてはメールに添付された文書ファイルにマルウエアが仕込まれ、感染後、ダウンロードを繰り返すことで形態を変え、発見されにくくする挙動について以下のように言及されている。

標的型攻撃のシーケンスパターン(編集部注:データのやり取りの順番の特徴のこと)としては、まずWordファイルを開くとシェルコードが動き、攻撃用コードを削除し新たなドキュメントファイルを作る。また、インジェクション(編集部注:挿入すること)をかけてプログラムをダウンロードして実行し、キーロギング(編集部注:キー入力内容を記録すること)を行って情報を外部に送信するという流れだ。ダウンロードを繰り返すことで常に同じ動きをするとは限らないという点が厄介である。

このように、標的型攻撃はマルウエアの進歩によって感染後の発見が困難であることや、ルーターファイアウォールなどによって侵入を検知することが難しい点が問題として指摘されている。


民間企業がターゲットに

ターゲットとなる組織に特有の言い回しをメール本文に使うなどして発見、解析を困難にしているのが標的型攻撃の特徴であるが、メールに添付されたマルウエアも進化している。

(1)従来のマルウエアと異なり、拡散する機能はなく、感染を知られることなく常駐する
(2)遠隔地から命令を受け取り、様々な情報収集を不正に行う

収集する情報は、感染したPCのプロセス名リストや起動中のウインドウ名、OSのバージョン、キーボードの入力内容などファイルの内容からキー入力まで多岐にわたるという。

そして、民間企業をターゲットにした標的型攻撃が増えてきているということだ。

対策はあるか

現状、標的型攻撃は個々に手口が異なるため、傾向やパターンが把握しづらく、抜本的な対策は見いだせていないようだ。

各社各様で異なる標的型攻撃を分析するため、専門機関なみの解析機能の必要性を訴える専門家もいる。

「標的型攻撃のターゲットが国家レベルの組織から一般企業にまで拡大している中、当然の帰結として、企業内部にも解析機能を持たせることが必要になっている。危険なメールに対しては各自が勘を働かせていかなければならない時代になった」と述べる門林氏。

一方、事前対策として3つの対策を挙げる専門家もいる。すなわち、以下の3点だ。

(1)攻撃とそうでないものを判別する技術的対策
(2)攻撃を受けた場合の被害を最小限に食い止める仕組み
(3)ユーザー教育

1つは、攻撃とそうでないものを判別する技術的な方策。具体的には、受信側のメールサーバでメールの送信ドメインを検証する送信ドメイン認証S/MIMEPGPによるデジタル署名の活用、拡張子による添付ファイルの制限など。また、メールの送信元アドレスの偽装を防止する技術のSPF(Sender Policy Framework)などを複合的に用いる対策も有効だという。
2つ目は、それでも攻撃を受けた場合の被害を最小限に留める仕組み。例えば、MOICE(Office 2003のファイルをOffice 2007のOpen XMLフォーマットに変換して攻撃コードを取り除くツール)を利用したオフィス文書の無害化、Windows Vistaなど最新のプログラムの利用、ファイルを開く専用マシンの設置、通信の監視・認証プロキシの利用などである。
3つ目は、ユーザー教育。ユーザー一人ひとりが攻撃に気づき、危険を避けて情報を報告・共有するために、集合研修、Eラーニングなどで不審なメールの見分け方を学ぶことが有効だという。また、ITセキュリティ予防接種も有効となる。

このように、標的型攻撃のターゲットとなった場合の被害を最小限に食い止めるため、企業は人的な教育を含めた総合的な対策を行うことが大事であるということだ。

関連キーワード:

Office

スピア・フィッシング

スピア型攻撃

ファイアウォール

標的型攻撃

  • SCAPとは
  • カテゴリートップへ
  • 企業が受信したメールの約9割はスパム