McAfee Anti-Virus Emergency Response Team Labs(AVERT Labs:米マカフィーのウイルス対策技術研究機関)における筆者の職務のなかに,日々生じる攻撃から一歩離れて全体を俯瞰(ふかん)する作業がある。脅威の傾向を評価し,次に何が来るか予測を立てるためだ。Webフィード攻撃やインスタント・メッセンジャー(IM)などの脅威は,定義や定量化がしやすいが,そのほかの脅威は,表面をなぞるだけだと具体性に欠けた分析しかできない。
近年では,悪名高い「標的型攻撃(Targeted Attack)」(関連記事:PowerPointを狙ったゼロデイ攻撃は「スピア攻撃」の可能性大/スピア攻撃と闘う)がメディアの注目を浴びている。そうした報道でよく耳にするのが,例えば「コミュニティーWebサイト『MySpace』のユーザー」あるいは「ソーシャル・ネットワーキング・サービス(SNS)サイト『Facebook』のユーザー」など,攻撃対象ユーザーの「分類」だ。筆者が「ホーム・ユーザー」という表現でほぼすべてのユーザーが標的となっていた報道を初めて聞いたときに,にやにや笑ってしまったことを思い出す。おそらく次は,同様の表現として「インターネット・ユーザー」を耳にすることになるだろう。
標的型攻撃(Targeted Attack)における「Targeted」という言葉は,実際には何を意味するのだろう。例えば,ウイルスが含まれた電子メールが自分のアドレスあてに送られてきて被害を受けたユーザーは,標的型攻撃の被害者だと主張するかもしれない。しかしこの定義はいささか漠然としすぎていて,このように考えてしまうと攻撃の大多数が標的型攻撃とみなされることになる。筆者も標的型攻撃の定義について熟考し,シンプルかつ具体的な定義を考えようと試みてみた。そして行き着いたのが「選り分け」という作業である。筆者にとっては,標的型攻撃の重要な特徴は,選り分けが必要となることであり,それ以外の攻撃は無差別なものか,一つのきっかけを利用したものだ。
次のような例を考えてみよう。トムは食料品店に入り,トマトのそばで立ち止まった。そこでトムは,柔らかそうなトマトをいくつか手に取り,買い物客に投げつけたい衝動にかられた。これは標的型攻撃にあたるのか。筆者が予想するに,この事件の見出しは「XYZスーパーの買い物客,トマトの襲撃者に狙われる」だろう。だが,本当にそうなのだろうか。被害を受けた人々は,単に居合わせた場所と時間が悪かっただけであり,無差別攻撃の負傷者だ。トムは選り分けをしたわけではない。彼が狙ったのは(実際に狙っていたのだとしたら)その近くにいた誰かだ。5人のお婆さんがたまたま居合わせたとしても,「お婆さん」を標的とした攻撃ではない。
このことをコンピュータ・セキュリティに当てはめてみよう。スパム・メール送信者は,攻撃時に膨大な量のアドレス・リストを使用することが多い。できるだけ多くのアドレスにスパムを届けたいならば,送信対象を広げ,リストに掲載されたアドレス一つひとつにメッセージを送るだろう。そこに選り分けはなく,したがって標的型攻撃ではない。
攻撃者がFacebookで不具合を見つけたケースを考えてみよう。攻撃者はこの不具合を悪用して,できるだけ多くのユーザーに接触しようとする可能性がある。ここでも「Facebookユーザー」は,選り分けられたものではないため,標的ではない。Facebookのバグが攻撃の機会を与えただけだ。
ここに標的型攻撃の実例がある。米国政府の特定請負業者に,ぜい弱性のあるPowerPointドキュメントの添付された電子メール・メッセージが届いた。このドキュメントは,被害者のシステムにリモート・アクセスしてトロイの木馬をインストールする。ここでの「米国政府の特定請負業者」は選り分けられたものだ。「政府の請負業者」,「電子メール・ユーザー」,「PowerPointユーザー」,「マイクロソフト」のいずれでもない。
今回取り上げたFacebookの例では,Facebookの会社そのものが標的となっている,と主張する人がいるかもしれない。このシナリオの場合,Facebookの全ユーザーとの接触に悪用できる不具合を見つける必要がある。一方,米国政府の特定請負業者の例でマイクロソフトを標的とみなす人はほとんどいないだろう。PowerPointのぜい弱性は,単に最終目的に到達するための手段であり,機会を得るためのものだ。
別の種類の攻撃について考えてみよう。公表された標的型攻撃の中には,個人情報を使用したものがある。ターゲットは,自分の名前だけでなく,職場,肩書き,住所,電話番号までもが含まれた電子メールを受け取る可能性がある。このような攻撃は,標的型攻撃に当てはまるか。必ずしもそうではない。確かに,個別化した攻撃は存在する。ただし,選り分けがなければ,標的型攻撃とはみなされない。
音楽プレーヤやビデオ・プレーヤ,あるいはSNSサイトなど,特定の人々が使用するアプリケーションに依存した攻撃もある。この場合は標的型攻撃にあたるだろうか。これらの利用者は,攻撃されるリスクは大きくなるが,標的にはなっていない。よって,悪意のある偽のビデオ・コーデックなどは,必ずしもホーム・ユーザーを標的とはしない。
攻撃者が標的型攻撃する理由を箇条書きしてみると,以下のようになる。 ・悪意のあるコードを目立たないようにする(コードの検出をギリギリのところで回避する/妨げるための方策) ・攻撃をあやつる実体を目立たないようにする(告発を避けるための方策) ・「攻撃の被害者」を最小限に抑える(攻撃者のほとんどは,罪のない第三者が感染するかどうかなど気にもしない。ただし,小規模な集団ではこの点を気にすると思われる) このように攻撃が限定される理由/方法を考えてみると,標的型攻撃かどうかを判断するのに役立つ。
標的型攻撃の有効性を検証するもう一つの判断材料は,「真の狙いは何か」と問いかけることだ。この答え,つまり攻撃者に奪われるものがすべてのユーザー名とパスワードなら,それは標的型攻撃でない。我々は,一つの銀行を狙った非常に大がかりなフィッシング攻撃をよく耳にする。こうした攻撃は,対象をこの銀行の利用者に絞っているかもしれないが,「その理由は」と問うべきだ。次のことを考えてみてほしい。あるフィッシング攻撃において,スパム・メールで何十行もの銀行系Webサイトをリストアップし,受信者に利用する銀行のリンクをクリックするよう促したら,その実効性はどのくらいだろうか。また,攻撃者が一つの銀行に的を絞らざるを得ないとしたら,人々はこの攻撃が「消去法」に相当すると判断できる。「消去」は「選り分け」と異なる。
特定のユーザーを対象とした攻撃について,メディアが見出しを書くときの難しさは十分に理解している。ただ残念なのは,「Targeted」という言葉が多用されるあまり,問題の評価がかなり変わってしまうことだ。
Copyrights (C) 2008 McAfee, Inc. All rights reserved.
本記事の内容は執筆時点のものであり,含まれている情報やリンクの正確性,完全性,妥当性について保証するものではありません。
◆この記事は,マカフィーの許可を得て,米国のセキュリティ・ラボであるMcAfee Avert Labsの研究員が執筆するブログMcAfee Avert Labs Blogの記事を抜粋して日本語化したものです。
オリジナルの記事は,「‘Targeted Attack’ Mania」でお読みいただけます。
