>>前回

 サイバーエスピオナージュで利用されるのが、「標的型攻撃」と呼ばれる攻撃手法だ。特定の個人や組織をターゲットに、そこの情報が盗み出せるまで様々な手口を使って攻撃する。

 最近はファイアウォール、IPS(侵入防止システム)が多くの企業にあり、単純に外部からLAN内部に不正侵入するのは難しくなっている。そのため、関係者を装ったメールやソーシャルネットワーキングサービス(SNS)のメッセージなどを使って、標的のパソコンをマルウエアに感染させる手口が主流になっている。マルウエアを使って、標的とした社員のパソコンを乗っ取るイメージだ。こうした標的型攻撃の端緒となる詐欺的な誘導行為を「スピアフィッシング」と呼ぶ。

 「マルウエアに感染させた後は、攻撃者が張り付いて攻撃し続けていると考えたほうがいい」(フォティーンフォティ技術研究所の鵜飼社長)。攻撃者はC&C(コマンド&コントロール)サーバー経由でマルウエアに様々な命令を送り込む。例えば、別の新しいマルウエアをダウンロードさせたり、盗んだ情報を外部に流出させたりする。

 「リモートアクセスツール(RAT)を送り込み、ネットワークコマンドを使ってLANの内部を調べていくこともある」(ラックの岩井博樹 コンピュータセキュリティ研究所 センター長)。マルウエアに感染したパソコンが閲覧できるファイルサーバーにアクセスしたり、同一部署のほかのパソコンに不正アクセスしたりする。乗っ取ったパソコンを使って、LANの内側からハッキングを行うのだ。

 攻撃者はLAN内での情報収集が終わったら、CADデータや製品情報の文書ファイルなど必要な情報を外部のサーバーに送る。ラックのネットワーク監視調査では、攻撃と疑われる通信の数はLANの内側から外側に向けたものが、2011年7月末時点で83%を占める(図1)。すべてが標的型攻撃というわけではないだろうが、企業内に侵入済みのマルウエアは相当数ある、ということが推測できる。

図1●不正なトラフィックは「LANの内側から外側へ」が多数を占める
出典:ラック
[画像のクリックで拡大表示]