>>前回

 2010年以降、セキュリティ業界では「APT(Advanced Persistent Threat)攻撃」という言葉がよく使われるようになった。高度かつ執拗な脅威という意味だ。「バズワードで従来の標的型攻撃と意味は変わらない」という批判もあるが、新しい言葉を作りたくなるほどに標的型攻撃が洗練されつつある証ともいえる。

 APT攻撃には様々な定義があるが、簡単に言うと「いったん定めた標的に対して様々な手法を駆使して不正アクセスする攻撃」のことを指す。ソーシャルエンジニアリングを利用してフィッシングメールを送ったり、運送会社に成りすましてUSBメモリーを配達したり、Webサーバーに不正アクセスしてそこからLANに侵入したり、ありとあらゆる手段で不正アクセスを試みる。不正アクセスが成功するまで続けるので、防ぎようがない攻撃として警戒されている。

 対象となるのは、政府機関や防衛産業、エネルギー産業、情報産業などだ。すでに実例もある。原油や石油化学などエネルギー産業を狙った「Night Dragon」、グーグルなど米国の情報産業を狙った「Operation Aurora」、各国政府の情報機関などを狙った「Operation Shady RAT」、北朝鮮有事に備えた作戦計画「OPLAN 5027」の流出といったものである。9月に発覚した三菱重工業などへのサイバー攻撃も同様なものかもしれない。

 Night Dragonは、2009年11月に始まったと見られる。石油田やガス田の入札情報や採掘情報などを盗み出した。多様な手口を組み合わせている。例えば、SQLインジェクション脆弱性を利用してWebサーバーを乗っ取り、Webサーバーを介してLANへの攻撃を仕掛けた。ターゲットとなった企業幹部のパソコンには標的型攻撃でマルウエアを仕込み、パソコンやLANにつながるコンピュータに不正侵入した。

 Operation Auroraは、2009年12月ごろに開始された。中国の人権活動家のGmailアカウントが盗まれたほか、標的とされたIT企業の知的財産であるソースコードが盗まれた。WindowsとInternet Explorerの未知の脆弱性を利用して、不正サイトに従業員を誘導してマルウエアに感染させた。政治的意図と産業スパイ意図の両方が含まれた事件とされている。