標的型攻撃の基本的な構造は3年ほど変化していないが、細かい攻撃手法はますます巧妙になっている。攻撃解析者である筆者から見ると、従来のハッキング手口にパズル的要素が組み合わさったようで、事案ごとに新しい発見をしている状態だ。今回は、標的型攻撃の最新の手口を紹介する。

図1●標的型攻撃の一般的な手口
図1●標的型攻撃の一般的な手口
[画像のクリックで拡大表示]

 三菱重工業や衆議院への攻撃と類似した標的型攻撃は、海外では2008年ころから表面化している。攻撃の全体像は図1の通り。マルウエアを送付する「ステップ1」、標的のシステムを乗っ取る「ステップ2」、攻撃者のサーバーにデータをアップロードする「ステップ3」の3ステップで構成する。ステップを踏むという傾向自体はあまり変化していないが、各ステップの攻撃手法は巧妙化の一途をたどっている。

 ステップ1でよく使われるのが、特定のターゲットにメールを送信する「標的型攻撃メール」だ。標的にメールを開かせるため、攻撃者はソーシャルエンジニアリングを駆使する。その手法は最近さらに洗練されてきた。筆者が見る範囲では三つの変化が起こっている。(1)メールの送信元が海外から日本国内に移行している、(2)文字コードがGB2313(中国語)からISO-2022-JP(日本語)に切り替わってきた、(3)添付ファイルの主流がPDFファイルからMicrosoft Wordファイルに変わった。端的に言えば、ユーザーが攻撃だと疑いづらいメールになってきている。

 ステップ2では攻撃者がマルウエアを送り込んだ後、真っ先にActive Directory(AD)の乗っ取りを狙う傾向が強まっている。攻撃者は目的の情報が保存されているシステムを効率的に探し出したい。そこで攻撃者はADからドメイン配下のシステムに対して、まとめて不正操作を試みる。例えば、特定のキーワードを含むドキュメントファイルの一括検索などだ。

 攻撃者がデータを外部へ持ち出すステップ3では、POSTメソッドを利用したファイルのアップロードが主流だ。最近のマルウエアは、通信データをSSLで暗号化してIPSDLPなどのセキュリティ装置による検知を回避しようとする。IPSやDLPはSSLの復号機能を搭載しているが、機器の処理速度を低下させるため利用企業は少ない。