三菱重工業、川崎重工業、IHIといった重工業企業から、衆議院や在外公館に至るまで、国内企業や政府機関への「高度で執拗なサイバー攻撃」の被害が、2011年夏以降、次々と明るみに出た。セキュリティベンダーは、こうした標的型攻撃を「APT(Advanced Persistent Threat)攻撃」と呼ぶ。企業は今、より巧妙さを増す攻撃にどう立ち向かえばいいのか。サイバー攻撃対策で先端を行く米国の事例を参考に、APT攻撃に備えて企業が取るべき対策を考える。
企業の機密情報をおびやかすサイバー攻撃に対し、各国が国を挙げて対策を取り始めた。
米国防総省は、サイバー攻撃対策の専門部隊「サイバーコマンド」を創設した。運用から1年、今や1000人を超える規模になったとみられる。米軍の情報システムを防御するとともに、攻撃元のシステムに反撃する技術の研究も担う。
「サイバー攻撃は国益に対する攻撃だ。我々はほかのあらゆる脅威と同様、強固な対策を取る」――。2011年11月1日、サイバー攻撃の対策を議論する国際会議を主催したキャメロン英首相はスピーチで強調した。英国ではサイバー攻撃の対策に6億5000万ポンド(約800億円)を投じる計画だ。
数年にもわたるAPT攻撃
欧米の政府が強い危機感を示しているのは、特定の企業や団体を狙い撃ちにして機密情報を盗み取る高度なサイバー攻撃、すなわち「APT攻撃」が相次ぎ明るみに出たからだ(図1)。APT攻撃の特徴は、狙った標的に対し、数カ月から数年にわたって執拗に攻撃を続けること。短期的に利益を得たいサイバー犯罪者や、自分の主張を広めたい活動家の手によるサイバー攻撃とは一線を画す。
こうした特徴から、豊富な資金と人材を備えた国家レベルの組織が関わっている可能性が高いという。「何らかの機関に勤務する複数の人物が、業務の一環として攻撃を実施しているとみるのが自然だ」(セキュリティベンダー大手、ラックの西本逸郎最高技術責任者)からだ。「防衛産業のみならず、機密情報を持つあらゆる企業がAPT攻撃の脅威に直面している」(西本氏)。
今、企業システムにどのような脅威が迫っているのか。以下からは、執拗なAPT攻撃の手口や被害などの国内外の現状と、これまでの防衛策とは大きく発想を変えた米国の最新防衛策に分けて解説していく。
APT攻撃の手口と被害
APT攻撃の典型的な手口が、ある企業の特定の個人に向けたウイルス添付メール「標的型メール」を送り付ける攻撃だ。
典型的な手口は以下の通りだ。まず諜報活動を通じ、数カ月にわたってターゲットとなる企業の情報を収集。その上で、社員に対して知り合いを装い、ウイルスを添付したメールを送り付ける。社員がファイルを開けてパソコン(PC)がウイルスに感染すると、ウイルスは社内システムにバックドア(裏口)を設けて攻撃用サーバーとの通信を確立し、新たなウイルスをダウンロードさせる。ウイルスはそれぞれの攻撃で「使い捨て」のため、既知のウイルスを検知するタイプのウイルス対策ソフトでは発見が難しい。
近年は、標的型メールの文面を作るのに、SNS(ソーシャル・ネットワーキング・サービス)上の個人情報が使われる事例が増えている。「FacebookやLinkedInなどでターゲット社員の交友関係を調べた上で、友人を装ったメールを送る事例が発生している」(米シマンテック 官公庁担当ディレクターのイリアス・チャントス氏)。
こうした攻撃により、セキュリティ技術に明るいはずのIT企業やセキュリティ対策企業までも、機密情報を奪われている(表1)。2010年に米グーグルが攻撃を受けてソースコードを盗み出されたのに続き、2011年3月にはIT大手、米EMCのRSAセキュリティ部門がサイバー攻撃を受け、認証技術「SecurID」の情報を盗まれた。
