とどまるところを知らない標的型攻撃

 相変わらず企業の情報漏洩事件が後を絶たない。2012年3月にはソフトウエア販売サイトなどを運営するベクターが、4月には日産自動車の米国法人が不正アクセスを受けたことを明らかにした。いずれも、標的型攻撃と見られる。

 標的型攻撃はあらゆる企業が対象となり得る。改めて、標的型攻撃に関する手口を理解したうえで、適切な対策を講じる必要がある。そこで、これまでITproで公開してきた標的型攻撃に関する記事を整理・分類して再掲する。対策を講じる際の一助としてほしい。

標的型攻撃の被害:あらゆる企業が攻撃の対象に

 まずは被害に関してだ。今年に入ってから、ベクターや日産自動車(米国法人)以外にも、電子決済サービスを手がける米Global Paymentsなどがシステムへの不正侵入があったと発表した。しかしこれらは、氷山の一角である可能性が高い。なぜなら、不正アクセスの被害に遭ったことを公表しない企業も少なくないと考えられるからだ。

 被害を明らかにしている企業は大企業が多い。それだけ、社会的な影響が大きいからと思われる。しかしだからといって、中堅・中小企業が標的型攻撃の対象外というわけではない。5月1日に2011年における世界のインターネットセキュリティに関するレポートを発表した米シマンテックによると、攻撃のうち約2割は従業員250人未満の企業が対象だという。

 「自社にはたいした機密情報などない」という人もいるかもしれない。しかし最終的に狙われているのは、自社ではなく、取引先の大企業かもしれない。そのターゲットを攻撃する際の足がかりとして、まず中小企業のほうが狙われるケースは少なくないという。ビジネスの規模によらず、攻撃に備えることが重要だ。

巧妙な手口:“知り合い”を装ったメールから始まる

 次に、標的型攻撃の手口だ。標的型攻撃の典型的な手口は以下のようなものになる。まずは諜報活動を通じ、ターゲットとなる企業の情報を収集する。その上で、社員に対して知り合いを装い、ウイルスを仕掛けた文書ファイルなどを添付したメールを送り付ける。社員がそのファイルを開けると、リーダーソフトなどの脆弱性を突いてパソコンをウイルスに感染させる。パソコンに感染したウイルスは社内システムにバックドア(裏口)を設け、別のウイルスを送り込んだりサーバーに不正アクセスするなどして機密情報や個人情報を盗み出す。

 ここでポイントとなるのは、社員がウイルスの仕掛けられたファイルを開くと、同時に正常なファイルも表示し、社員に不信感を抱かせないということだ。また、フィンランドのF-Secureによると、知り合いになりすましたメールもかなり完成度が高いという。日本語を使った標的型攻撃メールが海外から送られる際も、機械翻訳などの不自然な文章ではなく、完全な言葉遣いで書かれているとしている。

 最近の傾向としては、諜報活動にSNS(ソーシャルネットワーキングサービス)が悪用されるケースが増えてきていることだ。特に、本名で登録して所属会社もきちんと公開しているSNSでは、普段の生活や交友関係などを攻撃者に把握される可能性がある。もちろん、SNSはビジネス活動を行う上でも非常に優れたツールであることは間違いないが、その一方で、こうした危険性もあるのだということは頭の片隅に持っておいたほうが良いだろう。