企業の保持する情報を狙った標的型攻撃。そこに使われている手法は、今までよりもソーシャルエンジニアリング的な要素を多用してきている。システムの持つ脆弱性を単純に狙うというよりは、「騙し」のテクニックを用いて対策の手薄な部分の脆弱性を突いてくる。まず、標的型攻撃の全容からリスクとなっている要素を抜き出して考えてみよう。

 標的型攻撃はこれまでにも存在した手法を組み合わせて、標的となる組織が持つ情報を狙った攻撃である。目的は企業の持つ機密情報や個人情報など。もしかすると、人事情報なども標的になり得るのかも知れない。攻撃の端緒に注目すると、その要素は「フィッシング」と「ドライブバイダウンロード」を組み合わせて、攻撃対象を限定したものと考えることができる。

 「フィッシング」の要となる要素は「他人/他サイトへのなりすまし」であり、「ドライブバイダウンロード」のキモは、送り込まれる攻撃への端緒が単なる「マルウエアへの誘導URL」に過ぎないことだ。もちろん誘導に使われるURLは簡単に改変できるため、ブラックリスト的なURLフィルターでこれを阻止することは困難であろう。

 メールは社員に届く。社員はいつもの業務メールだと思って添付ファイルを開く。その瞬間に誘導先サイトからマルウエアがダウンロードして実行されるが、それに気付かずに実行するために今度は社員が使用するシステムの脆弱性が突かれる。ダウンロードされるマルウエアは、ボットプログラムである場合が多い。これはリモートからの指令で様々な操作を可能にするスパイ用プログラムだ。指令がない限り動かないため長期の潜伏に気が付かないケースがある(図1)。

図1●標的型攻撃の端緒となる、なりすましメールとマルウエア配布サイトへの誘導
図1●標的型攻撃の端緒となる、なりすましメールとマルウエア配布サイトへの誘導
[画像のクリックで拡大表示]

 このように標的型攻撃の端緒となるシナリオを見ただけでも、リスク要素として次のものがあることがわかる。

  1. 送信者の「なりすまし」に対して無策のメールゲートウエイ
  2. 容易に可変できる「誘導URLの混入」に対して無策のメールフィルター
  3. 習慣でついつい「添付ファイルを開けてしまう」人間
  4. 気が付かないうちにマルウエアをダウンロード/実行される「脆弱性」のある社員のPC
  5. 長期間のマルウエアの潜伏に気が付けない「PC動作ログ管理」の問題

 標的型攻撃について、これまで世間で声高に叫ばれてきたのは、要するに「潜伏しているボットを見付けましょう」という対策のアプローチだ。しかし標的型攻撃は、多くのリスクを突いてきていることがわかる。

「なりすまし」で人を騙して脆弱性を突く

 組織のメールサーバーや社員のデスクトップPCには、いまやウイルスフィルタやスパムフィルタといったものが装備されているが、これらは「なりすまし」に対してはほぼ無力である。添付ファイルの中にマルウエアへのリンクが忍ばせてあっても、標的型の場合には前例のないリンクを使用することが考えられるので検知は難しいと言える。

 「なりすまし」が成立しやすい例を考えるには、まずは見知らぬアドレスからメールが届いて添付ファイルを開けそうなシチュエーションを考えてみると良い。

 例えば、採用担当のもとに見知らぬアドレスから履歴書の添付ファイルの付いたメールが来たら、担当者はどうするだろうか。 送信者のアドレスがいつもの取引先のあの人のアドレスだったら。あるいは、いつものメーリングリストから送られてきたメールだったら。

 このように、思考実験してみると良い。なりすましに対して脆弱なのは人間であり、その人に割り振られた仕事の種類にもその要因があることがわかる。ソーシャルエンジニアリング的な攻撃というのは巧みにそのあたりを突いてくるものである。