日々の業務に加え、業界基準への準拠、複雑なネットワーク構成、標的型攻撃---。常に広くアンテナを張り巡らさなければならない分、システム運用において細かい部分まで目が届かないことは大きな課題である。システム運用者の負担が、ますます高くなってきているのが現状だ。

 とはいえ、もし自社のシステムが侵害されて重要な情報が詐取されたとしたら、これらの“言い訳”は全く通用しない。

 今回は、標的型攻撃による被害発生の実例を踏まえ、狙われるポイントと、すぐにでも取り組むべきシステムの改善策を取り上げていく。

標的型攻撃は脆弱性を狙う

 国内でも広く認知されることになった「標的型攻撃」は、近頃さらに進化を遂げている。攻撃の手口がより洗練され、さらに発見が困難になってきており、標的型攻撃でもより巧妙な手段であるAPT(Advanced Persistent Threat)攻撃では、しばしばマルウエアが利用される。

 被害が拡大する一番の要因は、ターゲットのシステムにおける潜伏期間の長さだ。攻撃者がシステムへアクセスできる期間が長いほど、被害もより深刻となる。サイバー犯罪全体の傾向も、愉快犯や名声を得るための行為から、明確な金銭目的へとシフトしてきており、攻撃も組織化される傾向にある(表1)。

表1●闇市場で取引されている主な“商品”の例
実際のブラックマーケットにおける販売価格を海外のハッカーサイトを中心にブロードバンドセキュリティが独自に調査したもの。
表1●闇市場で取引されている主な“商品”の例

ターゲットをじっくり時間をかけて攻略

 では、具体的な攻撃の流れはどのようなものなのか。典型的な例でいうと、(1)標的型攻撃メールなどによるクライアントPCへのマルウエア(ウイルス)感染、(2)トロイの木馬によるバックドア設置、(3)バックドア経由で機密情報漏洩、(4)被害範囲が拡大しさらなる情報漏洩が発生---といった流れとなる(図1)。

図1●標的型攻撃の流れ
図1●標的型攻撃の流れ
[画像のクリックで拡大表示]

 ブロードバンドセキュリティに調査を依頼してきた、ある企業のケースでさらに詳しく見てみよう。この企業では、業務システムのデータベースサーバーが過負荷となる障害が頻発し、同時に通常では発生しない海外からのアクセスを受けていることが判明したため、調査依頼に至った。

 調査の結果、明らかになった攻撃の手口は以下のようなものだった。

  1. クライアントPCへのマルウエア感染
  2. マルウエアによるバックドア設置
  3. 攻撃者による侵入
  4. データベースサーバーのリモートシェルに対する総当り攻撃の試行
  5. 退職者のアカウントによる侵入に成功
  6. サーバーにおける既知の脆弱性を悪用した権限昇格
  7. データベース、ファイルサーバーからの情報奪取

 第1段階である、PCへのマルウエア感染は、被害発覚の1年以上も前の話であり、初回侵入もその時期であることが判明した。

 このことから、攻撃者は最終的に目標であるデータベース情報へ到達するまでに十分な時間をかけて下調べし、社内ネットワーク上のターゲットと利用可能な脆弱性を特定していたことが分かる。また、使用されたマルウエアは既知のマルウエアを改良した亜種であり、マルウエア検出ソフトでは検出することができなかった。こうした点も、標的型攻撃の大きな特徴だ。