ここにきて、「標的型攻撃」というキーワードがにわかに注目されるようになった。実際には2000年代半ばから、特定の組織・企業を狙った悪質なサイバー攻撃に対する懸念は世界的に高まっていたが、2011年に入り、ソニーにおける大規模な個人情報漏洩事件(4月)、三菱重工業、IHI、川崎重工業といった防衛関連メーカーにおける機密情報漏洩疑惑(8~9月)、衆参両院の議員が利用するPCにおけるウイルス感染事件(10月)と立て続けに被害が発覚したことで、国内でもあらためてその脅威が現実のものとして受け入れられるようになったというのが実情であろう。
標的型攻撃はその正確な被害状況が把握しにくく、無差別型攻撃のように万能といえるような処方箋も存在しないとされる。これは、技術的な問題もさることながら、昨今の攻撃が従来型のセキュリティ対策におけるある種の「常識のワナ」を突いたものであるためである。このため、IT管理者やセキュリティ管理者には、個別の事案に戦々恐々として“対策製品”と呼ばれる製品に手を出すよりも先に、従来の「常識」を一度捨て去り、新たな着想で「自社にとってのセキュリティ・リスクとは何か」「対策のゴールをどこに設定すべきか」を改めて問い直すことが求められている。
標的型攻撃の脅威の本質とは
それではここで、まずは標的型攻撃の特徴を簡単に確認しておきたい(図1)。
その第1の特徴は、攻撃の目的である。従来型の「いたずら」や「技術力の誇示」、あるいは単純な「金銭目当て」といった攻撃から、「特定組織を狙った情報の窃取や業務の妨害」へと大きくシフトしているのである。これはつまり、攻撃によって生じる被害が企業価値や評判の棄損、競争力や事業継続性の低下といった経営課題に直結する時代に入ったことを意味する。
近年は標的とする組織に明確にダメージを与えることを目的としたより悪質な「APT(Advanced Persistent Threat)」と呼ばれる攻撃も登場している。APTの定義には諸説あり、一般の標的型攻撃とほぼ同義に使用されることもあるが、一般には「強い攻撃指向性をもつこと」「標的ごとにカスタマイズされた手口が利用されること」「犯行が長期間に及ぶこと」「潜伏型の犯行であること」などといった点において、一般的な標的型攻撃とは区別される。
なかには国家機関の関与が疑われるような攻撃も存在しており、その被害が特定の組織のみにとどまらず、社会全般に及ぶおそれもある。イランの原子力関連施設を標的にしたとされるマルウエア「Stuxnet」は、情報の窃取ではなく、特定の制御システムを機能不全に陥れることを目的に開発されたとみられているが、これもAPTの一種として位置づけられている。
