前回は遠隔操作ツール「PoisonIvy」を使った国内の攻撃を分析して、サイバー攻撃者の実態をあぶり出す方法について解説した。不正プログラムにはサイバー攻撃者しか知り得ない情報が設定される。その類似性に着目することでより深い分析が可能となる。
最終回となる今回は、2012年9月に明らかになったAndroid向けの持続的標的型攻撃の兆候を例に、今後起こり得るサイバー攻撃の脅威を推察する。さらに、より高度な対抗手段としての「スレットインテリジェンス」の活用に関する最新の試みを紹介する。
持続的標的型攻撃のインフラで開発途中のAndroid向け不正アプリを発見
これまでに確認されている持続的標的型攻撃に関連する不正プログラムの多くは、Windows OS向けのものだ。しかし、IT環境は変容を続けている。標的となる組織・人が新しいプラットフォームや端末を導入することに応じて、サイバー攻撃者も目的達成のためWindows OS以外にも攻撃の対象を広げることが予測される。
第1回で紹介した持続的標的型攻撃「Luckycat」で利用されていたC&Cサーバーの調査過程で、2つのAPKアプリケーション、つまりAndroid向けの不正アプリを確認した。これらのアプリは、外部のC&Cサーバーからネットワーク経由で送信されるコマンドを受信して、実行する機能を備えていた。外部からのコマンドに応じ、端末情報を収集したり、ファイルをダウンロードおよびアップロードしたりすることができる。
ただし、不正プログラムとしての機能を既に備えている一方、リモートシェルといった機能の一部は未完成だった。まだ開発途中のアプリで、主に「POC(proof-of-concept:実験段階)」のコードと推測される。
この調査において、サイバー攻撃者がAndroid向けの不正アプリを実際の攻撃に利用した事実は把握していない。ただし、2010年8月にAndroid向けの不正アプリが初めて確認され、2011年12月には累計1000個、2012年12月には累計35万個と急増していることから、攻撃者の標的がWindows OS以外のプラットフォームへも拡大していることが伺える。
そのため、これまでWindows OS向けに複数の持続的標的型攻撃を行ってきたサイバー攻撃者も、今後はAndroidに標的を拡大することが想定される。
