今年は、三菱重工業や官公庁、国会議員を狙ったサイバー攻撃が大きな話題となった。こうした攻撃の実態はどのようなもので、被害を防ぐにはどのような手立てがあるのか。F-Secureのセキュリティ研究所で主席研究員を務めるミッコ・ヒッポネン氏に話を聞いた。

(聞き手は安井 晴海=ITpro、山崎 洋一=日経NETWORK

三菱重工業や官公庁、国会議員などを狙った攻撃をどのように見ているのか。

F-Secure セキュリティ研究所 主席研究員 ミッコ・ヒッポネン氏
F-Secure セキュリティ研究所 主席研究員 ミッコ・ヒッポネン氏
[画像のクリックで拡大表示]

 我々はこの種の標的型攻撃を調査してきたが、その結果として、実は2005年より前から標的型攻撃はあったということが分かった。それがいわゆるグローバルな問題となってきたということだろう。いま起こっているのは、オンラインでのスパイ活動だ。つまり国と国との間のスパイ活動がオンラインで行われている。

 ターゲットとなっているのは、政府機関、国防関係の契約を請け負ってる企業、それから言論の自由を主張するような団体といったところだ。

 スパイとは何かと言えば、情報を集めることだ。昔は情報は主に紙に書いてあり、オフィスなどに置いてある物理的なモノの中に情報があった。このため、情報が欲しければ物理的に自分の体をそこまで運んで、そのモノを取ってくるかコピーを取るかしかなった。

 しかし現在は、情報はデータとなっている。物理的に世界のどこにいても、その情報に到達することは不可能ではない。そういったことが理由となり、今日、標的型攻撃によるオンライン上のスパイ活動が行われているのだ。

攻撃手法は以前と比べて高度になっているのか。

 実は、マルウエアとしてはそれほど高度なものは使われていない。重要なのは、それが特定の企業や団体をターゲットとしているということだ。ランダムに、偶然誰かに感染すればいいというのではなく、ある特定の組織や、組織に属する特定の誰か一人を標的にして攻撃が仕掛けられる。

 これまでは、マルウエアに感染した場合、その組織がうっかりしていたり、運が悪かったというふうに考えられる面もあった。しかし標的型攻撃はそうではない。もし感染したとすれば、攻撃者がその組織を攻撃の対象に選び、そして攻撃を仕掛けてきているわけだ。

 攻撃手法も、標的にされた組織に対してオーダーメイド的に作り上げられる。例えば、メールにしてもその組織の中で普通に使われている内容のメールであったり、とても信憑性のあるドキュメントであったり、そこで使われているOSやアプリケーションを使ったものであったりする。

具体的にはどのような手法か。

 メールを使う攻撃について説明しよう。多くの場合、実在の人物を騙って偽物のメールを送り付けてくる。内容も、自分が実務で扱っていることに関する文章が書いてある。添付ファイルもごく一般的なPDFファイルだ。例えば、添付されている案内状は、実際に行われるイベントのものだったりする。不自然さはまったくない。ただし、そのPDFに罠(バックドア)が仕掛けられている点が本物とは違う。

 実際に起こった、ある攻撃を研究所で再現してみたが、添付ファイルには「ResearchReport.pdf」というタイトルがつけられていた。それを開けようとすると、Adobe Readerがいったんファイルを開いてすぐに閉じる、そして改めてファイルが表示される。

 ファイルをクリックすると最終的にはドキュメントの内容が表示されるので、一見、普通の動作のようにも見えるが、よく見ると、「ResearchReport.pdf」を開いたはずなのに「Book.pdf」というファイルが開かれている。さっき開こうとしたファイルとは違うものが開かれているのだ。パソコンのタスクマネージャーを見てみると、Cドライブのルートにa.exeが作られているのが分かる。これがバックドアだ。

 元々のPDFをクリックして開くことによって、Adobe Readerの脆弱性を突かれて二つファイルができてしまったということだ。一つは普通のPDFファイル。クリックしてこれが出てくれば、クリックした人も変だと疑わないで過ごしてしまう可能性が高い。もう一つはa.exeファイルで「Poison Ivy」と呼ばれるバックドアである。

 こうして感染したコンピュータは、インターネットに接続して攻撃者と接続される。その結果、攻撃者は感染したコンピュータが得られるすべてのデータにアクセスすることができるようになるというわけだ。

 攻撃に使われるのは、Adobe Readerの脆弱性を使うPDFファイルが一番多い。それに、ワード、エクセル、パワーポイントのファイルが続く。

 普通、プログラムファイルが添付されていれば怪しいと思うだろう。しかし、添付されているのがPDFやパワーポイントのファイルだと、大丈夫だろうと思って開いてしまいがちだ。しかし、実際は必ずしも安全ではない。

 言語としては、およそ30カ国語の言語の標的型攻撃をこれまで見てきた。もちろん日本語のものもある。しかも、機械翻訳などの不自然な文章ではなく、パーフェクトな言葉遣いで書かれているものばかりだ。