国内の企業や組織に対する「標的型攻撃」が後を絶たない。標的型攻撃とは、特定の企業や組織を狙って行われるサイバー攻撃のことである。目的は、企業や組織が保有する機密情報。全国の警察が2012年に確認した標的型攻撃のメールは1009件に上る。
多くの場合、攻撃者は、標的とした企業や組織の従業員に対して、ウイルス添付メールを送信する。ウイルスを配布する悪質サイトのリンク(URL)が記載されている場合もある。
メールを受信した従業員が添付ファイルを開く、あるいはウイルス配布サイトにアクセスすると、ウイルスに感染。ウイルスはパソコンを乗っ取り、機密情報などを攻撃者に送信する。
標的型攻撃を防ぐことが難しいのは、攻撃が巧妙化しているため。その一例が、ウイルスを添付したメールの工夫だ。標的とした企業や組織の従業員が添付ファイルを疑いなく開くように、メールの送信元や内容を工夫して、関係者から送られたメールに見せかける。
具体的には、メールの送信元を実際に存在する部署名や従業員名にしたり、メールの件名や内容を、定期的に実施しているミーティング名にしたりする。これらの情報は、標的とした企業のWebサイトや、従業員が書き込んでいるSNSなどから、容易に収集できるという。
最近では、「やり取り型」と呼ばれる新たな手口が確認されている。この手口では、もっともらしいメールのやり取りをして相手を信用させたあとに、ウイルス添付メールを送信する。
例えば、企業がWebサイトで公開している問い合わせ用メールアドレスに対して、顧客や採用希望者を装って“無害”の問い合わせメールを送信。担当者と何度かメールをやり取りしたあとに、質問書や履歴書に見せかけたウイルスをメールで送り付ける。
警察庁によれば、国内でやり取り型が確認されたのは2012年11月。同年では2件のみ確認された。ところが2013年になると急増。2013年上半期には、33件のやり取り型攻撃が確認されているという。
そして、標的型攻撃の防御をさらに難しくしているのは、攻撃に使われるウイルスの工夫だ。標的型攻撃では、攻撃ごとにカスタマイズされたウイルスが使われることがほとんど。それまで一切出回っていない、いわゆる「未知のウイルス」が使われる。
このため、既知のウイルスの特徴を収めたデータベース(ウイルス定義ファイル、パターンファイル)と照合するタイプのウイルス対策製品では、検出できないことが多い。プログラムの振る舞いなどから、未知のウイルスも検出できるとするウイルス対策製品も複数あるが、100%検出することは難しい。
そこで、S&Jコンサルティングの三輪信雄氏が提唱するのが、感染を前提としたセキュリティ運用だ。ウイルスの侵入や感染を100%防げない現状では、感染した場合でも深刻な被害をもたらさないような、実践的なセキュリティ運用が不可欠となる。ITpro EXPO 2013/Security 2013では、三輪氏を招き、その勘所を解説してもらう。
国内においても、標的型攻撃はもはや人ごとではない。どのような企業や組織であっても、標的になる恐れがある。講演会場に足を運び、セキュリティの第一人者から、標的型攻撃の現状ならびに実践的な対策を聞いていただきたい。
