写真1●トレンドマイクロ リージョナルトレンドラボの原良輔課長
写真1●トレンドマイクロ リージョナルトレンドラボの原良輔課長
[画像のクリックで拡大表示]
写真2●トレンドマイクロ セキュリティエバンジェリストの染谷征良氏
写真2●トレンドマイクロ セキュリティエバンジェリストの染谷征良氏
[画像のクリックで拡大表示]

 「標的型攻撃の原因となる不正プログラムの実行ファイルは、通常の業務連絡を装ったメールに、拡張子やアイコンを偽装した状態で添付されてくる。個人レベルで気をつけていても到底防げるものではいので、適切なセキュリティ製品を導入することが必要だ」…。トレンドマイクロは2012年1月26日、特定の組織に対して執拗に繰り返されるサイバー攻撃「持続的標的型攻撃」に関する説明会を開催。国内における持続的標的型攻撃の傾向と対策について解説した。

 持続的標的型攻撃とは、知的財産の盗難、金銭的利益、破壊行為を目的として、国家や企業など特定の組織の社内ネットワークへ不正に侵入し、執拗に攻撃を繰り返すサイバー犯罪を指す。同社の調査によると、持続的標的型攻撃に多く利用される手法は、不正プログラムを添付したメールだという。攻撃者は、不正プログラムを添付したメールを標的となる組織の内部ユーザーへ送り、ユーザーPCを感染させてアカウント情報を盗み、ユーザーPC経由で社内のファイルサーバーから機密情報などを取得、外部サーバーへ送信する。

 同社 リージョナルトレンドラボの原良輔課長(写真1)は、持続的標的型攻撃のやっかいな点は、攻撃者が念入りに下調べをした上で攻撃を仕掛けてくることだと指摘する。「メールの文面には、社内に実在する人物の名前や社内用語が使われており、通常の業務メールと区別が難しい。さらに、添付ファイルがexeファイルだとサイバー攻撃を疑うこともできるが、ぜい弱性を悪用する文書ファイルだったり、拡張子やアイコンを文書ファイルに偽装した実行ファイルだったりするので、ユーザーは安心してクリックしてしまう」(原氏)。

 機密情報を持ち出す手法も巧妙だ。感染パソコンから攻撃者の外部サーバーへ機密情報を送信する際は、主にWeb閲覧に用いられるポート80/ポート443を利用して正規のWeb閲覧の通信と見せかけている。同社の調査では、持続的標的型攻撃の約90%でポート80/ポート443を使って情報を盗み出していた。また、攻撃者サーバーの約70%がジェネリックトップレベルドメイン(.com、.net、.org、.infoなど)を採用していた。

 このように、持続的標的型攻撃は入念な下準備、巧妙な偽装が行われているため、個人レベルで添付ファイルなどに気を付けているだけでは防げない。同社 セキュリティエバンジェリストの染谷征良氏(写真2)は、持続的標的型攻撃から機密情報を守るには、(1)メールセキュリティ製品を導入して、実行ファイルの受信拒否、Eメールレピュテーションによる受信拒否、送信者認証などを行う「入口対策」、(2)DLP(Data Loss Prevention)やWebレピュテーションによって攻撃者との通信、情報漏えいをサーバー、エンドポイント、ネットワークの出口で防御する「出口対策」、(3)企業ネットワーク内の脅威を可視化するツール「Trend Micro Threat Management Solution」など使った「攻撃の可視化」の3つが重要だと説明した。