「極めて特殊な標的型攻撃だ」。セキュリティ大手、米ファイア・アイの日本法人でCTOを務める三輪 信雄氏は、米マイクロソフトが同13日に修正プログラムの提供を始めたInternet Explorer(IE)の脆弱性を突くサイバー攻撃をこう表現した。

 ファイア・アイの顧客がこの攻撃を受けたが、同社製のセキュリティ機器が検知し、未然に被害を防いだとしている。その検知した攻撃コードを調査して、このサイバー攻撃に大きな特徴が3つあることわかったという。1つは広い範囲の攻撃に使える希少なIEのゼロデイ脆弱性を狭い範囲の標的で使ったこと、2つめは標的型攻撃でありながら継続的に攻撃しない仕様だったこと、3つめは別のサイバー攻撃と深い関連性があること、である。

 1つめは、今回の攻撃がWebサイトの改ざんによって行われたもので、その改ざんされたWebサイトが現時点でたった1つしか見つかっていない点だ。改ざんされたのは、米国のNGO団体のWebサイトで、米国国家や多国間の安全保障政策に関わる人物がよくアクセスするという。攻撃は、11月13日まで修正プログラムが提供されていない、いわゆるIEのゼロデイ脆弱性を悪用したものだった。三輪氏は、「IEのゼロデイ脆弱性は、攻撃の成功率が高く、広い範囲を標的にできるので希少性が高い。にもかかわらず、極端に狭い標的に使われたのは珍しい」と説明する。

 2つめは、コンピュータにファイルが全く残らない攻撃だったことだ。標的型攻撃は、APT(Advanced Persistent Threat)と呼ばれることがあるように、攻撃者が時間をかけて標的を調査し、相手に見つからないように機密を盗み出すのが一般的だ。ところが今回の攻撃では、Webサイトから攻撃コードをダウンロードしてもコンピュータ内にファイルが保存されず、すべての処理をメモリー上で行う。そのため、コンピュータをいったんシャットダウンしてしまうと攻撃コードは消え、痕跡が完全に残らないというものだった。三輪氏は、「ファイル化しない攻撃であればセキュリティ対策の機器やソフトウエアに検知されないかもしれない、という実験的な攻撃だった可能性がある」という。

 3つめは、攻撃コードに含まれるホスト名や文字列などを解析した結果、8月下旬から9月上旬のサイバー攻撃で使われた攻撃コードとの共通点が複数見つかった点だ。8月下旬から9月下旬のサイバー攻撃は、日本国内の中央官庁や大手インフラ事業者を狙った標的型攻撃だった。さらに、2009年から2010年にかけて米グーグルや米ヤフーなどの不正アクセスに使われた攻撃コードとの共通点も見つかっているという。この2つの攻撃もIEのゼロデイ脆弱性を突いたものだった。

 三輪氏は、「今回の攻撃は、8月下旬のもの、グーグルなどを狙ったものと同一グループもしくは同一人物が関わっている可能性が高い。さらにこの攻撃者は、IEの脆弱性を容易に見つけるスキルを持ち合わせていると考えられる」としている。