セキュリティ対策サービス大手のラックは2015年10月14日、企業や団体を擬似マルウエア(悪意のあるソフトウエア)で1カ月間“攻撃”して、標的型サイバー攻撃への耐性を診断する新サービスを始めた。対策の抜け漏れを内から実践的に評価するサービスはこれまで無いという。費用は600万円から。年間7件の受注を目指す。
新サービスの「APT先制攻撃」の提供を始めた。「擬似攻撃マルウェア」と名付けた自社で開発したソフトを診断対象の組織内に侵入させ、標的型攻撃への耐性レベルを検証する(図1)。
図1●APT先制攻撃サービスの概要
(ラックのWebサイトから抜粋)
[画像のクリックで拡大表示]
擬似攻撃マルウェアは実際の標的型攻撃で用いられる攻撃手法をなぞって活動する。攻撃者からの遠隔操作を受けて他のPCやサーバーの情報を集めて感染を広げたり、ディレクトリーサーバーを攻撃して管理者権限を奪ったり、機密情報を外部に発信したりといった、標的型攻撃で用いられる種々の手法を実施する機能を備えている。
標的型攻撃において、攻撃者はマルウエアを操る「コマンド・アンド・コントロール(C&C)サーバー」を事前に用意する。今回ラックは疑似C&Cサーバーも準備する。実際の攻撃と同じように、ネットワーク内に侵入した疑似攻撃マルウェアがC&Cサーバーを介して別の攻撃ツールをダウンロードすることもある(図2)。
図2●疑似攻撃の概要
(ラックのWebサイトから抜粋)
[画像のクリックで拡大表示]
3カ月でセキュリティ耐性を診断
期間は3カ月を想定する(図3)。最初の1カ月でラックが診断対象にヒアリングして、部門や部署、支店の構成といった会社組織を始め、ネットワーク構成やセキュリティ対策製品の導入状況、個人情報や機密情報の保管の仕方などを把握する。実際の標的型攻撃でも攻撃前には入念な情報取集が行われる。ラックはヒアリング結果を基に攻撃シナリオを考える。
図3●APT先制攻撃サービスのスケジュール
(ラックのWebサイトから抜粋)
[画像のクリックで拡大表示]
