第4回では、攻撃者が諜報活動にブラウザー・フィンガープリンティング(Browser Fingerprinting)と呼ばれる技術や、悪意のあるスクリプトをまとめた諜報用ツールキット「SCANBOX」を用いている脅威を取り上げた。本連載の最終回となる第5回では、当社のスレットリサーチラボの分析で見えてきた諜報活動の全体像と、企業や団体での対策方法を解説する。
情報収集サイトは著名サイトにURLも中身も似せる
早速だが、攻撃者による日本の組織を標的とした諜報活動の全体像を図1に示す。スレットリサーチラボの分析の結果から見えてきたもので、攻撃者はSCANBOXなどさまざまなテクニックを駆使している。順を追って説明しよう。
図1●諜報活動の全体像
[画像のクリックで拡大表示]
まず、攻撃者も諜報活動を始めるに当たって、準備が必要だ。具体的には、ブラウザー・フィンガープリンティングやSCANBOXなどを用いて情報収集するための「情報収集Webサイト」と、そこに誘導するための「誘導Webサイト」を準備する。
誘導Webサイトもさまざまあるが、スレットリサーチラボが今回分析した結果では国内の政府機関や特定機構、企業などのドメインを模したものを準備し、アクセスしてくるユーザーに疑念を持たせないようなテクニックが巧妙に使われていた。具体的には、図1の通り、著名な企業や政治団体などのWebサイトのURLを模したドメインが利用されており、これは情報収集Webサイトでも同様だった。誘導Webサイトを分析すると情報収集Webサイトへの誘導コードも判明した(図2)。
図2●誘導Webサイトに仕込まれていた誘導コード
[画像のクリックで拡大表示]
