2015年は、著者のようなサイバー攻撃のインシデント対応に従事する者にとって、大変忘れがたい年となりました。2015年6月の日本年金機構への標的型サイバー攻撃による情報漏えい事件以降、国内の多数の企業・組織が標的型サイバー攻撃の被害を公表したからです。

 「攻撃されるのは特別な企業・組織であり、自社は関係ない」という認識を改めた方も多いのではないでしょうか。一方、巧妙化する標的型サイバー攻撃への対応を迫られ続けている企業・組織の現場担当者からは、「自組織内に標的型サイバー攻撃に対する知見が少ない中、どのように攻撃を発見・対処すべきか」という悲痛な声が聞かれます。

 本特集ではトレンドマイクロが標的型サイバー攻撃のインシデント対応で培った知見を下に、攻撃者がどのような目的で攻撃を行うのかに迫り、企業・組織の現場担当者がどのように対応をすべきか、当社が考える実践的な対策を提案します。

攻撃の様子を再現して解説

 トレンドマイクロには、サイバー攻撃の被害に遭った企業・組織のインシデント対応をサポートするサイバー攻撃レスポンスチームがあります。このチームは、インシデント対応時に、不正プログラムの解析、デジタルフォレンジックス技術を使った原因究明、セキュリティベンダーが実施するインシデント対応ならではの不正プログラムの一斉検出および駆除、といった復旧支援を実施しています。

 この特集では、著者が実際に分析した端末のハードディスク、メモリーイメージ、不正プログラムやサーバーに残されたログなどの解析経験を基に一連の攻撃の流れを再現していきます。特に、攻撃者が侵入後に行う「内部活動」について重点的に説明します。

 なお、ここで取り上げる標的型サイバー攻撃とは、「重要情報の入手を最終目標として、時間、手段、手法を問わず、目的達成に向け、特定の組織を攻撃対象として、その標的に特化して継続的に行われる一連の攻撃」を指します(図1)。

図1●標的型サイバー攻撃の攻撃段階
図1●標的型サイバー攻撃の攻撃段階
[画像のクリックで拡大表示]

 一般に「APT(Advanced Persistent Threat)攻撃」、「持続的標的型サイバー攻撃」と呼ばれる場合もあります。今回は、その中でも2015年6月以降に多数報告された日本の企業・組織を標的にした標的型サイバー攻撃の内部活動を中心に説明します。まずは、標的型サイバー攻撃の特徴を示す、3つの数字を紹介しましょう。