巧妙化する標的型サイバー攻撃。企業・組織の現場担当者からは、「自組織内に知見が少ない中、どうやって攻撃を発見・対処すべきか」という声が聞かれる。この特集では、攻撃者がどんな目的で攻撃するのかを解説し、企業・組織の現場担当者がどう対応すべきか、実践的な対策を提案する。
攻撃対象のホスト名を確認する不正プログラム事例
標的型サイバー攻撃が、その標的に特化した攻撃を継続的に行うと言われるゆえんについて一例を用いて説明します。図2は、国内のある企業が標的型サイバー攻撃を受けた際に、発見された不正プログラムのコードの一部です。
gethostname関数でホスト名を取得し、strupr関数で小文字を大文字に変換後、strstr関数で大文字にしたホスト名の最初の2文字をハードコードされた文字列と比較し、マッチしなければ、プログラムを終了する機能があることを示しています。不正プログラムが、自身の実行された環境が攻撃対象の環境かどうかを判断するための機能です。
図2●ある国内の標的型サイバー攻撃の事例で発見された不正プログラムの一部
[画像のクリックで拡大表示]
2014年末に、ソニー・ピクチャーズエンタテインメント(以下、SPE)が標的型サイバー攻撃を受けたことを覚えている人もいるでしょう。そのときに使われたと思われる不正プログラムにも、社内ネットワークの管理者権限を持つアカウントとパスワードがハードコードされていました(図3)。
これも、その環境に即した不正プログラムを使って攻撃されることを意味しています。先の事例で言うと、サンドボックスのホスト名が変更できない製品やクラウド型の共有サンドボックスを使用している環境下では、攻撃の検出が困難であることを示しています。
図3●SPEへの標的型サイバー攻撃に使用されたとみられる不正プログラムの一部
[画像のクリックで拡大表示]
標的型サイバー攻撃にサンドボックスは有効か?
サンドボックスを使って不審なプログラムを検出する対策は、一定の成果は挙げられるでしょう。しかし、標的型サイバー攻撃全体の対策としては十分ではありません。
