日本に対する組織的なサイバー攻撃のターゲットが、政府機関や防衛産業から、電力、石油、ガス、金融、交通、建設といったインフラ関連の民間企業へシフトしている――。米国のセキュリティベンダーである米Cylanceが2016年2月末、このようなレポートを公表した。
Cylanceによれば日本に対する組織的なサイバー攻撃を行っているのは「アジアに拠点を置く脅威グループ」で、同社はレポートで一連の攻撃を「Operation Dust Storm(砂嵐大作戦)」と名付けている。同レポートによれば「砂嵐大作戦」に関連する攻撃は2010年にまで遡れるという。
この犯行グループの攻撃の特徴は、ターゲットとする企業の社内のパソコンに「バックドア」を仕掛け、その企業から長期的に情報を盗み出すことにある。バッグドアは犯行グループからの指示を受け取ったり、盗み出した情報を社外に送り出したりする際に「コントロールサーバー」というインターネット上に存在するサーバーと通信を行う。そのため、バックドアが通信するサーバーのドメイン名やIPアドレスから犯行グループが特定可能だ。
Cylanceはこれまでに集めた様々なバックドアのプログラムを分析することで、ある特定のコントロールサーバーを利用する犯行グループと、その犯行グループが使用してきた一連のバックドアを特定した(図)。2012年に設立したCylanceがそれ以前の2010年にまで遡って犯行グループの動きを分析できたのは、様々な方法でバックドアのプログラムを集めて分析したからだという。
標的型攻撃や水飲み場型攻撃を実行
犯行グループがターゲット企業のパソコンにバックドアを仕込む手口はこうだ。ターゲットとする組織や企業の社員が社外で講演などを行うと、その直後に講演に関する質問内容がメールで送られてくる。そのメールの中に記されているURLをクリックすると、リンク先のWebサイトには「Internet Explorer(IE)」や「Adobe Flash」の脆弱性を突くマルウエアが仕込まれていて、パソコンにバックドアが仕込まれてしまう。このような標的型攻撃が2011年に確認されているという。
