シスコシステムズのユーザカンファレンス「Cisco Networkers 2006」が7日から9日まで都内にて開催されている。2日目となる8日には、ラックの代表取締役社長兼執行役員の三輪信雄氏が「標的型攻撃の進化で本格化する情報セキュリティガバナンス」と題した基調講演を行った。

潜行型インシデント

三輪氏が代表を務めるラックは元々システムインテグレーションを中心に事業を展開していたが、95年頃からセキュリティ事業を手がけるようになった。三輪社長は「(95年)当時、ネットワークインシデントは(現象として)分かりやすかった」と当時を振り返る。Code Redなどのネットワークワームは感染が大規模で問題をすぐに共有することができ、また、情報漏えいもそれが掲示板に貼り付けられるなどしてすぐに問題を特定することができたからだ。

しかし、最近の傾向は違う。「ネットワーク、あるいはコンピュータの中で起こっているインシデントが潜行型になっている。インシデントそのものが潜行型なのだ」と、現在の顕在化しにくい脅威とインシデントをまとめる。「プロ化してきていると言い換えられる。金銭、他国への攻撃、秘密情報の取得など、目的は様々だ」(同)

「脅威自体が分かりにくくなっているのに、脅威そのものもより危険になってきている」

潜行型の脅威「標的型攻撃」

こうした顕在化しない脅威、潜行型の脅威の典型的な例として、近年「標的型攻撃」(Targeted Attack)がよく話題に上る。特定の組織・個人を標的とした攻撃のことで、カスタマイズされた、あるいは新規に起こされた悪意のプログラムが用いられることが多いため、ウイルスワクチンなどのセキュリティソフトでも検知できないものが多々あるという。

三輪氏は標的型攻撃を、「特定企業や政府機関を狙った内部ネットワークへの主にメールを用いた攻撃」と定義する。「ウイルスと言うよりも、悪質なプログラムをメールに添付して実行させると、リモートから操作が可能になったり、情報を漏えいを引き起こしたりする」と三輪氏。続けて「ワームやウイルスは流行した瞬間にすぐ(事態が)露見するため、セキュリティベンダは迅速に対応できた。つまり顕在化してしまえば、それを犯罪に利用することができないということになる」と語る。

事態を把握することが対応の第一歩となるが、「ウイルスワクチンに見つからないようにするのは簡単。バレないようにしたらいいだけだ。セキュリティベンダは世界中に設置しているセンサーに反応したプログラムなどを収集・分析し、(パターンファイルの配布などで)対処している。そのため、大規模な攻撃を仕掛けなければ見つかることはない」という。もっとも、ヒューリスティック/ビヘイビア手法を用いるなど、「セキュリティベンダも様々な技術を用いて対抗しようとしている」が、まだまだ改善の余地があるのだという。

「ボットは分かりにくいと言われながらも、(トラフィックなどを)見ている人には分かる。しかし、特定企業の特定個人に送られるメールというのは分かりにくい。ISPでも分からない」のが現状だ。

標的型攻撃で用いられる悪質なプログラムについては、「技術的にはウイルスと同じ」なのだという。ただ、「ウイルスは自己増殖し、広がるという動きがあった。しかし標的型攻撃の場合は、とにかくダブルクリック(して実行)させる。また、バッファオーバーフローの脆弱性を利用して、メールを開いた瞬間に特定のプログラムを自動実行させる」とのことで、技術的にはウイルスと変わらないが、規模を重視しないため性格が異なってくるのだという。

標的型攻撃の手法と性格から、数年前は「サイバー犯罪の手口に『なるのではないか』と言われていた。しかし現在は『なっている』といえる」。