SANS、情報セキュリティの動向と対策 - 侵入された後をどうするのかが鍵に (1) 破壊力が高い3タイプの攻撃方法

ニュース
トップ

【レポート】

SANS、情報セキュリティの動向と対策 - 侵入された後をどうするのかが鍵に

1 破壊力が高い3タイプの攻撃方法

小林行雄  [2009/07/17]
  • <<
  • <

1/5

情報セキュリティの現状

セキュリティ研究調査機関である米SANS Instituteは7月16日、都内で記者会見を開催し、情報セキュリティの現状と新しい潮流についての説明を行った。

SANS Instituteの調査研究部門ディレクターであるAlan Paller氏

「現在、もっとも効果があり破壊力を持つ攻撃は3タイプ存在する」とSANSの調査研究部門ディレクターのAlan Paller氏は語る。その3つというのは、1つ目がソーシャルエンジニアリングとゼロディアタックを組み合わせたもの。2つ目がWebサイトのソースコードに組み込んでおいて、訪問者に感染するもの。3つ目がサプライチェーンアタックである。

1つ目の攻撃パターンの効果が顕著なのが、Salesforce.comがアタックを受けた件。Salesforceのデータベースには企業のCEOなどのデータが多くあり、ここに侵入され、通常のスパムでは手に入らないような個人情報が奪取され、そのデータを基に個々人にFTC(Federal Trade Commission)を語ったメールを送付。それを開いたユーザーはマルウェアを組み込まれ、最終的にはキーロガーを埋め込まれ、銀行口座の情報のほか、それを元に株価操作なども行われたという。

また、これらの手法はスパイ活動としても用いられ、1晩の内に米軍のヘリのミッションプランがすべて盗まれたほか、空軍では20TBのデータが盗まれたという。これは米国だけでなく、英国、オーストラリア、日本、マレーシアなども同様のことが起きており、サイバースパイを行っている国は全世界で100カ国以上に及ぶものと推測される。

ゼロデイアタックなどはスパイ活動などにも用いられる

さらに産業スパイとしても活用されているという。例えば中国では、中国企業と韓国企業が合弁で事業を行っている際、人民解放軍が韓国企業のコンピュータにアクセスしていたことがあるという。これは、両社の交渉事に対し、どこで妥協するかなどを調べ、交渉を中国側に優位に進めるために行われたものと推測される。これが現実に起きた証拠として、英MI5では、英国企業300社のCEOに対し、人民解放軍のこうした行動に対する注意喚起を促したことがあるという。

2つ目のWebサイトでの感染は、訪問者が安全だと思うような政府機関や国連サイト、大企業のサイトが狙われるという。また3つ目のサプライチェーンアタックは、製品の製造過程で感染を行うというもの。具体的には、最低2人がかりで、1人がプログラムのソースにマルウェアなどを埋め込む役割で、もう1人が製品品質のテスト担当者になって、製品を出荷させるというもの。例えば、デジタルフォトフレームとmp3プレーヤでのこうした感染件数は、2008年では1000件あたり1件の割合で存在したという。これは組織的に行われる場合があり、国家の指示のもと、実行されている可能性もあるという。

また、サプライチェーンアタックとしては偽物の製品を用いる場合もあるという。FBIの捜査によると、Ciscoのルータで起こった事件で、「本物のルータが1375ドルなのに対し、偽物のルータは234ドルで済むことから、元々は金儲けのためだと思われる」(同)とするが、「各国政府は、他国のコンピュータをなんとしてでも乗っ取りたいと常に考えており、こうした偽ルータが政府施設などで用いられることとなれば、相手国政府のIT関連を混乱させることができるようになる」(同)と指摘し、これを実現するには、ユーザーに製品が渡る前に実行する方が楽にできるとした。

左が偽のルータ、右が本物のルータ

3つともに、破壊力が高く、「侵入を食い止められないのが現状」(同)という。そのため、ハッカーがこういった行為をやりにくいようにしていく必要があるとした。

  • <<
  • <

1/5

インデックス

目次
(1) 破壊力が高い3タイプの攻撃方法
(2) 2つの変化が起きる可能性
(3) サイバースペース防衛の重要性を認識した米国政府
(4) どうやって優秀な人材を発掘するか
(5) CIOレベルでセキュリティの在り方を変更
関連したタグ

    マイナビニュースのセミナー情報

    オススメ記事

    マイナビニュースの集合特集

    新着記事

    転職ノウハウ

    あなたの仕事適性診断
    あなたの仕事適性診断

    4つの診断で、自分の適性を見つめなおそう!

    Heroes File ~挑戦者たち~
    Heroes File ~挑戦者たち~

    働くこと・挑戦し続けることへの思いを綴ったインタビュー

    はじめての転職診断
    はじめての転職診断

    あなたにピッタリのアドバイスを読むことができます。

    転職Q&A
    転職Q&A

    転職に必要な情報が収集できます

    ドS美人面接官 vs モテたいエンジニア
    ドS美人面接官 vs モテたいエンジニア

    入室しようとしたら、マサカリ投げられちゃいました!?

    特別企画

    一覧

      人気記事

      一覧

      イチオシ記事

      新着記事

      特別企画

      一覧

        求人情報