主題を記述する前に、ひとことおことわりしておきたいことがある。

筆者はタイトルにある『標的型攻撃』について、これまで『スピア型攻撃』と呼んできた。しかし、カーネギーメロン大学(日本校)大学院 情報セキュリティ研究科の武田圭史教授がご自身のBlogで述べているように、この呼称は日本でのみ使われているものだ。確かに筆者も海外とのやりとりにおいては、"Targeted Attack"と書いている。このまま『スピア』を使い続けていると、のちのち弊害を生みかねない気もしてきた。そこで、本稿執筆にあたって宗旨替えをし、今後は標的型攻撃(Targeted Attack)と呼ぶことにしたい。どうかお許しを。

特定の企業組織を狙う0-day Exploit

さて、コンピュータウイルスやセキュリティホールについて、ブラックマーケットとの結びつきが指摘されるようになったのは、ごくごく最近のことであろう。加えて、この5月から7月にかけてはMicrosoftのOffice製品に関連する0-day Exploit(事前情報がない状態でいきなり攻撃されること)が発生した(※1)。この事案、特定の企業組織のみを狙った攻撃であったのだという。つまり、0-dayを使った標的型攻撃だったということになる。

※1
JVNTA06-139A
JVNTA06-167A
JVNVU#936945

このように特定の企業組織が狙われること、特に0-dayの悪用に関しては数年前から予期していたが、ついにこのステージまできたかという感触を持っている。

ここで1つ、疑問がある。このような事象が繰り返し起こるのは、コンピュータウイルスやセキュリティホールと、ブラックマーケットのつながりが深まったことにのみ起因しているのだろうか? ということである。

このことに関連して、F-SecureのBlogにこんなエントリが掲載された。要約すると、0-dayを使った標的型攻撃が繰り返し行われているのは、攻撃を仕掛ける側に以下の3つのポイントが有利に働いているためだ、という。

1. Microsoftの修正プログラム提供サイクルは、月に1回と限定されている(ただし、緊急を要する修正プログラムはこの限りではない)
2. 新型マクロウイルスの発生を目にすることがなくなり、また、企業内では日々の業務においてメールなどでOffice文書のやりとりをすることが増えている。このため、Office文書はファイアウォールなどのセキュリティ対策製品によってフィルタされることがなく、また、企業の従業員もこれらのファイルをダブルクリックすることについてなんら警戒心を持たない
3. 被害を受けた企業や組織が悪評を恐れ、その事実を公表したがらない

(1)に関してはそれを裏付ける証跡がある。それは、Excelのセキュリティホールと、PowerPointのセキュリティホールが、修正プログラムの提供された週に発見されていることからもわかる。

(2)に関しては、まず、電子メール添付型のウイルスが跋扈した結果、.exeや.pifといった実行可能ファイルが添付されたメールに対する警戒心が高まった。一方で、それらにあてはまらないものは「大丈夫だ」と認識してしまう傾向があるのではないのか、ということになる。

最後に(3)である。これは恥じらいという感情を持つ、慎み深い日本人固有の事象であると思っていたが、どうやらそうではないらしい。海外においても、「あの企業は情報セキュリティ対策がしっかりしていない」という風評が立つことを恐れ、事実を公表したがらない傾向にあるのだ。

筆者も、特に最後の点に関しては痛感しているが、国内の状況を考えると、もはや看過できない地点にきているという実感もある。その理由のひとつを答えよう。

今年の5月、「第10回 コンピュータ犯罪に関する白浜シンポジウム」が開催された。その講演で警察庁生活安全局情報技術犯罪対策課長の坂明氏は、警察庁や防衛庁といったわが国の中枢機関に対して標的型攻撃が行われていると説明されていた(PDF)。ネガティブなイメージを持たれるという懸念の中、こういう発表をされたことについて筆者は敬意を表したい。それと共に、このコラムで標的型攻撃を説明することが、今すべきことの1つなのではないかと思うに至った。

次回以降は、この標的型攻撃という脅威について詳細を追っていく。