【コラム】
ITセキュリティのアライ出し
5 標的型攻撃に関する一考察(2) - 関連資料から探る脅威の実像(前編)
標的形攻撃はいつから現実の脅威となったのか? その過去を整理することで、現況の認識を正していきたいと思う。
筆者の狭い知見の中で、大きく報道された標的型攻撃の事例のひとつに"Taitan Rain"があった。これはつい昨年のことである。
2005年の8月末、FCW.COM、Washington Post、TIMEといった米国のメディアが報道したのは「中国を発信源とする侵入の試みが、米国防総省をはじめ複数の政府機関のコンピュータネットワークに対して行われている」ということであった。"Taitan Rain"は、米国の政府筋から出ているコードネームであり、2003年から継続的にやってくる、中国が発信源とみられる一連の攻撃のことをさすのだという。攻撃の目的は情報を盗み出すことであるとされ、また、盗み出されたデータは、香港、台湾、韓国といった地域のコンピュータを中継してどこかへ送信されていくのだという。
さらにTIME誌によれば、中国の関連当局は「根拠がない」とこれらの報道を否定したという。また、米国務省の広報担当者は同誌の質問に対し、「われわれのコンピュータシステムへの脅威は、多様な発信源から検出され、かつ、その特定は困難を極める。中国とそれ以外の国々を発信源とする、われわれのシステムへの攻撃を防がねばならない。犯罪者は侵入に利用可能な脆弱性を、無防備な(踏み台の)コンピュータから絶えず探しているのだ」と語ったという。
事実、発信源の特定は困難を極める。よってこの稿でそれを推定することは無意味であり、無責任であるため、これ以後、扇動的な個所に触れるのは控えたいと思う。ただ、いくつかの報道に触れていくことで標的型攻撃の脅威の本質を探っていく手がかりとしたい。
さて、実際こういった話は英国でも報道されており、同じ昨年6月の時点で英NISCCから注意喚起が出されている。このときもそうであったが、標的型攻撃については伝聞情報ばかりで実際のゲンブツ(検体)となるとまったく表に出てこない。このため、参照先となっている説明資料からその実像を考えてみたい(※1)。なぜなら、実際に対処すべき事案を想定し、気を払うべきポイントがこの資料には明記されているため、それはそのまま実像(あるいは手口)に迫っていると想定できるからだ。
※1: Targeted Trojan Email Attacks(PDF)
この資料は、タイトルにある通り"Targeted Trojan Email Attacks"に関するものである。「電子メールを使ってトロイの木馬に感染させる標的型攻撃」と訳すことができるだろう。以下、当該資料の「Attack Description」の項からいくつか特徴とおぼしきものを拾っていきたい。
- この攻撃で用いられるのは、一方的に送りつけられる電子メールに添付されたトロイの木馬ファイルか、あるいはそうしたファイルを設置しているWebサイトへ誘導させるリンクの記載である。これらのファイルがひとたび開かれると、トロイの木馬に感染することになる
- フィッシングや電子メール媒介型のウイルスとは異なり、攻撃者は特定の政府および民間組織を当該攻撃の標的としている
- トロイの木馬の『能力』はこっそりと機密情報を収集し、転送することが主目的であることを示唆している
- 電子メールのSubject:行を、受信者の関心を惹くニュース記事にするといったソーシャルエンジニアリング手法が用いられることがしばしばある。そして政府機関や通信社といった信頼できる組織から送信された電子メールを装うことで、受信者を騙す
- トロイの木馬を混入させるファイルは、文書ファイル、データベースファイル、実行可能ファイル(.exe)、ヘルプファイル(.chm)、そして圧縮ファイル(.zipないし.rar)である。また、ファイルを開くと既知の脆弱性が悪用され、最終的にトロイの木馬に感染してしまうこともある
- ウイルス対策ソフトによる検出を避けるために、「オープンソース」ならびに「カスタムメイド」のトロイの木馬が使われた。トロイの木馬の種類の多さと継続的な変化は、コンピュータネットワークへの侵入を確実なものにするための攻撃者側の戦略であるとみることができる
- トロイの木馬は、攻撃者へコネクトバック方式で通信を行う。このとき使用されるポート番号は一般的なアプリケーションで利用されるものと同一(例: TCP/80(Web))であるため、送出されるデータを検出することが困難である。同様に、一般的なアウトバウンドの通信をファイアウォールが許可しているのであれば、これらの通信を遮断することはできない
以上が、当該事案における標的形攻撃にみられる特徴なのだそうである。そして、この資料で注意喚起されている事案が終了したという宣言は発せられていない。
次回は、これらの特徴の詳細と標的型攻撃の具体像に触れていく。
関連記事
| Windowsのパッチ適用を早急に - 9日提供のパッチに早くも攻撃とUS-CERT [2006/8/10] |
| 既知のPowerPointの脆弱性も修正 - MS、12件の月例パッチを公開 [2006/8/9] |
関連サイト
| FCW.COM |
| washingtonpost.com |
| TIME Magazine |
| 米国務省(US Department of State) |
| Guardian |
| NISCC(National Infrastructure Security Co-ordination Centre) |
| ラック |
【コラム】ITセキュリティのアライ出し 第6回 標的型攻撃に関する一考察(3) - 関連資料から探る脅威の実像(後編)
【コラム】ITセキュリティのアライ出し 第4回 標的型攻撃に関する一考察(1) - 0-day Exploit利用形の頻発
新着記事
| 理研、脳・脊髄形成に必要な神経板湾曲の仕組みを解明 [20:16 5/25] |
| 京大、「慢性閉塞性肺疾患」患者の労作時呼吸困難は鍼治療が有効と実証 [20:08 5/25] |
| 120Hz SHVカメラ用イメージセンサーを使った撮像装置 - SHVフルスペック化へ [18:10 5/25] |
| 京大、視覚による物体認知は前頭前野からのトップダウン信号が重要と確認 [17:45 5/25] |
| 製品数の拡大だけでなくBCPの展開なども含めた総合力で事業の強化を図るTI [17:25 5/25] |
特設サイトの情報
求人情報
人気記事
一覧イチオシ記事
新着記事
|
【連載】これだけは要チェック! TOEIC(R)単語帳 第108回 今回のお題は…「issue」 [20:00 5/27] キャリア |
|
TVアニメ『ペルソナ4』、新規カットを加えた再編集版を劇場でイベント上映 [20:00 5/27] ホビー |
|
[9nine]制服姿見納め? セーラー服で登場も川島海荷「4人はコスプレ」 [19:15 5/27] エンタメ |
|
「NO.6」4巻は書き下ろしドラマCD付、木乃のサイン会も [18:49 5/27] ホビー |
|
[今週の新刊]マンガ大賞3回ノミネート「アイアムアヒーロー」 カープ愛「球場ラヴァーズ」も [18:33 5/27] ホビー |
特別企画
転職ノウハウ
4つの診断で、自分の適性を見つめなおそう!
働くこと・挑戦し続けることへの思いを綴ったインタビュー
あなたにピッタリのアドバイスを読むことができます。
転職に必要な情報が収集できます
企業からアプローチのメッセージが届きます。
サービス一覧
