前回は、継続的、長時間にわたって機密情報が窃取されるAPT(Advanced Persistent Threat)が多発している現状、および数段階に及ぶ攻撃の実態を、アズジェント セキュリティセンター フェロー 駒瀬彰彦氏に解説していただいた。連載第二回目の今回は、APT攻撃がなぜ高度(Advanced)と呼ばれるのか、その巧妙な手口や攻撃の手法について、機密情報を守る企業・組織が知っておきたい事項を駒瀬氏に伺った。攻撃者の手口、手法をあらかじめ知っておくことが、機密情報を守る対策を講じるための第一歩である。

メールやWebだけでなくUSBメモリにも注意

APT攻撃では、攻撃者が標的とする企業・組織のシステムに何らかの不正プログラムを侵入させる前に、さまざまな事前調査が行われる。なかでも綿密に調査されるのは、不正プログラムを最も侵入させやすいメールだ。

アズジェント セキュリティセンター フェロー
駒瀬彰彦氏

「APT攻撃では、メールを使うことが多いのですが、その手口には2つのパターンがあります。1つはメールの添付ファイルとして不正プログラムを送り込んでくるパターン、もう1つは添付ファイルではなく、メール本文のURLをクリックさせるためのフィッシングメールを送ってくるパターンです」(駒瀬氏)

攻撃者の事前調査では、標的の端末を利用するユーザーがどんな企業と取引を行っているのか、どんな情報ならば資料と偽って送りつけた添付ファイルを開いてしまう傾向にあるかといったことが調べられている。したがって、不正プログラムが添付されたメールを受信し、ユーザーが危険性を認識しないまま、不用意に添付ファイルを開いて不正プログラムの侵入を許してしまう可能性は高い。

フィッシングメールでは、サービスのパスワード変更を促すメールを送信し、本文に記載されたURLをクリックさせ、本物そっくりの偽Webサイトにアクセスさせて、そこからID/パスワードの情報を盗みとったり、あるいはリンク先から直接不正プログラムをダウンロードさせたりする。

IPAに届けられた標的型攻撃メールの分析

インターネットに接続されていない、産業用制御システムでも安心はできない。とりわけ危険なのが、USBメモリだ。 「イランの核施設を標的にした『スタックスネット/Stuxnet』というマルウェアは、USBメモリを侵入媒体としたものでした。これは、USBメモリの中に不正プログラムを仕込み、それをシステムに差し込んだだけで、不正プログラムがシステムに常駐してしまうものでした」(駒瀬氏)

駒瀬氏によれば、このほかにも、システム管理者を騙った攻撃者が電話でID/パスワードを聞き出すようなアナログ的な手口や、SNSを介して友人や同僚、取引先などになりすまし、必要な情報を入手するソーシャルエンジニアリングなどの手口もあるのだという。

時には機器と人間を騙すことも

システムに侵入後、攻撃者が目立つ活動をしないのも、APT攻撃の特徴だという。 「攻撃者はシステム侵入後、バックドアを確立すると、あたかも正規の管理者が通常実行するOSに搭載されている標準機能などを利用し、異常な動作と悟られないように時間をかけて、ネットワークを偵察し、目的情報の所在がわかるまで調査します。場合によっては、どれが目的の機密情報なのか、有識者を使って確認しながら、確実に情報を窃取する組織的な攻撃もあります」(駒瀬氏)

攻撃手法をより詳細に解説すると、次のようになる。まず、攻撃者は標的とするシステムに接続されている内部ネットワークの中に不正プログラムを送り込んだら、侵入経路を確保するためのバックドアを構築する。バックドアが成立したら、BOT(ボット)またはRAT(Remote Administration Tool)と呼ばれる遠隔操作が可能な不正プログラムを送る。攻撃者はRATを使ってコマンドを送ったり、画面を表示したりしながら機密情報を探す。

「RATが侵入した端末からは、その端末のユーザーが利用可能なファイルやディレクトリの閲覧、ファイルのダウンロードや実行およびアップロード、その端末の環境設定のアップデートといった活動が可能となり、Windowsエクスプローラの標準的な機能などを用いて目的情報を調査・ダウンロードし、バックドアを通じて攻撃者に送信し、攻撃の目的が達成されます」(駒瀬氏)

もちろん、多くの企業・組織は、ファイアウォールやIPS(Intrusion Prevention System=侵入防御システム)を導入し、不正なポートスキャンやパケットを監視・ブロックしている。だが、従来のセキュリティ対策では、機器にも人間にも弱点があるという。

「一般的なIPSに言えることですが、いわゆる誤検知が非常に多いのが実情です。管理者の多くは、こうした誤検知がたくさん出てくることに疲弊しています。ログをひと目見て、たいしたことはないと判断し、アラートを発する設定を緩めていく間に攻撃を許してしまうことも多いのです」(駒瀬氏)

つまり、APT攻撃を成功させてしまう前ぶれとして、機器設定の不備や悪影響をもたらす変更が考えられる。機器は人間の指示に忠実だ。人間を騙してしまえば、機能的に優秀な機器であっても隙を作らせてしまう。

では、APT攻撃には、どのような対策が効果的なのだろうか。次回は、機密情報を守るための具体的な対策について紹介する。