パターンファイルが通用しないAPT攻撃

フォティーンフォティ技術研究所 執行役員 技術本部 先端技術研究部長 村上純一氏。11月22日(火)に開催する本誌主催のセミナー「2011 Webセキュリティセミナー」で「標的型攻撃の実態とその対策」について解説する。

「ネットワークの外側に対する対策はどの企業も講じています。しかし、ネットワークの内側に対してはセキュリティ意識が甘くなる傾向があります。具体的には、パスワードを使い回していたり、脆弱性を放置していたりといったケースがあります。こうした無防備な状態でAPT攻撃を受けた場合、被害は想像以上に拡大します」

そう指摘するのは、フォティーンフォティ技術研究所の村上純一氏だ。フォティーンフォティ技術研究所は、自社セキュリティ製品を展開する一方で、セキュリティの基盤技術の研究開発部門を専門に有する、国内セキュリティベンダーとしては珍しい企業だ。村上氏は、同社で執行役員 技術本部 先端技術研究部長を務め、同社の研究開発部門のトップとして、マルウェアや脆弱性の調査研究、新技術の開発を指揮する。

「APT攻撃は、米国で一昨年から話題になっていて、それが2011年に入って被害が目立つようになったのです。では、なぜ今になって被害が拡大したのでしょうか。また、対策としてどのようなアプローチが求められるのでしょうか。今、被害や攻撃手法の実態を明らかにしたうえで、必要な対策を講じることが求められています」(村上氏)

APT攻撃は、ある特定の企業や人物に狙いを定めて、執拗かつ巧妙に攻撃を繰り返し、最終的に企業が持つ機密情報や顧客情報を盗み出そうとする攻撃だ。攻撃は水面下で行われることがほとんどで、攻撃を受けた側がそれに気づかないことも多い。また、技術的に防御が難しい形で攻撃が行われる。

実際、今年3月にはEMCのThe Security DivisionであるRSAが攻撃を受け、SecurIDトークンに関する情報が盗み出されたが、村上氏によると、正にそのケースだったという。

「APT攻撃の最大の問題は、攻撃者が"後出しじゃんけん"できること。脆弱性を突くマルウェアの検知をパターンベースで行おうとしても、攻撃者はそのパターンをすり抜ける方法をとります。新種のマルウェアはこの半年で1億2,000万件も発生しており、それに対応するパターンを迅速に作ることは不可能に近いです」(村上氏)

ソーシャルエンジニアリングによる攻撃にも注意

最近の攻撃が脅威な点は、攻撃の際に脆弱性以外の要素も悪用されることだ。村上氏がその一例として挙げるのは、今年2月に発覚したHBゲイリーフェデラルへの攻撃だ。HBゲイリーフェデラルは、セキュリティベンダーであるHBゲイリーの子会社で、政府官公庁向けにセキュリティ製品を販売している。

「脆弱性を突いて企業ネットワークの内側への侵入を許すまでは、他の攻撃と同じでしたが、脆弱性に加えて、人の行動が悪用されました。攻撃者は、HBゲイリーフェデラル社内のセキュリティ管理が厳しいと理解したため、メールのアカウントとパスワードを使ったソーシャルな攻撃に切り替えたのです」(村上氏)

HBゲイリーフェデラルに対して行われた攻撃の流れはこんな感じだ。まず攻撃者はHBゲイリーフェデラルの従業員のメールアドレスとそのパスワードをできるかぎり集めたところ、そこにはHBゲイリーフェデラルのCEOに関する複数のアカウント情報も含まれていた。次に、CEOが社内で用いているパスワードでGmailにアクセスできることがわかってしまった。そして攻撃者は、「社内ネットワークに入れないので、VPNやSSHで外から入るためのパスワードを再発行してくれ」とGmailアカウントを悪用してシステム管理者に伝え、パスワードを再発行させることでシステム内部に侵入した。

なお、攻撃者は「ハクティビスト」(ハッカー+アクティビスト)として知られるアノニマスで、このメールのやり取りはすべてアノニマスのWebサイトで公開されている。そもそもアノニマスが攻撃を仕掛けた動機は、HBゲイリーフェデラルのCEOの発言に対する報復だったという。

「この事例はRSAに対する攻撃とは目的は異なるものの、目的達成のために執拗に攻撃手が繰り返される点は同じと言えます。実際、仕事のパスワードと個人のパスワードを使い回している人は少なくないでしょう。こうした状態では、GmailやSNSなどの個人が利用するアカウントが1つ乗っ取られただけで、企業全体の信用の失墜を引き起こしかねないのです」(村上氏)

               *      *      *

APT攻撃では、ここで紹介したもの以外にもさまざまな手口があることがわかっている。そうした攻撃の実態をつかむことは、対策を講じるうえで欠かせないものだろう。

本誌では、11月22日に「2011Webセキュリティセミナー」開催する。同セミナーでは、村上氏が「標的型攻撃の実態とその対策」と題して講演を行う予定だ。講演では、APT攻撃の特徴や近年の動向を踏まえながら、「RSAへの攻撃がどのように行われたのか」、「HBゲイリーではどのような対応を行ったのか」など、具体的な事例を基に標的型攻撃への対策を解説する。

いずれも今後APT対策に取り組むうえで、欠かせない情報と言える。ぜひセミナーに足を運んでいただきたい。