増加する標的型攻撃

図4 個人が狙われる標的型攻撃の例

この数年標的型攻撃という言葉を耳にした方も多いと思う。「標的」という言葉の通り、特定の人間を攻撃対象とするものである。そして、攻撃の多くが企業や組織の重要情報を最終目標としている。ならば個人では、縁遠いと思われるかもしれない。しかし、攻撃のきっかけとして個人が狙われることも少なくない。標的型攻撃は登場して数年が経つが、さまざまな手口が使われてきた。ここでは、個人が狙われる標的型攻撃の一例を紹介しよう。まず、知人や知り合いを装ったメールが自宅に送信される(図5)。なりすまし以外は、ごくありふれた光景である。

もし、知り合いからこのようなメールが届いたらどう思うか?パーティのことなど寝耳に水であっても「会場はどこだ?」くらいの気持ちで添付ファイルを開こうとするだろう。不審に思う可能性はかなり低い。結果、仕込まれているウイルスに感染してしまうのである。ウイルスは目立った活動は行わず、感染ユーザーのPCなどから、社内ネットワークへの侵入の機会をうかがう。ノートPCやタブレットなどを社内ネットワークに接続する機会を狙うのである。また、USBメモリ(最近は、使用制限をかけるケースも増えてきてはいるが)などを媒介とすることもある。一度、社内ネットワークの侵入に成功すれば、さらに感染を拡大させ、重要情報にアクセスしようとする。

図5 攻撃に使われるメール例

自分は重要情報を保存していない、また、立場や役職も低いから大丈夫と思うのは間違いである。攻撃者は、社内ネットワークに侵入できる抜け穴を探しているのだ。最初に感染したユーザーは誰でもよいのである。攻撃者にとっては、社長も平社員も関係ないのである(もちろん最初から社長秘書のPCに侵入できたら、犯罪者はラッキーとは思うだろうが)。セキュリティのあまいPCやデバイスを狙っているのである。2012年に注目を集めた遠隔操作ウイルスでも、ウイルスに感染するのは誰でもよかった。感染したPCを踏み台にして、不正な書き込みを行うのが目的である。したがって、自分には関係ないなどと思っていると、いつのまにか被害者(状況によっては加害者にさえ)になる危険性もあるのだ。

攻撃者はSNSのプロフィールを狙う

こうして、攻撃者は社内ネットワークに侵入し、重要情報を盗み出せるようになる。さて、ここで疑問に思われるかもしれないが、どうやって友人や知り合い、または取引先などになりすましているのであろうか?1つの方法がSNS(ソーシャルネットワークサービス)などのプロフィールの悪用である。

図6は最近、国内でもユーザー数を増やしているサービスの1つ LinkedIn(リンクトイン)のプロフィール画面である。会社名、役職、業務内容等が詳細に登録されているのが分かる。これは効率的にビジネスチャンスを得たり、転職・就職活動などで利用するために、ユーザーが履歴書や経歴などの情報を登録しているのである。これを悪用すれば、取引先や上司などになりすまし、「つながり」を持つことも不可能ではない。攻撃者が狙いのユーザーといったん「つながり」を持ってしまえば、一般には非公開とされている個人情報などにもアクセスができ、ターゲットとしているネットワークへの侵入への足がかりをつかむことができるのである。

図6 LinkedIn(リンクトイン)で登録される情報

最近では、PC以外でも、個人情報にアクセスするようなアプリなどが増えてきている。それらがすべて悪用しているとはもちろん言えないが、一部のアプリなどでは、その危険性が危惧されている。攻撃者のブラックマーケットでは、こういった情報も活発に取引されており、一部は標的型攻撃にも悪用されていると思われる。

未知の脆弱性や新種のウイルスが使われる

標的型攻撃において、特徴的なことがもう1つある。この点について、シマンテックセキュリティレスポンスシニアマネージャの浜田譲治氏は「標的型攻撃では、未知の脆弱性を悪用する手口が使われます。攻撃者らにはアプリやOSの脆弱性を見つけ出す、専門部隊が組織されていると思われます。こうして見つかった脆弱性は、ベンダーにも知られていません。当然、セキュリティパッチも提供されない状況ですので、まったく無防備な状態となります。当然、攻撃の成功率も高くなります。さらにウイルスなども個々の標的に対し、専用のウイルスが使われることがあります。これは、従来の定義ファイルによるスキャンでは防ぐことができません」と語る。従来のウイルス対策だけでは、防ぐことが難しい点にも注意したい。

冒頭の表に登場するラブレターウイルスについて少し触れてみたい。このウイルスに感染すると、保存されたメールアドレスに対し、「I Love you」という件名でメールを送信する。本文には、「kindly check the attached LOVELETTER coming from me」(このメールに添付しているファイルをチェックしてください)とあり、この添付ファイルを開くことで感染する。ここでも知り合いという手口が使われている。さらにラブレターという興味を持たざろうえない状況を演出し、感染が劇的に拡大した。

このようなちょっとした油断を狙う手口は、現在でも効果的といえる。したがって、標的型攻撃でも使われているのだ。しかし、明確な金銭目的、そして悪質さの度合いは桁違いに高くなっている。当時とは、大きく環境が変化していることを忘れてはならない。