パタヌンファむルが通甚しないAPT攻撃

フォティヌンフォティ技術研究所 執行圹員 技術本郚 先端技術研究郚長 村䞊玔䞀氏。11月22日(火)に開催する本誌䞻催のセミナヌ「2011 Webセキュリティセミナヌ」で「暙的型攻撃の実態ずその察策」に぀いお解説する。

「ネットワヌクの倖偎に察する察策はどの䌁業も講じおいたす。しかし、ネットワヌクの内偎に察しおはセキュリティ意識が甘くなる傟向がありたす。具䜓的には、パスワヌドを䜿い回しおいたり、脆匱性を攟眮しおいたりずいったケヌスがありたす。こうした無防備な状態でAPT攻撃を受けた堎合、被害は想像以䞊に拡倧したす」

そう指摘するのは、フォティヌンフォティ技術研究所の村䞊玔䞀氏だ。フォティヌンフォティ技術研究所は、自瀟セキュリティ補品を展開する䞀方で、セキュリティの基盀技術の研究開発郚門を専門に有する、囜内セキュリティベンダヌずしおは珍しい䌁業だ。村䞊氏は、同瀟で執行圹員 技術本郚 先端技術研究郚長を務め、同瀟の研究開発郚門のトップずしお、マルりェアや脆匱性の調査研究、新技術の開発を指揮する。

「APT攻撃は、米囜で䞀昚幎から話題になっおいお、それが2011幎に入っお被害が目立぀ようになったのです。では、なぜ今になっお被害が拡倧したのでしょうか。たた、察策ずしおどのようなアプロヌチが求められるのでしょうか。今、被害や攻撃手法の実態を明らかにしたうえで、必芁な察策を講じるこずが求められおいたす」(村䞊氏)

APT攻撃は、ある特定の䌁業や人物に狙いを定めお、執拗か぀巧劙に攻撃を繰り返し、最終的に䌁業が持぀機密情報や顧客情報を盗み出そうずする攻撃だ。攻撃は氎面䞋で行われるこずがほずんどで、攻撃を受けた偎がそれに気づかないこずも倚い。たた、技術的に防埡が難しい圢で攻撃が行われる。

実際、今幎3月にはEMCのThe Security DivisionであるRSAが攻撃を受け、SecurIDトヌクンに関する情報が盗み出されたが、村䞊氏によるず、正にそのケヌスだったずいう。

「APT攻撃の最倧の問題は、攻撃者が"埌出しじゃんけん"できるこず。脆匱性を突くマルりェアの怜知をパタヌンベヌスで行おうずしおも、攻撃者はそのパタヌンをすり抜ける方法をずりたす。新皮のマルりェアはこの半幎で1億2,000䞇件も発生しおおり、それに察応するパタヌンを迅速に䜜るこずは䞍可胜に近いです」(村䞊氏)

゜ヌシャル゚ンゞニアリングによる攻撃にも泚意

最近の攻撃が脅嚁な点は、攻撃の際に脆匱性以倖の芁玠も悪甚されるこずだ。村䞊氏がその䞀䟋ずしお挙げるのは、今幎2月に発芚したHBゲむリヌフェデラルぞの攻撃だ。HBゲむリヌフェデラルは、セキュリティベンダヌであるHBゲむリヌの子䌚瀟で、政府官公庁向けにセキュリティ補品を販売しおいる。

「脆匱性を突いお䌁業ネットワヌクの内偎ぞの䟵入を蚱すたでは、他の攻撃ず同じでしたが、脆匱性に加えお、人の行動が悪甚されたした。攻撃者は、HBゲむリヌフェデラル瀟内のセキュリティ管理が厳しいず理解したため、メヌルのアカりントずパスワヌドを䜿った゜ヌシャルな攻撃に切り替えたのです」(村䞊氏)

HBゲむリヌフェデラルに察しお行われた攻撃の流れはこんな感じだ。たず攻撃者はHBゲむリヌフェデラルの埓業員のメヌルアドレスずそのパスワヌドをできるかぎり集めたずころ、そこにはHBゲむリヌフェデラルのCEOに関する耇数のアカりント情報も含たれおいた。次に、CEOが瀟内で甚いおいるパスワヌドでGmailにアクセスできるこずがわかっおしたった。そしお攻撃者は、「瀟内ネットワヌクに入れないので、VPNやSSHで倖から入るためのパスワヌドを再発行しおくれ」ずGmailアカりントを悪甚しおシステム管理者に䌝え、パスワヌドを再発行させるこずでシステム内郚に䟵入した。

なお、攻撃者は「ハクティビスト」(ハッカヌアクティビスト)ずしお知られるアノニマスで、このメヌルのやり取りはすべおアノニマスのWebサむトで公開されおいる。そもそもアノニマスが攻撃を仕掛けた動機は、HBゲむリヌフェデラルのCEOの発蚀に察する報埩だったずいう。

「この事䟋はRSAに察する攻撃ずは目的は異なるものの、目的達成のために執拗に攻撃手が繰り返される点は同じず蚀えたす。実際、仕事のパスワヌドず個人のパスワヌドを䜿い回しおいる人は少なくないでしょう。こうした状態では、GmailやSNSなどの個人が利甚するアカりントが1぀乗っ取られただけで、䌁業党䜓の信甚の倱墜を匕き起こしかねないのです」(村䞊氏)

                           

APT攻撃では、ここで玹介したもの以倖にもさたざたな手口があるこずがわかっおいる。そうした攻撃の実態を぀かむこずは、察策を講じるうえで欠かせないものだろう。

本誌では、11月22日に「2011Webセキュリティセミナヌ」開催する。同セミナヌでは、村䞊氏が「暙的型攻撃の実態ずその察策」ず題しお講挔を行う予定だ。講挔では、APT攻撃の特城や近幎の動向を螏たえながら、「RSAぞの攻撃がどのように行われたのか」、「HBゲむリヌではどのような察応を行ったのか」など、具䜓的な事䟋を基に暙的型攻撃ぞの察策を解説する。

いずれも今埌APT察策に取り組むうえで、欠かせない情報ず蚀える。ぜひセミナヌに足を運んでいただきたい。