標的型攻撃のターゲットは"二極化"している - シマンテック

シマンテックは、2012年5月および6月のデータをはじめとする解析結果を基にした、「シマンテックインテリジェンスレポート 2012年6月度(日本語版)」を発表した。

標的型攻撃のターゲットは大企業から小規模企業へ

標的型攻撃の回数については、2011年12月に1日あたり154回という過去最高を記録した後、 2012年1月は1日あたりの攻撃回数がやや低下したという。しかしながら、2月にはそれ以前のレベルまで戻り、2012年上半期の大部分において、1日の平均攻撃回数はほぼこのレベルで推移したとされる。

この横ばい状態に対して顕著な例外(前述の平均の増加からは除外)が4月に発生し、この月は標的型攻撃の1日あたりの平均回数は468回と最高記録に達したとのこと。その後、5月と6月には平均で151件の標的型攻撃がブロックされたということだ。

2012年上半期における1日あたりの平均標的型攻撃

また、過去6カ月間のすべての標的型攻撃のうち、36%(1日あたり58件)が従業員が250人以下の小規模企業に向けられていたことが発表された。ちなみに、最新のISTRの報告によると、2011年12月末の段階では、この数値は18%であったそうだ。とはいえ、今のところ、従業員数が2,500人を超える大規模企業が受ける攻撃の数は最多であり続けており、1日あたり平均で69件がブロックされているという。

しかしながら、月ごとの傾向を見ると、小規模企業に対する攻撃の増加と、大企業に対する攻撃の減少との間に直接的な相関関係があることは明らかだという。このような変化は、小規模な企業であるほどシステムに侵入しやすいという認識に基づいていると考えられ、攻撃に対応する専任のIT担当者がおらず、サプライチェーンの中で弱いリンクとして見られていることを示している、と推測されている。

シマンテックドットクラウドがブロックした1日あたりの標的型攻撃の平均数(会社規模別内訳) 小規模な企業と大企業への攻撃が抜きん出て多くなっている

標的型攻撃を受けやすい業種と地区別の分布

今年前半は、「防衛産業」が最も標的型攻撃を受けており、1日あたり平均 7.3件の攻撃受けたそうだ。続いて、2位が「化学/製薬業界」、3位が「製造業界」とされている。これらの業界が標的となった割合は2011年よりは明らかに低くなっているものの、「化学/製薬業界」が受ける標的型攻撃は、今もなお全体の20%を占め、「製造業界」が受ける標的型攻撃は全体の約10%を占めているという。

シマンテックドットクラウドがブロックした1日あたりの標的型攻撃の平均数(業種別内訳)

攻撃の標的となっている国および攻撃元と考えられる国を見ると、どちらのリストでもアメリカ合衆国がトップとなっているそうだ。その一方、日本や中国、英国など多くの国が両方のリストに挙がっている。

注目すべき点は、攻撃元の国がそのまま「攻撃している国」と同じではないことだ。実際の攻撃者は、すでに危殆(きたい)化されているコンピュータをプロキシとして使うことが多いという。攻撃者の足跡については、ほとんどの場合これらのシステムまでしかたどれないため、彼らからすればある程度の匿名性が担保されるという。また、危殆化されていると思われるコンピュータと同じ国にあるプロキシを使用すれば、攻撃者は簡単にシステムへのアクセス権を手に入れることができるため、攻撃元の上位5カ国のうち4カ国で、自国が1番目または2番目の標的となっているとのことだ。


攻撃される国	攻撃元の国

新たなマルウェア「Flamer」の新情報

前月のレポートで回答済みとしながらも、同社は新たなマルウェア「Flamer」について、「脅威は完全に分析されつくされた」として、概要に加えて新たに判明した特徴を告知している。

同社は、「Flamer」はそれ以前に猛威を振るった「Stuxnet」や「Duqu」と関連があると明言。初期バージョンの「Stuxnet」には、「Flamer」にも使われている、USBやネットワークデバイス経由で脅威を拡散させる「リソース207」と呼ばれるモジュールが含まれていたということだ。

先月、同社は「Flamer」の拡散について多くを学習したと述べた後、「Flamer」は従来のほとんどのワームのように自動的には拡散されず、そうさせるには攻撃者が指示する必要があると指摘。そのため、同マルウェアのの背後にいる人物は脅威によっていつ、どのように、どのコンピュータを危殆化するかに関して多くの制御権を持っているそうだ。

特に注目すべき事例は、「Flamer」をWindowsの偽の更新として拡散させる手法であるという。脅威の拡散には、マイクロソフトが提供するデジタル証明書が利用され、この証明書は登録済みのターミナルサービスライセンスサーバーからマイクロソフトのルート認証局まで連鎖している。この証明書で不正なコードサイニングが許可されていたため、Windows Updateを介して実行可能ファイルをマイクロソフトの有効な実行可能ファイルであるかのようにして、標的のコンピュータに配布したとのこと。

標的型攻撃の主な目的は検出を免れて悪質な行為を実施することであり、「Flamer」は上記のような手法で拡散されるなど、この点に非常に優れていた。しかしながら、その挙動が攻撃的になったがゆえに、国際的な注目を集めたのだと同社は締めくくった。

標的型攻撃に対する評価とその他の検出結果

シマンテックのサイバーセキュリティインテリジェンスマネージャであるポール・ウッド（Paul Wood）は、これらの結果を踏まえた上で、「ここで忘れてはならないのは、標的型攻撃が増加しているとはいえ、まだ非常にまれであるということです。標的型攻撃は、カスタマイズしたマルウェアと手の込んだ標的型ソーシャルエンジニアリングを活用して、機密情報に不正アクセスします。シマンテックではこれをソーシャルエンジニアリングの次の進化段階であると考えています。このような攻撃では、被害者は事前に調査され、標的として特定されています」として、標的型攻撃が目的を明確にしたものであることを強調した。

その他、フィッシングメールやスパムなどの件数や、具体的な標的型攻撃の事例などについては、同社のレポート(PDF)に掲載されている。