サイバー攻撃で日本人が狙われる時代の脅威 - セキュリティ対策セミナー

防御が非常に難しい標的型攻撃の実際

ラックサイバーセキュリティ研究所主幹研究員中津留勇氏

企業が現在さらされている脅威について、各分野のエキスパートが語るセミナー「従来型では通用しない新たな脅威にどう対処すべきか？急増する未知なる脅威への対策と処方箋」が3月12日に開催された。セミナーの最後に登壇したラックのサイバーセキュリティ研究所主幹研究員である中津留勇氏は「今そこにある脅威」と題し、最新の脅威に関して具体的な事例を挙げて講演を行った。

講演のテーマは大きく2つ。1つ目は「止まらない標的型攻撃」だ。標的型攻撃という言葉はすでに一般化しているが、この流れの発端となったのが2011年の大手防衛産業企業へのサーバ侵入事件だった。

「この事件をきっかけに、さまざまな組織が感染していた事例が発覚した。国に関わる大きな組織が狙われた事例が短期間に続けて報道されたために、大企業等が狙われるというイメージがあるかもしれないが、現在は中小企業を含めたさまざまな範囲で標的型攻撃が行われるようになっている」と語った中津留氏は、典型的なメールによる標的型攻撃について具体例を挙げてあらためて紹介した。

標的型攻撃の多くは、マルウェアの仕込まれたファイルが添付されたメールから始まる。業務メールを装ったメール本文が書かれているだけでなく、添付ファイル自体もWordファイル等のドキュメントファイルを装っており、開いた時にも表向きは一般的なドキュメントが表示される。一見普通の文書に見えるが、文書を閲覧するソフトウェアの脆弱性をついて裏では外部サーバと通信を行う。そこから内部の人間しかアクセスできないサーバへのアクセスが行われ、情報漏えいなどの被害がおこる仕組みだ。

メールによる標的型攻撃の流れ

これらはターゲットを定めて騙すために作られたメールであるため、本文からは見抜くことが難しい。また、市販のウイルス対策ソフト等で検知できないことを確認したマルウェアにより行われる攻撃であるため、防御することが極めて困難だ。さらに、最近では情報共有の枠組みができてきてはいるが、まだ攻撃情報が広まりづらいという問題もある。

標的型攻撃の特徴

「標的型攻撃で使われることの多いマルウェアがRAT（Remote Administration Tool）。他人のPCを遠隔操作できるツールで、簡単に無料で入手できてしまう上に、操作も簡単に行える。こうしたもので1度侵入されてしまうと、何をされていてもおかしくない。標的型攻撃では、受信したメールを開いた結果、使っているソフトウェアなどの脆弱性をつかれ、マルウェアに感染してしまう。そして、外部との通信が行われる。これらの活動のいずれかを断ち切るのが効果的な対策だ」と中津留氏は語った。

RATの動きの例

日本人を狙う事例の増加

2つ目のテーマは「日本人に近づく攻撃」だ。従来は、脅威は海外で誕生し、やがて日本にやってくるという流れがあった。しかし近年になって、日本人をターゲットにした脅威が増加している。日本を詳しく知る犯罪者による攻撃は、日本人特有の言葉遣い、性格、生活習慣、社会、時事を踏まえたものになるため、外国人が片言で行う攻撃よりも1段上の脅威となるという。

「これまで日本語の障壁があったため、海外の欧米圏で流行しているサイバー犯罪や脅威が日本では発生していないと思われることが多かった。近年、日本語が標的型攻撃に使われることが増えている」と、中津留氏は従来とは事情が変わってきていることを指摘。日本語を利用した攻撃が増え始めた段階である今は、まだまだ日本語として不自然なものも多いが、今後自然な日本語が使われるようになるとさらに不正なものの判断や防御も難しくなるだろうと語った。

日本人の言語、性格、生活習慣、社会、時事を踏まえて攻撃が行われる

日本人を狙った攻撃の事例として最初に目についたのは、2008年頃のファイル共有ソフトの利用者を攻撃するものだ。さらに最近ではAndroidアプリで日本人を狙った日本語アプリが登場している。

「攻撃パターンとしてよくある方法は2つある。1つは人気の有料アプリにマルウェアを仕込み、無料アプリとして配布する手法。もう1つは利用者にとって便利なアプリに見せかけてマルウェアが仕込まれたアプリを配布する方法で、後者が最近増えている。例えば、システムの最適化や電波・電池消費の改善ができるとうたって騙す事例が見受けられた」と語った中津留氏が紹介したのが、電波受信状況を改善するという触れ込みのAndroidアプリだ。

メールやSNSからきちんとした日本語で誘導を行い、画面上ではいかにも利用者にとって役に立つアプリであるとアピールする。アイコンのデザインやアプリ内の日本語などのクオリティも高く、利用者に抵抗なくダウンロードさせた上で「この機種は対応していない」と表示する。その裏で外部との通信を行うのだ。このほかに、利用規約をきちんと整えているように見せ、信頼できるアプリだと思わせる方法もあることが紹介された。

「今そこにある脅威」への対策

標的型攻撃から身を守るために企業が実施すべき基本的な対策としては、アプリケーション等に対する適切なセキュリティパッチの適用や、ファイアウォールの導入、セキュリティ監視の実施などがある。しかし高度な脅威に対しては、さらに一歩踏み込んだ対策が必要だ。

「人がミスを起こさないというのは難しい。だからこそ技術的対策をしっかり行い、もし騙された場合にも対処できる仕組みが必要だ。さらに、基本的な運用であれば規定を固めてしまう、セミナーに参加させる、資格取得を義務づけるといった方法などがある」と中津留氏。

さらに、サイバー攻撃を犯罪としてとらえることも重要であると指摘。サイバー犯罪条約への批准のため、2011年から国内でもウイルスの作成等が罪となる法律が整備された。不正アクセス禁止法も改正され、マルウェアを用いてIDやパスワードを盗むことが犯罪として取り締まれるようになっている。こうした知識を持ち、攻撃を受けた時には警察に相談することも必要であると中津留氏は締めくくった。

技術的対策の上で必要となる人の対策

＜他の講演も確認 ⇒ 講演一覧ページはこちら＞