標的型攻撃に徹底抗戦！「出口対策」強化術

　従来からの愉快犯や金銭目的の攻撃に加え、産業機密の窃取や、思想的・政治的背景を匂わせる国家レベルの「諜報活動」と言える攻撃が表面化したのが昨年のセキュリティ動向の特筆すべき傾向だ。
　国内では昨年後半に衆議院・参議院や行政機関、防衛関連産業を狙った標的型攻撃と、それによるメールや機密情報の流出などの被害が相次いで公表された。またエネルギー産業や軍事に関わる重要インフラ関連情報を窃取しようという試みがいくつもの国で発覚している。さらにターゲット組織のセキュリティ攻略のためにセキュリティツールの技術情報をメーカーから窃取して攻撃を行ったケースまで明らかになった。
　「もしも国家機密や重要インフラの情報がテロリストの手に渡ったら」と安全保障上の不安を誰もが感じたはずだ。また企業のIT部門では「もし自分の企業が標的になったら」とぞっとする思いをされた方も多いだろう。被害を報道されたのは、もともと厳重に情報が保護されているはずの機関・組織ばかりだったからだ。自社が狙われたらひとたまりもないのではないか、多くの人がそう感じただろう。
　セキュリティには堅牢なはずの組織が被害にあったのは、攻撃が計画的で周到に準備したうえで行われたからだ。こうした攻撃は「新しいタイプの攻撃」、「APT（Advanced Persistent Threat）」、「標的型諜報攻撃」などと呼ばれている。その攻撃には、「標的型攻撃メール」が含まれている。これは、実際に業務で使うメールと見分けがつかないような体裁と内容のメールをターゲットに送り、それに添付されているファイルを開くことでウイルスに感染させたり、メール内のリンクによりウイルス配布のために用意されたWebサイトに接続して感染させるようにするものだ。
　感染したPCは、その中の情報を探られ、必要な情報を攻撃者のもとに送信する。攻撃者はその情報をもとに新たな作戦を立て、最終的な目標達成まで、侵入に成功しているウイルスの機能を変更したり追加したり、新しいものにバージョンアップしたりしながら、数々の手口を駆使して情報を漁りとる。昨年の、国内防衛産業への攻撃手口もこのような方法だった。そのおおよそのイメージは図1のようだ。

図1 標的型諜報攻撃の概念と特徴
資料提供：IPA

　図に見るように、攻撃者は本当のターゲットであるA社のPCにスパイウェアを仕込むために、関係先のシステムを先に狙い、A社に確実に侵入できるように準備を行っている。A社には取引先や業界団体などの多数の関係組織があるため、そのうちの1社でもウイルス感染してしまえば、相互のやり取りのメールを盗み見ることが可能になる。そのメールに加工を施すと、通常の業務のためのメールと見まがう体裁と内容のウイルス付きメールを作ることができる。国内の防衛関連産業のケースでは、関係先組織が正規のメールを送信してから約10時間後に、関連組織内のA社を含む数社にウイルス付きのメールが送信されている。
　現在のウイルスは、セキュリティパッチやアンチウイルスツールのウイルスパターンにまだ登録されていない、「ゼロデイウイルス」も多いため、検知できないことが多い。A社では11事業所にわたって計83台のPCやサーバが感染した。
　こうして組織内に侵入したウイルスはその後、外部のリモートコントロール装置（C&Cサーバ）と通信経路を作り、集めた組織内の情報を気づかれないように送り出す。また自分自身をバージョンアップし、攻撃の方法をさまざまに変えていく。
　このような攻撃はインターネットとLANを通じて行われるので、それらと切り離された工場などの単体装置やLAN（クローズ系ネットワーク）なら直接リスクがないと思われてきた。しかし図でも触れているように、感染したUSBメモリをクローズ系システムで利用したために、クローズ系内でも感染を拡大した例がある。
　こうした攻撃や、その後の情報の外部送信に対して企業システムとしてはどのように対策すべきなのだろうか。