「確率は低いが被害は甚大」--脅威を増す標的型攻撃

文:Joris Evers(CNET News.com) 翻訳校正:大熊あつ子、吉武稔夫、福岡洋一2006年10月16日 22時50分
  • このエントリーをはてなブックマークに追加

 モントリオール発--最も危険なサイバー攻撃のなかには、ほとんど検出不可能に近いものもある。

 Virus Bulletinが当地で現地時間10月12日に開催した会議「VB2006」で、セキュリティ専門家たちは、大勢のユーザーのメールボックスに無作為に送りつけられるワームやウイルス、トロイの木馬は、一般的に言って、もはや深刻な脅威ではなくなったと語った。その代わり現在では、特に企業や組織に標的を定めたトロイの木馬が、悪夢のような被害をもたらすようになっているという。

 「標的を定めたトロイの木馬は、全体の脅威のなかではまだごくわずかな割合に過ぎないが、トップ企業が最も懸念している問題でもある。担当者たちは、心配のあまり夜も眠れないほどだ」と、Symantecでセキュリティレスポンス担当シニアディレクターを務めるVincent Weafer氏は述べた。

 トロイの木馬は、ユーザーに気づかれずにキーロガーやスクリーンスクレイピング(画面上の情報を抽出する技術)を実行するソフトウェアをインストールする。これらのソフトは、企業秘密を盗み出すなど、不正に利益を得ようとする犯罪に利用されると、専門家は説明する。

 サイバー犯罪者は、狙いを定めた企業の1件ないし数件のメールアドレスにメールを送付し、言葉巧みに騙して、トロイの木馬を含む添付ファイルを開かせる。典型的なのが、「Microsoft Office」のファイルでパッチが提供される前の脆弱性を利用し、悪意あるプログラムをインストールさせるものだ。

 通常の攻撃であればセキュリティ技術で防御できるが、「標的型攻撃」は監視の目をくぐり抜けてしまう。というのは、ネットワークのゲートウェイやデスクトップ上でメールをスキャンする従来のセキュリティ製品では、こうしたタイプの脅威を認識できないからだ。従来のセキュリティ製品が警告を出すのは、新手の攻撃が大規模に行われるような場合で、新種のトロイの木馬を仕込んだほんの数通のメールが送られてくるようなケースは想定していない。

 「監視網の下を巧みにくぐり抜けていく」と、英国に本社を置くウイルス対策企業、Sophosのシニア技術コンサルタントGraham Cluley氏は語る。攻撃が大規模なものであれば、セキュリティ企業は何らかの兆候を察知できるが、それは、自社の顧客のシステムや、ハニーポット(honeypot:ハチミツのつぼ)と呼ばれる独自に仕掛けた罠が攻撃を受けるからだという。

 標的型攻撃はセキュリティ問題全般から見ると、せいぜいレーダー上に輝く小さな点に過ぎない、と研究者たちは指摘する。電子メールのセキュリティを手がけるMessageLabsでは、毎日約300万の悪意のあるソフトウェアをメールから発見している。同社ウイルス対策担当シニアテクノロジストのAlex Shipp氏によると、そのうちトロイの木馬による標的型攻撃と分類できるものはわずか7件だという。

 「典型的な標的型攻撃は、1つないし3つの組織を標的にして1通ないし10通の電子メールを送りつけるものだ」とShipp氏は言う。「飛び抜けて多いのは、1つの組織に1通だけメールを送るという形だ」(Shipp氏)

 過去2年間、MessageLabsは多国籍企業や政府、軍がそのような攻撃を受けるのを見てきた。Shipp氏によると、そのほかにも法律事務所、人権団体、報道機関、教育機関などが繰り返し攻撃を受けているという。

 脆弱なシステムに悪意のあるプログラムをインストールする手段として最も多く使われているのは、Microsoftのアプリケーションにある未対応の脆弱性を突くOfficeファイルを添付する手法だ。Microsoftは、最近の月例更新でそのような脆弱性を数多く修正してきた。

 実行可能なファイルなど危険とみなされるファイルはシステムによってブロックされるのが普通だが、Officeファイルを添付したメールについては受信を許可している組織も多いため、攻撃者も好んで用いるわけだ。「概して、組織に侵入するいちばんいい方法は、その企業が受け入れてくれるものを利用することだ」とShipps氏は語った。

  • このエントリーをはてなブックマークに追加