攻撃されるのは恥じゃない--年金機構被害でカスペルスキーが対策語る

　「個人、団体、政府、誰でも標的型攻撃のターゲットになる。攻撃されて被害に遭うことは決して恥ではなく、ごく当たり前のこと。水に飛び込んだら濡れる、それと全く同じことだと認識してほしい」――セキュリティソフト会社のカスペルスキーは6月4日、日本年金機構の不正アクセスによる個人情報漏えいを受け、記者説明会を開催。日本におけるサイバー攻撃被害の現状やその対策を説明した。

カスペルスキー代表取締役社長の川合林太郎氏（右）と、同社 情報セキュリティラボ セキュリティ リサーチャーの石丸傑氏（左）

　冒頭で挨拶した、カスペルスキー代表取締役社長の川合林太郎氏は、日本年金機構の事件について「報道は過熱しすぎており、火に油を注ぐようなことはしたくない。名前があがっている企業を槍玉に挙げることが（説明会の）目的ではない」と説明。事件以降、セキュリティ関係者などによる憶測や、勘違い、デマなどの情報が拡散されていることから、同社の調査に基づいた情報が周知されることで、「錯綜している情報が少しでも整理されれば良い」（同氏）と語った。

“日本全体”を標的にした「Blue Termite」

　2014年の秋頃から日本をターゲットにした新たな標的型攻撃（APT攻撃）「Blue Termite（ブルーターマイト）」が観測されており、一連の攻撃パターンから日本年金機構も、このAPT攻撃の被害にあった可能性が高いとカスペルスキーでは見ている。ただし、同社が調査しただけでも、すでに300近い企業や組織が被害に遭っており、「日本全体が狙われている」と警告する。

日本をターゲットにした標的型攻撃「Blue Termite」

　Blue Termiteでは、医療保険や年賀状など受信者が開封しやすいよう工夫をこらしたメールを送信。自己解凍実行型のファイル（.exe）を添付し、メールの内容に沿った文書ファイルなどを表示させている裏で、外部にある攻撃者の指令サーバ（Command＆Controlサーバ：C2サーバ）と通信するため、被害に気づきにくいという。

　攻撃者は、マルウェアに感染したPCに保存されているファイルや使用履歴からその端末が攻撃対象かどうかを確認。対象だった場合には、外部通信用のバイパスツールを設置したり、内部ネットワークの管理者権限を取得する。そこからさらに別の端末へとマルウェアを拡散することもあるそうだ。

「Blue Termite」の攻撃手順

　カスペルスキーの調査の結果、Blue Termiteによる指令サーバへの通信数は、2014年10～12月にかけて1日100件を超えることもあったという。その後、落ち着いたかに見えたが2015年4月頃から再び通信数が増加傾向にあるという。また、そのうちの約7割が日本のIPアドレスからのアクセスだったと説明する。

　先述したように、日本年金機構の被害は氷山の一角であり、政府関連機関や製造業、エネルギー関連機関、航空宇宙産業、金融機関などが、すでに被害に遭っているという。さらには防衛関連機関において「ペトリオット」（パトリオットミサイル）などの記述がある文書などもすでに漏洩している。

　ある通信事業者では、クラウドサーバ本体に侵入された形跡があり、乗っ取られた場合、そのサーバを利用する数千のウェブサイトが被害に遭う可能性があるとした。「攻撃者は好きなタイミングで指令サーバにできる。これらの情報を切り売りして他の攻撃者に売ることもできる状態」（川合氏）。