特定の標的を狙うサイバー攻撃の増加について～G Data

世界最高水準のマルウェア検知率を誇るセキュリティソフトベンダーであるG Data Software株式会社（本社：東京都千代田区、日本支社長：Jag 山本）は、マルウェア活動の新たな局面として、大規模かつ巧妙かつ継続的に特定の組織を狙うサイバー攻撃が多発していることを報告するとともに、これを「ターガタック」（ターゲッテッド・アタックの略語）と呼称することによって、広く注意を促します。

ネット犯罪のこれまでの動向においては、第一に、数年前より、新たに愉快犯的な攻撃から金銭目的の攻撃に移行し、かつ、大量の亜種を生成しつつ不特定のユーザーを狙ってマルウェアやフィッシング詐欺などが主流となっていました。

しかし、それに対して、特定の標的（企業や組織）に対して、継続的かつ複合的にさまざまな攻撃を仕掛ける種類のサイバー攻撃が目立つようになってきました（G Dataでは、昨年来マルウェアレポートにおいて、このような攻撃が今後増えるであろう、という見解を述べています。「G Data マルウェアレポート 2010下半期」等を参照）。

この攻撃は、これまでの「スピア型」「標的型」「DDoS」（Distributed Denial of Service）と区別するために、「ATP」(Advanced Persistent Threat)と呼ばれる場合もありますが、ここでは「Targeted Attack」略して「Targattack」と呼ぶことにします。

ターガタックの発端は、2009年に起こった「オーロラ作戦」です。これは、グーグルやヤフーをはじめとした大手企業のサイトが改ざんされたことで広く知られるようになりました。また、その攻撃が中国当局によってなされたのではないかと推測もされ話題になりました。

つまり、この攻撃の目的は、金銭ではなく、また、狭義での犯罪や政治活動でも、ないのです。

ターガタックは、個人や一組織の「悪意」や「不正」行為ではない、「国家」規模の組織が直接もしくは間接的に関与している攻撃を指します。

したがって、個人情報の摂取というよりも機密情報への「スパイ行為」であり、単なるサービス不能化（DoS）攻撃ではなく「妨害工作」という表現が適切です。

この「オーロラ作戦」以外にも、ドイツでは国際的な二酸化炭素排出取引に関する機関が狙われたり、イランの核施設のコンピュータに感染させて装置を遠隔操作しようとしたスタクスネットが騒がれたりするなど、事例数は少ないものの、確実に、かつてない意図をもった攻撃がしばしば見られるようになりました。

特に、スタクスネットに至っては、核施設の制御装置を遠隔操作できることを見せつけた、きわめて「政治的」「軍事的」な示威行為であり、マルウェア史上でももっとも「大規模」であり、もっとも「深刻」なもの、です。

ターガタックは、2011年3月から4月にかけて多発しました。

アメリカのセキュリティ企業やフランスの財務省、EUの委員会などが、立て続けに攻撃を受けました。いずれも、個人や小集団には不可能なほど、大規模であり、巧妙であり、執拗に繰り返される攻撃でした。以下、一覧にまとめます。


これまでのターガタック

（１）オーロラ作戦（2009年半ば頃～2009年12月）
インターネット・エクスプローラーの脆弱性を狙ったもの。アドビ、ジュピター、グーグル、ヤフー、モルガン・スタンレーなど30社以上のIT企業や証券会社のウェッブサーバーへの執拗なアクセスがあり、ソースコードを改ざんしようと試みられた。

（２）二酸化炭素排出量取引局(DEHSt)への攻撃（2010年1月）
フィッシング攻撃。ドイツの同所の名称を騙ったフィッシング詐欺の送信者を偽ってユーザーを欺き、ハッカー攻撃からの保護というソーシャルエンジニアリングを駆使しながら、リンク先のサイトにログインを求めた。盗み出されたアカウント情報は、二酸化炭素の排出権の不正委譲に利用され（主な委譲先：デンマーク、イギリス）、その被害額は300万ユーロにものぼる。

（３）スタクスネット（2010年7月）
ウィンドウズのコンピュータ・ワーム（Stuxnet）。イランの核再処理工場を攻撃する目的でシーメンス社の工程制御システム（SCADA）のための管理ソフトウェアパッケージと設備を狙う。結果、ウラン遠心分離機が一時的に制御不能になる。

（４）仏財務省への攻撃、G20ファイルの窃取（2010年12月）
2010年末よりフランスの財務省にある150台以上のコンピュータが攻撃され、G20関連のファイルが狙われた。発表したのは、2011年3月になってから。G20は、EUと主要19か国による財務相・中央銀行総裁会議のこと。

（５）RSAサーバーへの攻撃（2011年3月）
米国RSAのサーバーにハッカーが侵入し、SecurIDトークンに使用されているコード生成のアルゴリズムの一部が盗み出されたかもしれない、という事件。知的財産が強奪されようとした。少なくとも何らかの情報へのアクセスがあったことが認められるものの、それが実際に将来の問題を引き起こすかどうかは不明。RSAは、認証やアクセス管理を専門とする大手のセキュリティ企業。

（６）EU欧州委員会への攻撃（2011年3月）
2011年3月にブリュッセルで行われた欧州委員会の直前にかつてないほど激しい攻撃が仕掛けられたものの、アクセス制限をかけるなどの措置を行い、情報漏洩には至らなかった模様。

（７）米イプシロン社のメールアドレス大量流出（2011年4月）
大手企業の何百万ものEメールアドレスが保存されているイプシロン社のデータベースから顧客のメールアドレスなどが大量に盗み出される。イプシロン社は、大手のオンラインマーケティング会社で、ディズニーやシティバンクなど、世界中の何百もの大企業が利用。


これらはあくまでも、何らかの形で表沙汰になったものだけであり、実際はもっと多い可能性があります。ターガタックは、特性上、表面化しない場合もあるのです。そもそも攻撃主体を特定することは、国際紛争のきっかけをつくるおそれもあるので、安易に名指しするのが困難です。

したがって、攻撃の動機さえ、理解しがたい場合があります。攻撃が成功した場合だけではなく、失敗した場合も含めて考えれば、さらに、仕掛けた側の考えを推測するのは難しいでしょう。

また、これらのすべてのターガタックにおいて、ソーシャルエンジニアリングが使用されているのも特徴です。スピア型の送信メール(スピアフィッシング)や感染したUSBメモリースティックの使用など、単に不正プログラムによる操作だけではなく、いずれにおいても人為的な手が加わっています。

このターガタックによって、セキュリティに関する新たな現実が、今生まれつつあります。

金銭獲得を主目的とした「サイバー犯罪」と対比させて言うなれば、表沙汰になりにくい「サイバースパイ行為」が活発化している、と言えるでしょう。

このサイバースパイ活動と、従来の手法との違いは、不特定多数を相手に攻撃するのではなく、軍事施設を攻撃したり、政治経済上の対立によるものであったりするので、身近で目撃することなく、気付かれにくい、という点です。

また、世間で知られるようになった攻撃は、いわば「成功事例」に相当するのですが、この成果をふまえて、ネット犯罪におけるフィッシング詐欺メール利用が、今後増加する可能性があるでしょう。しかも私たちがそのことを知るには、直接個別のメールアドレス宛に攻撃を行われることでしか、この事態を把握するのは困難です。

では、私たちはこのターガタックから何を学ぶことができるでしょうか。簡潔に、以下の三点に集約できます。

・システムがインターネットに接続していなくても、また、ゲートウェイによって守られている自立型ネットワークであったとしても、あらゆるシステムは、攻撃される可能性がある。

・あらゆるシステムは、インストールされたソフトウェア(フラッシュやアドビ、ウィンドウズOSなど)のアップデートを必要とする。

・ゲートウェイの保護のみならず、重要なデータがあるかどうかにかかわらず、内部システムへの保護も必要である。

システム上にアップデートされないソフトウェアが存在するところに、ソーシャルエンジニアリング的な罠が仕掛けられると、ターガタックは成功率が高まります。技術的な脆弱性とあわせて、心理的な脆弱性をも攻撃されないようにすべきです。

しかもこの問題は、ターガタックのみならず、マルウェア対策全般にもあてはまることです。言うまでもなく、まず行うべき対策は、性能の高いセキュリティソフトウェアを選択することであり、同時に、アップデートの対策などをもしっかりと行うことです。それらを怠っては、外部からのさまざまな脅威に対応することは困難となります。

これからもまた、新たな脅威がたえず私たちを襲うことが予測されますが、未来への道を切り拓くには、実にシンプルな対策をまず行うことが、重要です。



ジーデータソフトウェアとは
G Data Softwareは、1985年に創業し、1987年に世界最初の個人向けウイルス対策ソフトを発売した、ドイツのセキュリティソフトウェア会社です。 EUを中心に、個人向け・法人向け製品を展開しています。日本法人は2007年に設立しました。最大の特徴は、ダブルエンジンによる世界最高位のウイルス検出率です。また、新種や未知ウイルスへの防御、フィッシング対策、迷惑メールへの外国語フィルターなど、インターネットやメール環境を安全・快適にする機能を豊富に搭載しています。その結果G Dataのセキュリティ製品群は、マルウェアやフィッシング詐欺サイトを常に高検出することに定評があり、過去5年間にわたって、第三者機関・雑誌における受賞獲得数は他社の追随を許しません。

＊本リリースに記載されている各種名称、会社名、商品名などは各社の商標または登録商標です。

【本リリースに関する問合せ先】　
G Data Software株式会社　
101-0042 東京都千代田区神田東松下町48　ヤマダビル6F
窓口：　瀧本往人　
E-mail: gdata_japan_info@gdatasoftware.com　
URL：　リンク