防ぎきれないサイバー攻撃、Googleの次は日本企業（1）

2009年末、株式会社ラックサイバーリスク総合研究所コンピュータセキュリティ研究所（CSL）は、企業ネットワークのトラフィック解析から、社内の不正通信の実態を探るレポート「企業のインターネット利用実態調査から考察する情報漏えいリスクの可能性について」を発表した。同調査を実施した、同社サイバーリスク総合研究所コンピュータセキュリティ研究所の岩井氏が、レポートには書かれなかった調査結果の重要部分を寄稿する。

「企業のインターネット利用実態調査から考察する情報漏えいリスクの可能性について（株式会社ラック）」
http://www.lac.co.jp/info/rrics_report/csl20091221.html

─

●他人事ではない！Google、アドビへのサイバー攻撃

「米中サイバー戦争が勃発しているのでは？」との噂が流れています。事の発端は、Googleやアドビなどの米国企業が中国（正確には、台湾のIPアドレス）からサイバー攻撃を受けていたことを公表したことにより発覚しました。このGoogleへのサイバー攻撃は、Internet Explorerのゼロデイが悪用されシステムが乗っ取られました。攻撃手口など詳細は不明ですが、InternetExplorerが攻撃を受けたという事は、"受動的攻撃"であることは間違いなさそうです。憶測ですが、メールやインスタントメッセンジャーなどにより攻撃サーバ誘導したのではないでしょうか。その後は、Drive by DownloadによりGoogle組織内のシステムにリモート・アクセス・トロジャン（以降、RAT）がインストールされてしまったのでしょう。尚、攻撃者の目的は知的財産関連とされていますので、恐らくソースコードや今後リリース予定のサービスなどが狙われたのでしょう。

このニュースで起こっていることは、実は日本企業や官公庁などにおいても無関係ではありません。スパイ行為などがネットを利用することにより、攻撃者は入国する必要すらなくなったわけです。
筆者の所属するラックコンピュータセキュリティ研究所（以降、CSL）では、2007年から今回のGoogleに類似した事件に対して調査、分析を行ってきました。中国で開発されたRATの利用率が高く、そのスパイ精度は年々向上しています。

この経験を踏まえ、CSLは昨年5月〜9月にかけて日本企業10社に対してサイバー攻撃に関する実態調査を実施しました。調査はイントラネットからインターネットへ向けて出て行く通信をキャプチャし、解析を実施するといった非常にシンプルなものです。また、詳細な解析を実施するため、実行ファイルとドキュメントファイル（Microsoft Office、PDF）などに関しましては、データを抽出し別途解析を実施しています。その結果、先のニュースと同様、RATにより侵害を受けていた企業は、4社確認されました。本調査はネットワーク・トラフィックの解析だけですので、残念ながら犯人の目的は分かりませんでしたが、日本でも同様の被害が既に起こっていることが判明したことは、今後のセキュリティ対策を考える上でも大きな収穫であったと確信しています。

●6割の組織がサイバー攻撃被害に

本調査において、興味深かった事はRAT及びBotに感染した企業が10社中6社あったことです。また、抽出されたRATの検体数は、Botより多く確認され企業を狙った標的型攻撃が主流になりつつあるようです。今回の調査でBotの検出数が少なかったのには、理由があります。

※本記事は有料購読会員に全文を配信しました

（執筆：株式会社ラックサイバーリスク総合研究所コンピュータセキュリティ研究所所長岩井博樹）