海外における個人情報流出事件とその対応「Shady RAT作戦」（2）APT攻撃対策の必要性

●スピアフィッシング、APT攻撃の脅威
マカフィーがOperation Shady Ratを見つけたのは、C&Cサーバへのアクセスを得たことによる。侵入は2006年よりずっと前から始まっていた可能性もあるものの、ログの収集が始まっているのは2006年の半ばからだという。

攻撃方法はこの種のターゲットを絞った侵入で標準的なもの、すなわちスピアフィッシングが用いられている。組織内の個人にメールを送り、メールに仕掛けられていたリンクをクリックすると自動的にマルウェアに感染する。攻撃側はマシンへのアクセスを得て、バックドアを操作。重要なデータや情報をリモートで収集していたというものだ。最初のメールは、その個人がフィッシングメールと疑わずに開いてリンクをクリックするよう、巧妙に作成されている。

Operation Shady Ratについて発表したDmitri Alperovitch氏は、Operation Aurora以来、高度な攻撃について政府機関や防衛に関係する組織以外も警戒するべきかという質問を、世界中の顧客から何度も受けているという。Operation AuroraではGoogleをはじめ、30社が被害を受けた。

今年になって、RSA、ロッキードマーティン、ソニー、PBSなどの攻撃が次々に明らかになった。特にこの半年間に世間を騒がせた事件の大半は、AnonymousやLulzsecなどの政治的ハックティビスト組織によるサイバー攻撃で、大きく報じられている。

そのためマカフィーは、記者や顧客から「攻撃が増えているのか」という質問を受けることがあるそうだ。しかし、この種の攻撃は過去5年以上にわたって行われているものだという。

ただし、AnonymousやLulzsecのように、比較的単純で日和見的な攻撃と、スピアフィッシングを用いて攻撃をしかけているRSAなどへの攻撃は性質が異なる。特にOperation Auroraのように、スピアフィッシングをはじめ複数の方法を巧妙に組み合わせて執拗に繰り返すAPT攻撃は、ずっと陰湿で、警戒が必要だ。

犯行を仕掛ける側の目的は、金銭上の利益という単純なものではない。企業秘密や知的財産などを求めてくる。通常の攻撃では、探知されないように侵入して取れるものだけ取って逃げる。一方、APT攻撃では発見されずに、侵入、脱出を繰り返そうとする。

そして実際、これらの攻撃によって国家や大企業の極めてセキュアと考えられるサーバから情報が盗まれている。また、企業や政府、組織に対してはるかに大きな脅威となるこれらの攻撃は、発表されないことも多い。

それでもAPT攻撃は去年から取り上げられることが増えている。RSAへの攻撃でも用いられ、SecurIDで使用される情報が盗まれた。SecurIDは二要素認証による再使用が可能なパスワードで、これによりユーザはセキュリティを確保できるはずだった。しかしRSAで盗まれた情報が、

※本記事は有料購読会員に全文を配信しました

(バンクーバー新報　西川桂子)