サイバー犯罪の脅威に対するクライシスマネジメント第2回「高度な複合型攻撃」

ソニー米国子会社へのサイバー攻撃による史上最大規模の情報漏えいや、イランの原子力施設を対象としたサイバー攻撃にみられるように、昨今では、特定の団体、組織を標的とし、高度な技術を用いて徹底的な攻撃を仕掛けるケースが増加しており、経営に対してより深刻な影響を与える脅威となっています。一方で、管理対象としての情報システムは、クラウドコンピューティングやスマートフォンの普及などにより、複雑さを増しており、サイバー攻撃への対処がより困難な状況になりつつあります。

本稿では、昨今のサイバー犯罪の傾向とグローバルの動向を踏まえ、経営者がどのように深刻化するサイバー犯罪の脅威に対して向き合い、対応すべきかについて考察します。

1．急速に拡大するサイバー犯罪の脅威

ソニー米国子会社の大規模情報漏えいや、国家機関へのサイバー攻撃などが連日報道されているように、情報セキュリティに係る脅威はますます大規模化・高度化・複雑化しています。最近注目された新しいタイプの攻撃として、「Operation Aurora」と呼ばれるInternet Explorerの脆弱性を利用した攻撃や、「Stuxnet」と呼ばれる原子力発電所の制御システムを対象とした攻撃を代表例として挙げることができます。これらは、一般的な防護システムを回避するように、既存の攻撃手法を巧みに組み合わせ、さらには攻撃目標に合わせて設計されていることから、「APT(Advanced Persistent Threats)」と呼ばれ、新たな脅威として認識されています。また、普及が目覚ましいスマートフォンやソーシャルネットワークを狙った攻撃の増加や、クラウドコンピューティングの利用に伴う課題なども新しい傾向です。サイバー犯罪は、テクノロジーの発展と普及に伴い、攻撃側の優位性が加速し、常に防御側が後手に回ることとなるため、時を経るごとにその脅威がますます深刻化する傾向にあります。

（2）高度な複合型攻撃

「Advanced Persistent Threat (APT)」という言葉が報道で盛んに使用されるようになりました。APTとは、標的型攻撃の一種で、複数の既存攻撃手法を組み合わせ、標的となる特定の組織向けに高度にカスタマイズされた攻撃の総称です。APTには、次のような特徴があります。

・ソーシャルエンジニアリングの活用
・ゼロデイ（セキュリティパッチ未対応の脆弱性）の利用
・ネットワーク/USBデバイスによる拡散
・外部の指令サーバとの通信
・個別システムに特化した攻撃

個々は特に斬新な手法ではなく、既に行われている一般的な対策で十分防げるように感じる事でしょう。しかし、個々の攻撃が防御システムを回避するように巧みに組合わさり、攻撃目標に合わせて設計されているため、制御系システムなど、従来は攻撃が不可能であると考えられていたシステムにまで攻撃の手が及んでいます。

APTでは、次のようなステップに、複数の攻撃手法が組み合わされます。

侵入：
WEBやメール、USBメモリなどを経由して標的とする企業のPCやサーバにウイルスが感染します。その際、ソーシャルエンジニアリングやゼロデイを含めた複数の脆弱性を利用するため、従来のウイルス対策では防御が困難です。

進化：
ウイルスは、潜入したPC内にバックドア（註）を仕掛け、外部の攻撃用サーバと通信を行い、新たなウイルスを呼び込んだり、拡散、機能強化を行います。最終的に、特定システムに特化した攻撃を行う為に必要なプログラムをダウンロードします。

（註：攻撃者により侵入を受けたコンピュータに設けられた、不正侵入を行うための裏口）

攻撃：
標的となるシステムに対して攻撃を実施し、情報窃取やシステムの破壊活動を行います。

APTによる攻撃の被害としては、制御システムへの影響や、重要性の高い情報の窃取など、深刻な被害が発生しており、多くの企業で起こり得る脅威といえます。経済産業省の調査によれば、実際に自動車や化学工場の製造ラインを管理する制御システムがウイルスに感染し、操業停止に追い込まれるなどの深刻な被害が、2011年3月までに少なくとも10件発生していたといいます。

APTの代表的な例として、「Operation Aurora」、「Stuxnet」、「Night Dragon」と呼ばれる攻撃があります。

「Operation Aurora」は、Internet Explorerのゼロデイを利用してエンドユーザーのコンピュータを乗っ取り、遠隔操作によって特定企業のシステムに侵入し、スパイ行為や知的財産の窃取などを行うというものです。GoogleをはじめAdobe Systems、Symantec、Yahoo!など、30に及ぶ企業のWebサイトが攻撃対象とされ、Webメールのアカウント情報を盗まれるなどの被害がもたらされました。

「Stuxnet」は、イランの原子力設備を狙ったウイルスで、原子力設備の制御システムを操作するようなコードが埋め込まれており、コードが実行されることで、制御システムが停止してしまう可能性がありました。

「Night Dragon」は、組織化された標的型サイバー攻撃で、西側諸国の石油、ガス事業や入札に関する機密性の高い情報を取得するため、ソーシャルエンジニアリング、スピア型フィッシング、Windows OSの脆弱性の悪用、Active Directoryへの侵入、リモート管理ツールの使用など、多種多様な手法が組み合わされた攻撃が行われました。

いずれの場合も、ゼロデイ攻撃が使われており、侵入の段階では防ぎ難いという特徴があります。そして、最終的には攻撃者の目的である情報窃取や重要システムの停止が行われるため、組織にとって大きな脅威となります。

こうした攻撃が成功する背景には、外部からの通信に対しては厳重に防御・監視を行うものの、内部からの通信には無防備となりやすいという、従来のセキュリティ設計思想の盲点があると考えられます。

（堀田知行）

著者略歴：株式会社KPMG FAS　フォレンジックサービス部門　ディレクター
2005年、KPMG FAS入社。デジタルフォレンジックの技術を用い、情報漏えい、インサイダー取引、資金横領・粉飾などの不正調査および危機対応支援を担当。また、インテリジェンス（情報分析技術）、データ分析技術、IT知識を活かし、M&Aにおける戦略評価、競合分析、ITデューデリジェンス、企業分割・統合支援などにも従事。KPMG入社前は、株式会社電通国際情報サービスにて、製造業向けコンサルティングおよび戦略企画立案に従事。慶応義塾大学環境情報学部卒業