マイクロソフト セキュリティ インテリジェンス レポート第 12 版 (SIRv12) について、こちらのブログでも概要、Conficker に関するレポートをご紹介してきましたが、今回、次回と 2 回に分けて Determined Adversaries and Targeted Attacks (決意を持った敵対者と標的型攻撃) に焦点を当てていきます。
前半である今回は、SIR v 12 で詳解されている標的型攻撃の実態と課題について触れたいと思います。
標的型攻撃の実態
SIR v12 では標的型攻撃の攻撃者を Determined Adversaries (決意を持った敵対者)という呼称を使って表現しています。単純なマルウェアの拡散を狙った無差別攻撃の実行役とは異なり、標的型攻撃の攻撃者は明確な意図を持った Sponsor(首謀者)と複数の Actor (実行役)から成るチームで、潤沢な資金を持つ洗練された組織であることが多く、スパイ小説に出てくるような犯罪の首謀者と組織の諜報部員のモデルに似ています。
これは、首謀者がターゲットとする情報資産などを明確に実行役に指示し、実行役が継続的に標的にアクセスする、という合理的な雇用モデルです。実行役にとっては、C & C サーバーなどを使用して身元を隠すことができるため、実際のスパイ活動よりもはるかにリスクが少ない仕事だと言えるでしょう。
標的型攻撃について、SIR v 12 では「価値の高い資産を持つ個人または組織を標的とした執拗な攻撃」と定義していますが、もともとは 2000 年代中期に政府機関が行った攻撃を指す言葉でした。近年、政府機関とは別の実行役による特定組織への攻撃の増加により一般的にも広く使われるようになったため、ご存知の皆さんも多いかと思います。
未知の脆弱性を悪用するなど高度で洗練された攻撃であるようなイメージを持たれがちですが、実際は、古いソフトウェアやセキュリティ更新プログラムを適用していない脆弱性を利用するなど、意外にも高技術を必要としないありきたりな攻撃が多く用いられています。
また、簡単に情報にアクセスするチャンスを獲得しやすいソーシャル エンジニアリングも使われることが多く、信頼できる組織や個人などに成りすまして標的者の認証情報を盗用しようとするスピア フィッシングなどが特によく用いられます。
初期の標的型攻撃では、特定のファイルやファイル タイプを探し出して攻撃者のサーバーにアップロードするように仕込まれたトロイの木馬が使用されるケースが多く見受けられましたが、最近では、マルウェアを使って攻撃者が制御可能なコンピューターに接続し、動的に新しいコマンドを発してカスタマイズされた通信プロトコルを使ってネットワーク監視ソフトに見つからないようにするケースなども確認されています。
標的型攻撃対策の課題
標的型攻撃対策の難しさは、組織に対して日々行われている無数の攻撃の中から標的型攻撃だけを特定することの難しさに起因しています。たとえば、2011 年下半期には世界中で 700 億ものマルウェアが見つかっています。このような環境下で標的型攻撃だけを識別するのは、以下の観点から非常に困難です。
○ 悪意のある実行役が多数存在する
○ これら実行役の動機がさまざまである
○ 類似する攻撃が多く、攻撃の性質だけ見ても実行役や動機に結び付けるのが難しい
○ 広大なインターネット上で、善意と悪意のネットワークを見分けるのは容易ではない
では、実際にはどのような対策を立てることが可能なのか ?
それについては、次回のブログでご紹介したいと思います。