ここ数年、サイバー攻撃は激しさを増している。
今や攻撃側は高度にプロ化し、国家レベルの組織が、潤沢な資金とリソースを受けて攻撃力を増強し続け、闇のマーケットも、“洗練されたビジネス・モデル”のもとに“表社会”にも劣らない収益構造を構築してきた。その背後には、スキルの高いハッカーを大量に供給する高学歴ワーキング・プア集団などの存在がある。さらに、ボーダーレスな電子通貨などの経済インフラとエコシステムを得て、攻撃側は「仮想空間」というにはあまりにリアルな「別世界」を形成しつつある。
日本は、世界のサイバー・ディフェンス先進国と比べて、対策に大きな後れを取ってきた。しかし、日本政府や企業経営者もようやくサイバー攻撃のリスクを認識し、対策に乗り出している。まず何をすべきか。
そこで、日本屈指のサイバー専門家で、インシデント対応の豊富な実務経験を持つサイバーディフェンス研究所 理事で上級分析官の名和利男氏に、最新の攻撃手口や防御の状況、今後の課題などについて伺った。

熾烈な攻防を繰り広げるサイバー・ディフェンス状況

──ここ数年、サイバー・セキュリティーについて、攻める側も守る側もますます熾烈さを増して来たように感じます。

名和 たしかにこの数年間で大きな変化がありました。
サイバー攻撃の目的は、経済的利得、政治的な意図、怨恨による犯行、テロ、スパイ、請負ハッキング、心なき破壊、興味本位の覗き見など多岐にわたり、国家レベルのサイバー戦争も一段と激しさを増しています。規模からみても、安全保障に関わる大規模なものから個人的なハッキングまで、いずれも本格化しています。

2014年には世界95カ国で6万3000件以上のセキュリティー侵害があったとする報告もありますが、一般に知られているのは氷山の一角にすぎません。サイバー空間は「仮想空間」という別世界ではなく、今やまぎれもなく目の前にある現実です。被害が拡大して、ようやく実感をもって認識されるようになってきました。

日々さらされるサイバー攻撃にどう対応するか

──なぜこのようなことになったのでしょうか。

名和 サイバー攻撃の手法が劇的に変化し、手口が格段に巧妙化したからです。情報通信技術だけでなく、正規サービスの悪用やソーシャル・エンジニアリング(人間の心理の隙間や行動ミスにつけ込んだ)などの社会工学と人間心理の両面で、攻撃側の能力が高度化しています。

攻撃側の一部は、変化の激しい技術革新にキャッチアップして技術力に磨きをかけているうえ、ターゲットの監視や心理作戦に長け、プロフェッショナル化している。かつては趣味や興味本位でハッキングをするような、いわば「こども(キディ)」たちによるサイバー被害も少なくなかったのですが、最近ではこうしたプロの「おとな」たちとの間には歴然たる実力の差が生じています。国家レベルになると資金もリソースもサポートされるので、攻撃者はターゲットを注意深く観察しながら、脆弱性を探って緻密に戦略を練り、相手に気付かれないようタイミングを見計らって周到に攻撃を仕掛けてきます。そして、その成功確率は高まる一方です。

──具体的にはどのような手法が使われるのですか。

名和 最近多いのは、狙いを定めた高度な標的型攻撃です。これは、機密情報や知的財産などの情報を得るために、ターゲットに近い人物やセキュリティ対策の甘い端末から段階的に侵入していくものです。
手口としては、送りつけたメールの添付ファイルを開かせることで端末をマルウェアに感染させ、既存のセキュリティ対策におけるウィルス検知を巧妙に回避しながら、バックグラウンドで動き出して別のマルウェアをネットからダウンロードします。それは、特定の情報を攻撃者に送信するようプログラミングされているので、重要なパスワードや、ネットバンキングの認証に必要な情報が、気付かないうちに抜き取られるのです。

ロシア政府の支援を受けたと分析された標的型攻撃「APT28」はさらに強力で、IDやパスワードなどの個人情報には見向きもせず、特定のキーワードに関する情報だけを密かに持ち出すようにつくられていました。これは2014年6月以降、バルト3国やウクライナ、ジョージア(グルジア)地域で緊張が高まった時期に観測されており、スパイ目的だったと考えられています。

防御側の対応策は基本的に後追い

──攻撃に対する有効な手立てはありますか。

名和 あの手この手の攻撃に対して、防御側もさまざまな対応策を繰り出していますが、残念ながら基本的には後追いです。
インターネットと繋げなくなることの少ない重要インフラ事業者などには、直接入ることが難しいので、攻撃側は社員情報を持っている組織、例えば健保組合や委託業者などを踏み台にして入り込もうとします。

さらに、企業や団体のOBも格好の踏み台にされます。OBの中にはITリテラシーが低い人も多く、セキュリティー対策が不十分なフリーメールなどを利用しています。現役の後輩としては、礼儀としてそのメールを開かないわけにいきません。メールが元上司やお世話になった先輩からだったりするとなおさらです。そのメールアカウントが攻撃者に乗っ取られ、送信済みメールを再送するという形で、マルウェアを意図的に付けたメールが送りつけられると、簡単に感染してしまいます。

また、想定外の感染ケースも目立ってきています。最近、企業内でセキュリティー・パッチを管理する更新サーバーを利用するケースが増えていますが、OSやソフトウェアのアップデートは、セキュリティーホールをなくす上で必要なので、ユーザーが利用する端末は、自動的に更新サーバーにアクセスします。そこに目をつけた攻撃側は、事前に更新サーバーをハッキングして内部に潜伏し、ターゲットが更新にやって来たときに偽のアップデート・プログラムを配布してマルウェアを自動的に感染させます。これは、水を飲みに来た獲物を狙う野獣の行動に例えた「水飲み場型攻撃」の一種といえます。内部のサーバーではなく、外部のWeb閲覧やアプリケーションを更新するためにユーザーがよくアクセスするサイトに潜むこともあります。
攻撃側としては、構築した攻撃環境を維持したいと考えるため、ターゲットに攻撃を受けたことを気づかせないようにすることが肝心です。そのため、手口はどんどん巧妙化しています。

──防御は難しいのでしょうか。

名和 サイバー攻撃は技術の問題だけではなく、先に述べたソーシャル・エンジニアリングが密接に関係しています。防御する側としては、相手の行動を予測して先手を打つことができればいいのですが、これがなかなか難しい。
しかし、多くのインシデントを経験することによって、知識やノウハウは確実に蓄積されています。既知の「アトリビューション」(帰属性)から攻撃者の手口を分析する取り組みや、世界中に「ハニーポット」(攻撃されやすく設定したサーバーなど)を配置してサイバー攻撃を可視化する体制づくりも進んでいます。

また、情報漏洩を防止するための「Need To Know原則」を導入する動きも広まっています。これは、「情報は知る必要のある人のみに伝え、知る必要のない人には伝えない」という原則を徹底して、情報に対するアクセスを厳格に管理しようというものです。

──日本企業のセキュリティー対策はどうでしょうか。

名和 経営者の意識は「利潤追求」と「事業拡大」にあるため、これまでセキュリティー対策は二の次にされていました。しかし、最近では事業継続の観点からセキュリティー対策に積極的に取り組む企業が増えています。

対策としては、インターネット接続を厳格化するような技術的措置を施すだけでなく、インシデント発生時に適切な対応が迅速にできる体制づくりも必要です。そのためには「CSIRT」(シーサート)の設置が有効です。CSIRT(Computer Security Incident Response Team)とは、情報セキュリティーに関するインシデント対応を担う企業内の消防団のようなものです。2013年3月には各府省庁でCSIRTの設置が完了し、銀行や保険会社、建設会社、自動車会社、ホテルなどの民間企業でも設置が進んでいます。社内の認知度はまだ低く、十分に機能しているとはいえませんが、攻撃への事前対応・侵入検知・事後対応に加え、教育やトレーニング、啓発などでの役割も期待されます。

Text: 佐藤 譲

後編はこちらから

名和利男

なわ・としお
名和 利男

サイバーディフェンス研究所 理事 上級分析官
航空自衛隊において、信務暗号・通信業務/在日米空軍との連絡調整業務/防空指揮システム等のセキュリティー担当(プログラム幹部)業務に従事。 その後、国内ベンチャー企業のセキュリティー担当兼教育本部マネージャー、JPCERT/CC早期警戒グループのリーダーを経て、サイバーディフェンス研究所に参加。 専門分野であるインシデントハンドリングの経験と実績を活かして、CSIRT(Computer Security Incident Response Team) 構築および、サイバー演習(机上演習、機能演習等)の国内第一人者として、支援サービスを提供している。デジタル・フォレンジック研究会理事及びファイア・アイ最高技術責任者(CTO)を兼務。


Sponsor Content Presented ByIBM

※日本IBM社外からの寄稿や発言内容は、必ずしも同社の見解を表明しているわけではありません。