標的型攻撃は攻撃全体の第1ステップでしかない

サイバー大学 IT総合学部准教授 園田道夫氏

1月18日にマイナビニュースが主催したセミナー「標的型メール攻撃からみる企業の電子メールセキュリティ対策セミナー」において、サイバー大学の専任准教授である園田道夫氏が「サイバー攻撃を読み解く」というテーマの下、講演を行った。園田氏は、標的型攻撃はサイバー攻撃においては入口という位置づけでしかなく、基本的なセキュリティ対策を講じるとともに、企業のカルチャーに合ったルール作りの重要さを説いた。

「今や、インターネットは単なるネットワークではなく、社会インフラの一部となっており、狙われるとテロに近い効果が発揮される。最近、サイバー攻撃が注目を集めているが、手口はそれほど昔と変わっていない。近年、インフラが整備されたことで、被害も増大した」と、園田氏は語り、サイバー攻撃のさまざまな事例を紹介した。

話題になった「Anonymous」を含むハッカー集団について、園田氏は「2ちゃんねる系行動様式」という表現で説明した。「ハッカー集団は『祭り』や『突発オフ』を好み、仮面を被った集団で動画を撮影して公開するなど、いわば『悪ノリ系』と言える。同じ集団を名乗っていても主義主張が一致していないことも多く、組織化されていない。『暗い部屋でキーボードを叩きながら声音を変えて声明を出す』といった犯罪者集団のようなイメージからはかけ離れた集団だ」

一方で、本当に危険な集団として挙げられたのは「産業スパイ」だ。インターネットを悪用した産業スパイと言えば、標的型攻撃が浮かぶ。しかし園田氏は、標的型攻撃は必ずしもターゲット情報に直接たどり着くことを目的としていないケースが多いという。

「標的型攻撃は引っかかりやすいけれど、わかりづらいものではない。攻撃を受けたらすぐに『こんな攻撃が起きた』と話題になるし、いかに内部の情報に通じて経営層のフリをしてもいずれ気づく。標的型攻撃に気づかないで終わるというのは、セキュリティとは別な組織内の問題だろう」と園田氏。標的型攻撃で得られた情報はそれほど価値がなく、攻撃者は標的型攻撃をサイバー攻撃の手の1つとして使っているだけだとも指摘された。

加えて、園田氏は「標的型攻撃の動機に深入りしてはいけない」と釘を刺した。「どうしたら攻撃されないのか」「どういう情報発信をすれば狙われないで済むのか」といった質問を受けた経験は園田氏も多いが、その答えはわからないという。

お祭り系や政治的活動のための攻撃の場合、目立つことや影響力を見せつけることが目的になる。そうした攻撃に対しては、大きなリアクションをとってしまうと相手の思うツボというわけだ。それよりも攻撃者に狙われているモノを理解し、それを守ることに労力を割くべきだろう。

意外と収集が簡単な企業情報

続いて、園田氏は「Webサイトを狙った攻撃に比べて、標的型攻撃は単純に防ぎづらい」と指摘した。標的型攻撃ではいかにも内部の人が書いたように偽装したメールが送られたりするが、こうしたメールは企業が一般公開しているWebページやSNSに書き込まれている情報をもとに作成されているという。

「これまで、IPAにはIPAのWebサイト紹介をまるごとコピーした文章を含むメールが来たことがある。このメールはあまりにも稚拙な内容だったのですぐに気づいたが、ベイズ理論によるスパム対策では過去の迷惑メールに頻出するパターンが適用されていなければ検出することはできない。Facebookなどを利用すればさらに詳細な情報を得ることができ、かなり巧妙な偽装をすることも可能」と園田氏は語った。

標的型攻撃の事例として、最初に騙された人が仕掛け人に組み込まれてしまうパターンも紹介された。友人から来たメールと思って開いたら問題のあるメールだったというケースだが、送信者自身が攻撃者に悪用された実際の友人だったのだ。面識のある友人からのメールだと警戒心が落ちるという調査結果もあり、このようにワンクッション置くタイプの攻撃が流行しているという。

「産業スパイにとってインターネット経由の攻撃は手段の1つでしかない。買収のほうが簡単だと判断すれば内部の人を買収するだろうし、クレームを付けるフリをして入り込んで行く手法もある。すぐに見破られたとしても、何らかの情報が得られるから構わないというわけだ。本気で企業を狙うならば、ゴミ箱を漁ったほうが早いこともある」と、園田氏は企業情報が実は簡単に狙われる状況にあることを明らかにした。

基本対策を実施したうえで不審なメールの検出と出口対策を

標的型攻撃の対策として紹介されたのは、「ウイルス対策」「不審なメールの検出」「騙されにくくする対策」「騙された場合の事後対策」などだ。

最近では、開発キットを使って簡単に作成できることもあり、多彩なウイルスが出回っているが、それらをいかに検出して対応するのかという問題がある。さらに不審なメールを検出するにあたり、従来のスパム対策が有効ではない標的型メールに対してはあらかじめリンク先や添付ファイルの中身を検証する必要がある。

騙されにくくする対策としては「教育」が考えられる。JPCERTの実験では、教育を行ったことで騙される人が全体的に減る傾向があるという結果が出ているが、企業には外部の不特定多数の人たちとメールのやりとりをしなければならない部署もある。そうした部署では、多少怪しくても外部からのメールを確認しなければならず、そうした事情を考えると単純な教育で効果を出すのは難しそうだ。

最後に、騙された場合の事後策として登場するのが「出口対策」だ。出口対策では、攻撃者が窃取した情報を外部に送り出すためなどの通信を発見して遮断するわけだが、通信全体から問題のある通信だけを遮断するには特殊な技術が必要となる。

こうしたさまざまな対策の前提となるのは、基本的な対策を忠実に実行することだ。具体的には、「企業のカルチャーに適した実効性のあるルールを制定して守ること」「機密情報の厳重な管理」「ウイルス対策」「パッチの適用」「既知の脆弱性対策」を行っていくことになる。

「『外部にデータを持ち出してはいけない』という企業が多いが、その前に持ち出さなくても仕事が終わるのかどうかを検証すべき。まずは、データを持ち出さずに仕事が終わるような環境を構築してからルールを作らなければ守られない」と、園田氏は現実に即したルールの重要性を訴えた。