ビジネス+IT

ビジネス課題別で探す

ITジャンル別で探す

会員限定

2012年01月16日

正規Webサイトに寄生する高危険度の「Spy Eye」とは?

ラック 西本逸郎氏ら:新たな標的型攻撃はキメラ型、2012年のセキュリティ動向

2011年に最も印象に残った情報セキュリティ事件と聞かれて、ソニーを始めとする大手企業への標的型攻撃と答える人は少なくないだろう。2012年もこの傾向は継続するのだろうか。今そこにある危機の全貌と攻撃の進化の行方を知ることは、企業にとって最大の防御となる。ラックの西本逸郎氏、同コンピュータセキュリティ研究所の岩井博樹氏、同サイバーセキュリティ研究所の新井悠氏らセキュリティの最前線に立つ識者3名が2012年のセキュリティ予測を語った。

標的型攻撃に揺れた2011年

photo

ラック
取締役
最高技術責任者
西本逸郎氏

 2011年4月、1億件以上の個人情報漏えいが発覚したソニーの事件は、国内外に大きな衝撃を与えた。続いて9月には、三菱重工を含む防衛産業8社にて不正侵入が判明し、戦闘機開発に関わる資料が盗み見られた可能性もあると発表された。いずれも特定の企業や個人を狙う「標的型攻撃」に起因する事故で、近年急増の傾向にある。標的型攻撃は、2005年頃から要注意キーワードとして取り上げられてきた。2011年は、その真の恐ろしさを多くの人が目の当たりにし、震撼した年と言える。

 ラックの最高技術責任者、西本逸郎氏はソニー事件の4月以降、社内と外部の境界線でネットワーク通信を見張る監視対策に注目が集まっていると話す。

 実際、同社のセキュリティ監視センター「JSOC」の監視センサー数は、4月を境に急増した。その後、9月に入ってからも堅調に推移している。セキュリティ診断の案件数も、同様のタイミングで増加しており、「今年は1件あたりの診断ボリュームが大きい傾向にある」と西本氏は明かす。

photo
(クリックで拡大)

JSOCが対応する監視センサー数の推移

(出典:ラック,2011)


新たな標的型攻撃は“キメラ”型

photo

ラック
コンピュータセキュリティ研究所
所長
岩井博樹氏

 そして、早くも標的型攻撃は次のステージへと移行した。コンピュータセキュリティ研究所の岩井博樹氏は、防衛産業や化学メーカーを狙った最新の標的型攻撃を確認したと報告した。

 同社内のコードネーム「Chimera Attack」(キメラアタック)は、これまでの標的型攻撃の“いいとこ取り”をした進化型で、特徴は次のとおりだ。

・完全に特定企業を狙ったスピア型フィッシング
・C&Cサーバ(BOTの指令制御サーバ)のURLが複数存在
・画像ファイルを偽装した通信を利用
・通信が海外ではなく日本国内

 まず、攻撃者は異なるクラウドサービス運営会社の正規Webサイトを複数乗っ取り、その上にC&Cサーバを構築する。「正規のWebサイトなので、URLフィルタリングやブラックリスト/ホワイトリストでのアクセス防止が通用しない」(岩井氏)。

photo
(クリックで拡大)

ハイブリッド型の脅威(キメラアタック)の流れ

(出典:ラック,2011)


 次に、スピア型フィッシングとしてURLを貼り付けたメールを送信する。ファイルを添付する従来型は、メールスキャン時に添付ファイルに気付かれて弾かれる可能性があったがキメラアタックは、それを回避できる。

 その後、Exploit KitやDrive by downloadを活用して複数サイトへと誘導し、そのうちの1つのサイトでマルウェアに感染させる。

 感染後は、HTTP通信でJPEGファイルなどの画像をダウンロードする。その画像のコードは実行ファイルに改ざんされており、スクリーンショット取得ツールやキーロガー、ファイルの検索および収集、パスワードハッシュ・ダンプツールなどを活用しながらドメインコントローラの乗っ取りを謀る。

 普通の通信で行われている上に、その通信自体が日本国内で完結しているため、発信元を特定するのが非常に難しい。「たまたま今回は犯人のミスから、マルウェアの1つが中国語環境で作成されたことが分かった。しかし、それも何かを特定できる十分な情報にはならない」(岩井氏)。

【次ページ】正規Webサイトに寄生する高危険度の「Spy Eye」

セキュリティ総論 ジャンルのトピックス

一覧へ

セキュリティ総論 ジャンルのIT導入支援情報

一覧へ

PR

注目のIT導入支援情報

一覧へ

注目のイベント・セミナー情報

一覧へ

イベント・セミナー情報の登録(無料)

記事アクセスランキング

イベント・セミナー情報アクセスランキング