個人の備えがAPTのハードルを上げる

2015年5月21日

2015年4月、株式会社カスペルスキーは、金融機関の方々向けのセミナーを東京にて開催しました。Kaspersky Labからグローバル調査分析チーム「GReAT」のセルゲイ・ゴロバーノフ、株式会社カスペルスキーからは専務執行役員の宮橋一郎が登壇して講演を行いました。ゴロバーノフは「Carbanak」について、宮橋はAPTをはじめとする脅威の動向について話しましたが、両スピーチには共通点がありました。「Carbanak」も、宮橋が触れた「Icefog」も、標的型メールが発端となっていたのです。

金融セミナー

 

※注)攻撃の手始めとしてマルウェアを感染させる手段はさまざまであり、標的型メールはそのひとつです。他にもWebサイト経由で感染させるなどの手法もありますが、この記事では標的型メールに絞ってお話しします。

 

個人を突破口にして始まるAPT

「APT」という言葉をたびたび目にするようになってきました。Advanced Persistent Threat、直訳すると「高度で執拗な攻撃」。洗練された技術と戦術をもって、長期間にわたって継続するAPTは、主に政府機関や大手企業・団体など、国家や産業に関する重要なデータを持っている組織を狙い、そのネットワークへ忍び入って自分たちの目的にかなったデータを密かに手に入れます。国をまたぎ大規模に活動が展開されることが多いのも特徴のひとつです。

なんだか恐ろしいことが起きている、と漠然と不安を覚える方もあるでしょう。一方で、自分とは直接関係ない、とも感じているのではないでしょうか。

実は、APT攻撃は、個人のセキュリティを突破するところから始まっています。組織に関係する誰かをマルウェアに感染させ、そこを入り口として目的のネットワークに入り込むのです。

 

Carbanakのケース

2015年2月、Kaspersky Labは世界の100金融機関から推定10億ドルを盗むという大規模なサイバー犯罪活動「Carbanak」(カーバナック)について報告しました。

突破口を開いたのは標的型メールだった

ゴロバーノフがCarbanakのケースを認識したのは、ウクライナのある銀行から相談を受けたところからでした。この銀行は特別にセキュリティが甘かったわけではなく、むしろ銀行システムのさまざまなセグメントにセキュリティソリューションを配備してありました。それが、破られたのでした。

Carbanakは、銀行強盗のように正面からネットワークに押し入って金銭を強奪したのではありません。周到な準備ののち、まずは組織を構成する「個人」を突破することから始めたのです。

この銀行の場合、突破口を開いたのは標的型メールでした。法人顧客サポート部門に「口座間送金のサポートをお願いしたい。要件詳細は添付にあるとおりです」とヘルプを要請する内容のメールが届いたのです。サポート担当者は添付ファイルをクリックし、コンピューターが感染しました。攻撃者はここからさらに、銀行内ITサポート部門に対して「アプリケーションがうまく動かない。問題のアプリケーションを添付した」との内容のメールを送りつけます。こうしてITサポート部門が感染し、そこからドメインコントローラに侵入されたのでした。

 

Icefogのケース

2013年9月、Kaspersky Labは「Icefog」(アイスフォグ)と名付けられたAPT活動について発表しました。日本や韓国の軍事・造船・海運・IT関連企業やマスメディアなどを狙った攻撃で、ご記憶の方もあるかと思います。

こちらでも、標的型メールが切り込み役を担っていたことが知られています。日本のマスメディアに対して送られていたメールは、人気アイドルのスキャンダルを暴露する内容のメールに添付ファイル(写真)がついていました。ファイルをクリックしてしまうと、バックグラウンドでエクスプロイトが動き出し、バックドアを仕掛けるという寸法です。一方、製造業の企業に送られたメールは、製造に関する相談の体裁をとっており、必要書類を添付したかのように見せかけていました。

Icefogについては、もうひとつ興味深い話があります。攻撃者がいかに周到に事前準備しているのかを示唆する内容です。

宮橋はモスクワ本部を訪れていた際に、GReATのトップから、Icefogの活動について知らされました。攻撃を受けたと見られる企業・団体の中には、名だたる日本企業が含まれていました。帰国後、インターポールや警察庁に相談しながら宮橋は各企業にコンタクトを取っていくのですが、その中に小規模な企業がありました。そして、Icefogが狙ったのは、どうやら1人の経営幹部だけであるようでした。

実は、この幹部は、サイバー攻撃者が本来の標的に近づくのに都合の良い学歴と職歴を持つ方でした。この幹部を踏み台とし、最終目的である製造業なり軍事産業なりの企業ネットワークに入り込もうとした、と推察されます。

 

APT攻撃の情報まとめサイトがオープンしました。 kas.pr/Logbook #Logbook #APTMap #標的型攻撃 #船 #まとめ

A post shared by カスペルスキー 公式 (@kaspersky_japan) on

 

自分だけの問題…ではない可能性

自分は大したデータも持っていないし、マルウェアに感染したらOSインストールからやり直せばいい、という意見もあります。しかし、たとえば自分のコンピューターが感染していたのに気付かずにいて、学校のPTA資料をコピーしたUSBメモリを先生に渡したら…。会社のコンピューターからUSBメモリにコピーしてきた文書を自宅のコンピューターでちょっと手直しし、翌日会社のコンピューターに戻したら…。自分が面倒な目に遭うだけならまだましですが、自分を足がかりに別の人やどこかの組織に感染が及ぶかもしれません。

自分だけでなく、自分を足がかりに他人やどこかの組織に被害が及ぶ可能性がある

また、自分は偉い人とのつながりはない、と思われるかもしれません。自分は直接関わりがなくても、親はどうでしょう?友達の友達は?趣味つながりで親しくしている人が実はどこかの幹部かもしれません。攻撃者が周到に事前調査をすることは、先に紹介したとおりです。

 

ITセキュリティの基本をしっかりと

当たり前のことながら、何も起きないのが一番です。何かが起きてしまう可能性を少しでも小さくするために、今すぐできることを整理してみました。

  1. セキュリティ製品を使う
    自分が使うデバイスには、公私のシチュエーションを問わず、セキュリティ製品を導入しましょう。どの製品を使ったらよいかわからない場合は、とりあえず体験版(たいてい無料で利用可)を使ってみるのも手です。
  2. ソフトウェアやOSの更新を適用する
    APTなどのサイバー攻撃では、すでに判明している脆弱性が悪用されるケースがほとんどです。すでに更新が出ているのに適用せず放置していたために、被害を受けてしまうのです。ソフトウェアやOSの更新が出たら適用しましょう。セキュリティ製品の定義データベースの更新もこまめに行ってください。
  3. 不用意にメールの添付ファイルを開かない
    添付ファイルをクリックする前に、文面におかしなところがないか、その人がこのタイミングでコンタクトしてくることに不自然さがないか、しばし自問してみるのはいかがでしょうか。
  4. 仕事でもプライベートでも慎重さをお忘れなく
    会社のコンピューターについてはIT部門が付いていてくれますが、自宅のコンピューターは自分が責任者です。公私問わず、IT関連での慎重さをお忘れなく。また、仕事中は警戒心を持っていても、プライベートな時間は気が緩んだりするものです。自宅のコンピューターに挿したUSBを会社のコンピューターに挿す、というのはお勧めできません。

個人が備えをすることで、サイバー犯罪者にとってのハードルが上がります。これを機会に、ぜひご自身のIT環境を振り返ってみてください。