今そこにある、あなたや私のサイバー危機:カスペルスキー セキュリティ フォーラム

2016年12月16日

「ひどい渋滞で3時間も閉じ込められた。こんな状況はもう5日も続いている。救急車の中で亡くなった人もいるらしい」
「水道水の味がおかしい。沸騰させても変わらない。子供たちが心配。人々がスーパーに押しかけて飲料水は売り切れ状態」
「警察が急にやってきて我が家の電化製品を全部持って行ってしまった。コンピューターもなく、ネットにアクセスできない」
「飛行機で隣り合わせた人が、何故か私がどこで働きどこで暮らしているかを知っている。しかも、住んでいるところでそのまま従事できるコンサルタントの仕事をパートタイムでやらないかと誘ってきた」

このような事態が、実際に身に降りかかったとしたら?そもそも、なぜそんな事態になってしまったのか?

cybersec-forum-featured

他ならぬ自分にふりかかるサイバー脅威

Kaspersky Lab グローバル調査分析チーム APACディレクターを務めるヴィタリー・カムリュクは、先日東京で開催されたカスペルスキー セキュリティ フォーラムに登壇しました。

カムリュクのプレゼンテーションは、スライドを一切使わないものでした。出席者の手元には1枚の封筒が配られ、日常生活の中で起きた異常事態のシナリオが書かれた紙が入っています。手元のシナリオ(一人一人異なる)を読み上げると、その事態を引き起こしたサイバー脅威の詳細をカムリュクが解説する、という形で進行していきました。冒頭の4つは、そのうちの一部です。これらは、実際にあった事件や調査結果をベースにしたシナリオです。

米国をはじめとする国々で採用されている交通信号や道路情報掲示板がハッキング可能であることが証明され(英語記事)、モスクワではスピードカメラがマルウェアに感染して誤動作を起こす事件がありました(英語記事)。

また、水処理施設を狙ったサイバー攻撃の報告(英語記事)は、マルウェアの影響が人間の健康にも脅威となる可能性を示しました。多数のWebサービスをダウンさせる大規模なDDoS攻撃が起きたのは最近のことですが、このDDoS攻撃に使われたボットネットを構成していたネット接続機器の中に多数の家電が含まれていたと伝えられています。

今年の夏には、JTBのグループ会社から顧客情報が流出した事件がありました。自分の興味のある人物を絞り込み、紐付くアカウントを特定し、行動パターンを読むのに十分な情報があれば、冒頭で紹介した飛行機内での出来事のように、その人物の近くに座席を取って直接アプローチすることが可能です。

サイバー攻撃が私たちの日常生活に直接影響を及ぼす可能性

このように、サイバー攻撃は私たちの日常生活に直接影響を及ぼす可能性を持っています。私たちの生活を支えるインフラを乱す可能性もあれば、私たち個人をピンポイントで狙ってくる可能性もあります。普段「サイバー攻撃」という言葉を目にするとき、どこかで誰かの身にふりかかっていることだ、と感じてはいないでしょうか。カムリュクがこのプレゼンテーションで示したのは、SF小説のようなシナリオが現実になりつつあること、私たちはそれに備えて意識をし、自衛の手段を講じる必要があるということでした。

日本に向けられた矛先

身近な日常から、少し視野を広げてみましょう。これまで日本は、他国よりも比較的安全なサイバー環境が保たれているとされてきました。しかし、状況は変化しています。日本国内での標的型攻撃による情報流出事件が、相次いで報じられています。

カムリュクに続き、株式会社カスペルスキー 情報セキュリティラボ セキュリティリサーチャー 石丸傑が、日本の組織や企業がサイバー犯罪者の明確なターゲットになっていることを示すマルウェアの活動についてレポートしました。取り上げられたのはEmdiviとElirksです。

Emdivi

2015年夏に日本年金機構ほか複数組織に対するサイバー攻撃で使われたのがEmdiviと呼ばれるマルウェアです。当社で最初にEmdiviの検体を入手したのが2013年11月、Emdiviを用いて展開された標的型攻撃「ブルーターマイト」の活動を当社で最初に検知したのは2011年7月に遡ります。ブルーターマイトに関わるマルウェアの検体を600以上収集したうち、26%を占めたのがEmdiviです。

このうち6%は、特定環境でしか動作しない検体でした。この特殊な検体は、通信先のC&Cサーバー(指令サーバー)やバックドアのコマンドといった、解析の手掛かりとなる重要なデータを暗号化しており、復号するためのキーを生成する際に感染先デバイスのSID(デバイス固有の識別子)を必要とする仕様になっています。リサーチャーによる追跡を阻む、巧妙なやり方です。(Emdiviブルーターマイトの詳細については、Kaspersky Dailyの過去記事をご参照ください)

Elirks

一方のElirks(別名PLURK)は、日本・台湾・ロシアを標的としたサイバー攻撃(仮称:Elirksキャンペーン)に用いられているマルウェアです。これまでに、JTBや経団連に対するサイバー攻撃で観測されています。感染経路は標的型メール。フォルダアイコンに偽装した実行ファイルをクリックすると、航空券や旅行関連のファイルが入ったフォルダーが生成され、いかにも旅行関連情報を受け取ったかのように見せかけた裏で、マルウェアのプロセスが実行する仕組みです。

Elirksの特徴は、正規の各種ブログサービスを使って開設されたブログに対する通信を行い、ブログの書き込みの中に潜ませてある暗号化された文字列を抽出し、本来のC&Cサーバーの通信先情報(暗号化してある)を復号する点です。ブログは投稿数が僅かであるなど不自然な点があることから、サイバー犯罪者が開設したものと考えられると石丸は述べています。

同サイバー攻撃キャンペーンに関連して当社で収集した検体は200以上、うち50%がElirksであり、うち3%が特定環境下でしか動作しないものでした。特定環境下のみで動作するElirksは、機能および設定が暗号化されており、これを復号して動作するには「特定のフォルダーから実行する」ことが条件となっていました。

攻撃のROI – 攻撃側も脅威を感じている

なぜ、このように特定環境でのみ動作するマルウェアが現れたのでしょうか。近年、サイバー犯罪/サイバー攻撃から防御する側では、「怪しいものを検知する」というブラックリスト方式に限界があることから、特にクリティカルな環境では「必要なアプリケーションの実行のみを許可する」ホワイトリスト方式が採用されつつあります。攻撃側も、同じアプローチを見せています。それが、従来の「解析環境やアンチウイルスソフトウェアを検知して回避するマルウェアの開発」(=ブラックリスト方式)とは異なる「標的とする環境だけで動作するマルウェア」(=ホワイトリスト方式)の登場です。こうしたマルウェアを作ってまで手に入れたい情報を持つ機関が日本にあるという現状を反映している、と石丸は指摘しました。

人々や組織のセキュリティ意識の向上が攻撃コストを押し上げている

一方で、環境ごとにカスタマイズされたマルウェアを用いて攻撃を展開するとなると、開発や実施にコストがかかります。マルウェアをばらまいてもかつてのように簡単には実行してもらえなくなり、また解析を避けるための工夫が必要になってきたため、攻撃者側は成果を得るためコストを掛けざるを得なくなってきている。言い換えれば、人々や組織のセキュリティ意識の向上が攻撃コストを押し上げているということです。攻撃が高く付くような環境を整備することで攻撃者を諦めさせることができれば世界は平和になるのではないか、と述べて石丸はプレゼンテーションを締めくくりました。

サイバー犯罪/サイバー攻撃をめぐる攻防は「いたちごっこ」と言われます。株式会社カスペルスキー 代表取締役社長の川合林太郎は、「その言葉には、どれだけ対策しても追いつけない、という諦めのニュアンスがある。しかし、攻撃側が投資や人的リソースを注ぎ込まざるを得なくなってきているのが現状」と指摘します。テクノロジーを提供するセキュリティベンダー、対策するユーザー、そして知識と情報を広めるメディアの取り組みが、少しずつながら攻撃のハードルを上げつつある、これを継続していきましょう、と川合は最後に力強いメッセージを送りました。