【インタビュー】マルウェア対策よりハッキング対策、標的型サイバー攻撃対策 | ScanNetSecurity
2023.06.04(日)
コンテンツ
注目検索ワード
ホーム 特集 特集 記事

【インタビュー】マルウェア対策よりハッキング対策、標的型サイバー攻撃対策

標的型サイバー攻撃の実態と、対策製品の種類と用途、具体的製品名称、それぞれの有効性について、最新のサイバー脅威に詳しい株式会社ラックの上級サイバー分析官、岩井博樹氏に聞いた。

特集 特集
標的型サイバー攻撃の実態と、対策製品の種類と用途、具体的製品名称、それぞれの有効性について、最新のサイバー脅威に詳しい株式会社ラックの上級サイバー分析官、岩井博樹氏に聞いた。


――ラックでは「標的型サイバー攻撃」をどのように定義しているのでしょう。

標的型サイバー攻撃という言葉には、実は非常に多くの手法や攻撃、概念が含まれています。IPAが注意喚起している「新しいタイプの攻撃」も標的型サイバー攻撃を指していますし、APT攻撃と呼ばれることもあります。今回のお話では、「ソーシャルハッキングによって標的について詳しく調べ、ソーシャルエンジニアの手法を活用したメールをピンポイントで標的に送り、添付ファイルを開かせるなどし、メールの本文にあるURLリンクをクリックさせて感染させ、企業や組織に侵入する攻撃」と定義します。

もちろん、メール以外にUSBメモリや、最近ではSDカードなどを標的に送りつけるケースもあり、こういったメディアの活用度の高い報道機関などで確認されています。なお、「APT攻撃」も標的型サイバー攻撃とほぼ同義ですが、マカフィーのブログにもあるようにもともとは軍事関係、特にスパイ活動全般を指す言葉でした。

――「標的型サイバー攻撃」と従来のサイバー攻撃の本質的な違いはなんでしょう。

これまでのサイバー攻撃は、無差別にマルウェアをばらまいて大量感染させるものが中心でした。最近では、ある程度標的を絞っての金銭目的の攻撃が多いように思えます。目的の観点での本質的な違いは、標的型サイバー攻撃の場合は従来通りの「金銭目的」に加え「スパイ行為」「破壊行為」の3つの目的があることです。なお、ソニーなどへのアノニマスによる攻撃も標的型サイバー攻撃に似ていますが、攻撃者が公表する点などにおいて異なるといえるでしょう。

特にスパイ行為は報道されるケースも多く、非常に目立っています。実際、標的型サイバー攻撃のほとんどがスパイ行為を目的としています。そして、スパイ行為による情報を得たいと思う組織などが直接手を下さないケースもあります。つまり、被害端末を解析していると「雇われハッカー」の存在が見え隠れしているのです。またマルウェアが中国語で生成されていたり、プロパティが中国語だったりと、中国語圏からの攻撃を臭わす傾向もみえます。マルウェアを中国語から英語に書き換えている(アップデートしている)途中のPCを回収できたケースもありました。

破壊行為は被害者が気づいていないだけで、実際にはかなり行われているとみられます。たとえばハードウェア障害で相談を受けることがあるのですが、調べてみると障害ではなく、外部から侵入されていたということが少なくありません。マスターブートレコードが消されていたりするのです。ハードウェア障害と思われるとき、たいていはクリーンインストールしてしまいます。しかし、データを復元し解析してみると、実は侵入され破壊されていたというケースも多いと思われます。

――標的型サイバー攻撃の手口や特徴、また被害を受けている場合の特徴などについて教えてください。

手口としては「すり抜けること」が前提です。入口の部分はかなりの確率で通過してしまうのが現状で、侵入後はSMBプロトコルを利用し通常の通信を装いながら、中へ中へと侵入していきます。メールの添付ファイルやURLリンク先から実行された「ドロッパー」がトロイの木馬をインストールする。その後C&Cサーバに接続し、収集した情報を送信するという流れです。

また「内部で何が起きているかわからない」というお客様の社内ネットワークのトラフィックを解析すると、通常通信とはいえ「ドメイン管理者アカウント」(そのドメインでの最高権限)による通信が多いんです。その権限を奪取されている時点で、すでに通常の状態ではありません。これは社内ネットワークをちゃんとモニタリング、ロギングしていれば気づくことです。しかし、それがなかなか難しいという企業が多く、気づかないのが現状なのです。

企業などの心構えという点では、「ドメイン管理者アカウントのパスワードを破られるかも知れない」と日頃から気を遣っている企業は、ドメイン管理者アカウントによるログオンが発生した際に管理者へメールで通知する仕組みを導入するなどしており、早期発見が可能です。一方、たくさんのドメインを作って放置しているような企業は気づきにくく、被害が大きくなる傾向があります。こういった心構えは、標的型攻撃だけでなく内部犯罪においても有効です。

標的型メールは、当社のデータを平均すると、1万人規模の企業で5名から10名に届きます。そのうち悪用されるPCは2~3台です。たとえ5台が感染しても同様です。これは攻撃者も人数が少ないためで、操れる台数に限界があるのです。トロイの木馬で1~2台感染させたら、あとはSMBプロトコルを使って侵入していきます。たとえば、ボットネットはどんどん拡散しようとしますが、標的型サイバー攻撃ではこういったマルウェアは使用せず、検知されないようにします。これも特徴といえるでしょう。

しばしば「100台の感染が見つかった」という報道がありますが、発見された感染PCは利用された後のもので、親玉は見つからないように活動を休止するなどします。通信経路も途中で切り替えており、辿れないようにしています。このように標的型サイバー攻撃の攻撃者の目的は明確であり、考え抜かれていることが特徴です。ボットとは全然違うのです。まとめると、「マルウェア対策というよりハッキング対策(サイバー攻撃による情報窃取等への対策)が必要」であること、「ハッカーvs組織というのが背後にはっきりと見える」ことが挙げられます。

――ありがとうございました。次回は標的型サイバー攻撃に有効な対策についてうかがいます。
《吉澤 亨史( Kouji Yoshizawa )》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

OpenSSL の ASN.1 オブジェクト識別子変換に処理時間遅延の問題 画像

OpenSSL の ASN.1 オブジェクト識別子変換に処理時間遅延の問題
セゾン情報システムズのデータ連携ソフト「DataSpider Servista」にハードコードされた暗号鍵の使用の脆弱性 画像

セゾン情報システムズのデータ連携ソフト「DataSpider Servista」にハードコードされた暗号鍵の使用の脆弱性
OSSのノーコード・ローコード開発ツール「プリザンター」にXSSの脆弱性 画像

OSSのノーコード・ローコード開発ツール「プリザンター」にXSSの脆弱性
みずほ信託銀行がフィッシングメールに注意喚起 画像

みずほ信託銀行がフィッシングメールに注意喚起
Starlette にディレクトリトラバーサルの脆弱性 画像

Starlette にディレクトリトラバーサルの脆弱性
ESS REC Agent Server Edition for Linux 等にディレクトリトラバーサルの脆弱性 画像

ESS REC Agent Server Edition for Linux 等にディレクトリトラバーサルの脆弱性

インシデント・事故 記事一覧へ

読者から神奈川新聞社に寄せられた情報を家族に漏えい、社内ルールに基づき厳正に対処 画像

読者から神奈川新聞社に寄せられた情報を家族に漏えい、社内ルールに基づき厳正に対処
厚生労働省のサーバを経由し約10万件の迷惑メールを送信 画像

厚生労働省のサーバを経由し約10万件の迷惑メールを送信
UCCグループのネット通販「フーヅフリッジ」ウェブサイトが改ざん被害、注文情報のダウンロードも判明 画像

UCCグループのネット通販「フーヅフリッジ」ウェブサイトが改ざん被害、注文情報のダウンロードも判明
送付を希望しない相手に通知文書を2度にわたり誤送付、「市からの補償」名目で私金を渡す不適切な事務も発覚 画像

送付を希望しない相手に通知文書を2度にわたり誤送付、「市からの補償」名目で私金を渡す不適切な事務も発覚
モンテディオ山形で誤送信、送信先リストを「宛先に追加」ではなく「メールに添付」 画像

モンテディオ山形で誤送信、送信先リストを「宛先に追加」ではなく「メールに添付」
屋根に柏崎刈羽原子力発電所6号機に関する書類80枚載せ自家用車発進し紛失 ~ 市長「極めてむなしい。」 画像

屋根に柏崎刈羽原子力発電所6号機に関する書類80枚載せ自家用車発進し紛失 ~ 市長「極めてむなしい。」

調査・レポート・白書・ガイドライン 記事一覧へ

ランサムウェア身代金 払い続けた世界の末路 ~ ウィズセキュアが犯罪のプロ化警鐘 画像

ランサムウェア身代金 払い続けた世界の末路 ~ ウィズセキュアが犯罪のプロ化警鐘
中 露 北のサイバー攻撃主体を紹介、公安調査庁 サイバー脅威概況2023 画像

中 露 北のサイバー攻撃主体を紹介、公安調査庁 サイバー脅威概況2023
ランサムウェア攻撃の 93%がバックアップストレージを標的に 画像

ランサムウェア攻撃の 93%がバックアップストレージを標的に
IPA「内部不正防止ガイドライン」第5版改訂ポイント NTTデータ経営研解説 画像

IPA「内部不正防止ガイドライン」第5版改訂ポイント NTTデータ経営研解説
「セキュリティは制限や制約ではなく変革を支えるもの」日経デジタル人材 新卒研修資料 画像

「セキュリティは制限や制約ではなく変革を支えるもの」日経デジタル人材 新卒研修資料
AI は脅威インテリジェンスを生成できるか、NEC技術者検証 画像

AI は脅威インテリジェンスを生成できるか、NEC技術者検証

研修・セミナー・カンファレンス 記事一覧へ

NTTデータ先端技術が DMARC、BIMI 対応ウェビナー開催 ~ TwoFive 桐原氏講演 画像

NTTデータ先端技術が DMARC、BIMI 対応ウェビナー開催 ~ TwoFive 桐原氏講演
東京都が中小企業のセキュリティ対策支援 セミナーやワークショップ 専門家派遣 画像

東京都が中小企業のセキュリティ対策支援 セミナーやワークショップ 専門家派遣
ヤバいデモで会場沸かす ~ SMS で 2FA 迂回する「Smishsmash」 画像

ヤバいデモで会場沸かす ~ SMS で 2FA 迂回する「Smishsmash」
テーマは「次の30年」 Interop Tokyo 2023、幕張メッセで 6/14-16 開催 画像

テーマは「次の30年」 Interop Tokyo 2023、幕張メッセで 6/14-16 開催
サイバーセキュリティ対策のための統一基準 ガイドライン(案)に明記されたDMARC対応、その導入の実際~日本プルーフポイント講演レポート 画像

サイバーセキュリティ対策のための統一基準 ガイドライン(案)に明記されたDMARC対応、その導入の実際~日本プルーフポイント講演レポート
今年は対面形式限定、11/8, 9「CODE BLUE 2023」開催 画像

今年は対面形式限定、11/8, 9「CODE BLUE 2023」開催

製品・サービス・業界動向 記事一覧へ

AI脆弱性診断サービス「ImmuniWeb Neuron」提供、回数無制限で利用可能 画像

AI脆弱性診断サービス「ImmuniWeb Neuron」提供、回数無制限で利用可能
6月4日まで「個人情報を考える週間」丹野委員長コメント 画像

6月4日まで「個人情報を考える週間」丹野委員長コメント
脆弱性診断自動化ツール「AeyeScan」アップデート、類似判定精度を向上 画像

脆弱性診断自動化ツール「AeyeScan」アップデート、類似判定精度を向上
GMOイエラエ、フィンテック企業の OSINT サービス事例 ~ パスワード運用ルール見直し ほか 画像

GMOイエラエ、フィンテック企業の OSINT サービス事例 ~ パスワード運用ルール見直し ほか
AeyeScan blog 第2回「AIプログラミング編」 画像

AeyeScan blog 第2回「AIプログラミング編」
長野県警から感謝状と盾を受領、GMOイエラエがIoTフォレンジック技術で捜査協力 画像

長野県警から感謝状と盾を受領、GMOイエラエがIoTフォレンジック技術で捜査協力

おしらせ 記事一覧へ

小説内に登場するバーで直筆サインをいただきました ~ 創刊24周年キャンペーン 11/30 迄 画像

小説内に登場するバーで直筆サインをいただきました ~ 創刊24周年キャンペーン 11/30 迄
「果たされた約束」アフタヌーンティー開催レポート ~ 創刊24周年キャンペーン実施のおしらせ 画像

「果たされた約束」アフタヌーンティー開催レポート ~ 創刊24周年キャンペーン実施のおしらせ
Scan PREMIUM 創刊24周年記念キャンペーン実施中 画像

Scan PREMIUM 創刊24周年記念キャンペーン実施中
ScanNetSecurity 創刊24周年御礼の辞(上野宣) 画像

ScanNetSecurity 創刊24周年御礼の辞(上野宣)
【当選確率3倍】2022年 CrowdStrike カレンダープレゼント 画像

【当選確率3倍】2022年 CrowdStrike カレンダープレゼント
創刊23周年記念イベント「ハッカージャーナリスト誕生譚」オンライン公開インタビュー 11/18 開催 画像

創刊23周年記念イベント「ハッカージャーナリスト誕生譚」オンライン公開インタビュー 11/18 開催
Page Top
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)
×