2013年型サイバー攻撃の予想 (2) 2013年度の予測 | ScanNetSecurity
2024.03.29(金)

2013年型サイバー攻撃の予想 (2) 2013年度の予測

2013年度以降の流れとして、サイバー戦争やテロ、ハクティビズムは2012年度と同様に発生すると考える。2013年4月7日にはアノニマスによる「Operation Israel」の事案が報告されていることなど踏まえると、各国でこの種の攻撃は頻繁に発生するのだろう。

特集 特集
3.2013年度(2013年4月以降)の予測

2012年度(2013年3月以前)は政府への攻撃を含め、比較的大きな事案が報道されたことで特徴である。2013年度も同様に、引き続き海外からのサイバー攻撃が行われる可能性がある。ただし、これらの事案が公開情報となるかは分からない。同様にサイバー犯罪においても、アンダーグラウンド・マーケットの市場規模が大きくなっていることを鑑みても、増加傾向にある推測する。では、具体的にどのようなサイバー攻撃が増加するのか、2012年度の傾向から推測するとしよう。


3-1.「水飲み場攻撃」を狙ったウェブサイト改ざんの増加

水飲み場攻撃とは、端的に説明すると標的が閲覧するウェブサイトに悪性コードやマルウェアなどを設置することで攻撃を行う、いわゆる「待ち伏せ攻撃」である。つまり、この攻撃が流行すると、改ざんされたウェブサイトが増えることになる。

現在、水飲み場攻撃が流行しているかは不明だが、少なくとも2012年度はウェブサイトの改ざん報告が近年の件数と比較し、多かったことが情報処理推進機構から報告されている。

2012年の不正アクセス届出から読み解く、ウェブ改ざん被害の事例、傾向と対策(IPA)
http://www.ipa.go.jp/about/technicalwatch/pdf/130213report.pdf

また、2013年1月頃から3月にかけても、世界中でウェブ改ざん被害が数多く報告されている。改ざんサイトにはWeb Exploit Kitが設置されていたことから、大規模な金銭目的のキャンペーンとの見方がある。

では、実際にどのようなWeb Exploit Kitが悪用されていたのか、直近のデータを参照してみると、その傾向は明らかだ。
ウェブサイトのセキュリティスキャンサービスのurlQueryによる統計データを参照することで、どのような改ざんが行われていたかの傾向を把握することができる。このサービスの3月23日~4月10日までの統計結果によれば、最も多く検出されているのは「BlackHole v2.0 exploit kit(以降、Blackhole EK)」である。

Live exploit kits detected
http://urlquery.net/statistics.php

このBlackhole EKは、アンダーグラウンド・マーケットにて売買されており、JavaやFlash Playerの未公開のぜい弱性を悪用することでも知られている。これらの未公開のぜい弱性も、アンダーグラウンド・マーケットで売買されている。未公開のぜい弱性においては数十万円の金額で取引されることも少なくなく、愉快犯によるものではないことは明らかだ。ちなみに、2012年度に販売されたJavaの未公開のぜい弱性は、5000米ドルだっとされる。攻撃者がどのくらい本気であるか想像がつくだろう。

また、2012年度はオンラインバンクの利用者を狙ったサイバー攻撃が話題となった。

HTMLを改ざんしてポップアップを表示、ネットバンクを狙うウイルス(日本経済新聞)
http://www.nikkei.com/article/DGXNASFK08033_Y2A101C1000000/
このとき悪用されたマルウェアの一部は、ZeuSやSpyEye(註)であったとされる。これらのマルウェアは過去に海外のオンラインバンクの利用者を標的とした経緯がある。このことから、言語の壁は既に突破されており、海外のサイバー犯罪者らが日本を標的としつつあることが推測される。オンラインバンキングの利用者の他に、カードや各ポイントサービスなどの金銭に紐づくサービスの利用者は注意が必要だ。

註:ZeuS / SpyEye … 世界中で悪用されているボットネット。一般に攻撃者が準備したウェブサイトからダウンロードすることで感染する。感染後は遠隔操作により不正送金や第三者への攻撃など不正利用されることが多い。ZeuSやSpyEyeが設置されたウェブサイトは世界中に存在しており、ほぼ毎日のように新たな攻撃用サーバが設置されている。攻撃用サーバ情報は次のウェブサイトの情報などが参考となる。

ZeuS Tracker
https://zeustracker.abuse.ch/monitor.php


3-2.スマートデバイスを狙った脅威の増大

スマートデバイスを狙ったマルウェアが急増している。ウイルス対策メーカー各社からの報告によれば、Android端末を狙ったマルウェアが急増していることを指摘している。下表の米McAfeeの報告では、モバイル マルウェアの内97%はAndroidを狙ったものだという。現在、Androidの利用者数事態が急増していることを踏まえると、容易に想像の付く話だ。

McAfee脅威レポート:2012年第4四半期(McAfee)
http://www.mcafee.com/japan/security/report/download.asp?no=76

Androidに限らず、スマートデバイスはPCに比べて特定個人への攻撃がしやすい。現状では、広範囲で詐欺アプリケーションなどが配布されていることが多いが、今後は標的型攻撃に悪用される可能性が高まってくると推測する。既に電話番号をチェックし、国コードが特定国の場合にのみ動作するものまで登場しているため、前述の“水飲み場攻撃”との組み合わせなどにより、特定の国、職業の利用者を狙った攻撃も登場するのではないだろうか。

現在、マルチプラットフォームを標的としたマルウェアやJavaを狙った攻撃の増加が報告されている。このことは、スマートデバイスはサイバー攻撃において、マルウェアなどを拡散させるための「ハブ」になる可能性を示している。BYOD(Bring Your Own Device)を許可する組織も少なくないことを踏まえると、スマートデバイスを悪用したサイバー攻撃は今後も目が離せない。


3-3.標的型サイバー攻撃の手口はより巧妙化

標的型サイバー攻撃の手口の変化に注目が集まる。2008年~2011年頃までの標的型サイバー攻撃で悪用されたバックドア(いわゆる、遠隔操作ウイルス)は、高機能でGUI上で操作するものが目立った。新聞報道などでよく知られるところでは、Gray Pigeon(中国のアンダーグラウンドで売買されるバックドア)やPoison Ivy、Gh0st Rat(フリーで配布されているバックドア)などが有名である。しかし、近年報告されている事案では、必要最低限の機能のみ有したプログラムが悪用されているように見受けられる。例えば、米Dell Secureworksの報告 (http://www.secureworks.com/research/threats/chasing_apt/) や農林水産省に関する報道であったHTranのようなパケット転送ツールや、先日の韓国での事案で利用されたPutty(SSHクライアント)の悪用がその典型である。これらを利用する理由の1つとして、攻撃者が標的先に被害事実を分かりづらくするために利用していると推測される。近年、マルウェア対策に関しては、マルウェア防御システム(MPS)をはじめとし、サンドボックス型の対策製品が注目されている。サンドボックス型の対策製品とは、仮想環境上でプログラムを動作させることでプログラムの挙動を分析し、不正プログラムであるかを判定する製品である。この判定基準は、一般にファイルの作成やレジストリの更新などのウイルスにしばしば確認される挙動をモニタリングすることで行っている。裏を返せば、この判定基準に適合しなければ回避することができるというわけである。前述のHtranやPuttyはその典型であり、単純に実行するだけでは何も動作しない。そのため、MPSは前処理として行っているウイルススキャン機能で検出させる必要がある。


4.まとめ

2012年度までの傾向をみると、徐々にサイバー攻撃の対象が拡大し、攻撃に携わるリソースが大きくなり始めている。これは、サイバー戦争、テロ、ハクティビズムなど比較的規模の大きな事案が発生したことに加え、サイバー犯罪件数の増加に起因している。2013年度以降の流れとして、サイバー戦争やテロ、ハクティビズムは2012年度と同様に発生すると考える。2013年4月7日にはアノニマスによる「Operation Israel」の事案が報告されていることなど踏まえると、各国でこの種の攻撃は頻繁に発生するのだろう。

これに加えて、標的型サイバー攻撃はより標的が限定されていく可能性がある。これは、「スマートデバイスを標的とした攻撃」と「水飲み場攻撃」の脅威が増大する可能性があるためである。これらはどの組織も被害を受ける可能性が高い。

では、これらのサイバー攻撃に私たちはどのように対応した良いのだろうか。セキュリティ機器を単純に設置するだけでは十分な対策は難しいのが現状である。入口対策、出口対策に加え、内部対策強化によりある程度のダメージ・コントロールは期待できる。

しかし、リスクをゼロにすることは事実上不可能であるため、もはや事故発生を前提として、サイバー攻撃によって発生した損害を補償する、法人向けの保険を利用することも選択肢として現実的になってきている。

また、やはりサイバー攻撃対策は攻撃の具体的な攻撃者の手口を入手していなければ、対策が困難な場合も少なくない。Javaなどの未公開のぜい弱性などはその典型である。これらの情報は研究者・専門家やCSIRT(コンピュータセキュリティ事案対応チーム)などのコミュニティから得るなどの工夫が必要だ。まず、組織内にどのような残存脅威があるのか、洗い出すところからはじめてみては如何だろうか。

(デロイト トーマツ リスクサービス株式会社 岩井 博樹)
《ScanNetSecurity》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×