コラム

標的型サイバー攻撃

2012年3月 6日

  2011年8月に、経済産業省から「サイバーセキュリティと経済研究会報告書 中間とりまとめ」(以下「報告書」)が公表されました。情報技術の多様化と利用形態の進展に伴い、情報資産だけでなく物的な経済資産の保護が重要な課題になっています。また最近のサイバー攻撃も顕著になり、情報セキュリティを取り巻く環境が変化しています。このため幅広い関係者から成るサイバーセキュリティと経済研究会を発足させたもので、報告書はその中間とりまとめです。

  ここでの検討事項は大別して、脅威の深刻さが増している「標的型サイバー攻撃」、外部ネットワークとの接続により脅威が現実化した「制御システムのセキュリティ」、及び企業の経営層の情報セキュリティに対する関心を高める見地から「情報セキュリティ人材の育成」の3テーマであり、それぞれについて新しい政策を提示しています。報告書ではそのほかに、情報システムのセキュリティ対策の一斉的な向上を図るために2011年4月に「ITセキュリティ評価及び認証制度等に基づく認証取得製品分野リスト」(以下「認証製品分野リスト」)を公表した事や同制度に基づくプロテクションプロファイルの整備についても触れています。以下では報告書から最近事例が多くなっている標的型サイバー攻撃についてご紹介しますが、OSやファイアウォール等の情報システムの基盤となる製品については「認証製品分野リスト」に記載されているCC認証製品を採用する事がサイバー攻撃に対抗するための必須条件になります。

  これまでの不正プログラムによる攻撃は自己顕示等の目的による不特定多数ユーザーに対する攻撃が多かったのですが、数年前から特定目標に対して行われる標的型サイバー攻撃が認識され始めました。標的型サイバー攻撃の特徴は以下のとおりです。

A) 攻撃対象と業務上関係のある組織等を装ってメールを送信し、添付ファイルに情報を窃取するプログラムを埋め込む手法を用いています。これはメールの件名等に時事ネタや守秘情報であることなどの関心を抱かせる事項を記載したり送信元を信頼性のある実在の組織としたりするもので、図1のように官公庁や独立行政法人を装った送信元が目立ちます。また、図2のように添付されたウイルスを正常なファイルに見せかけたり、図3のようにAdobe Reader等のソフトウエアの脆弱性を利用したりする方法が使われています。

詐称された送信元

図1 詐称された送信元メールアドレスの主体の属性(2008年4月から2011年6月にIPAに届けられたもの)(出所「サイバーセキュリティと経済研究会報告書 中間とりまとめ」)

標的型メール

図2 標的型メールで使われた添付ファイルの種別(2008年4月から2011年6月にIPAに届けられたもの)(出所「サイバーセキュリティと経済研究会報告書 中間とりまとめ」)

標的型攻撃

図3 標的型攻撃に悪用された脆弱性があったソフトウエア(2008年4月から2011年6月にIPAに届けられたもの)(出所「サイバーセキュリティと経済研究会報告書 中間とりまとめ」)

B) 攻撃者が攻撃対象のIT システム中の脆弱性を直接突くことにより、内部システムに侵入する手法を用いる場合もあります。標的型サイバー攻撃の特徴は少数の標的に対して攻撃を行うことが多いので攻撃方法の情報共有が難しく、不正プログラムの検知・防止が遅れる場合があるためこのような攻撃が有効になります。

C) 攻撃者は機密情報が格納されているサーバの特定や当該サーバの管理者権限の奪取を試行します。裏の侵入経路(バックドア)をダウンロードして管理者権限を取得します。

D) 攻撃者は情報窃取に成功した後にログ等の攻撃の痕跡を消去します。

  なお、上記の説明は「標的型サイバー攻撃の事例分析と対策レポート」(情報処理推進機構)を参考にして補足してあります。また標的型サイバー攻撃の詳細な事項については<参照>にあげた資料をご覧ください。

  個々のユーザーによる標的型サイバー攻撃の防止・軽減対策としては、不正プログラムに特徴的な振る舞いを監視し検出する機能を持つ対策ソフトを用いる対策、不正プログラムに感染したとしても不正プログラムが行う外部通信を阻止する事により被害を軽減する対策、重要情報の分散管理や暗号化等の管理面での対策が検討されています。

  標的型サイバー攻撃は文書作成・閲覧ソフト等の汎用ソフトウエアの脆弱性を利用している事や攻撃方法が公知にならない範囲で使いまわされている事を糸口にして、被害情報を共有する事による防止対策が検討されています。ユーザーとベンダーが情報共有する事によって、公知ではない攻撃方法を素早く知ることにより他の攻撃を防ぐ可能性が高くなるし、標的型サイバー攻撃の分析能力が向上する事が期待できるためです。ただし、情報共有に関しては機微な情報を共有する事の困難さや、標的型サイバー攻撃を受けたことを開示する困難さ、情報共有によるメリットが明確ではない事等の困難さが予想されます。そこで情報共有に関する課題を整理してその方向性として、公的機関が支援する形で、情報セキュリティ企業、ITユーザー企業、が参加して情報共有を試行するパイロットプロジェクトを実施して情報共有の有効性の検証、ルール整備、コスト精査等を行うことを提言しています(図4参照)。

  これをうけて「早期警戒のための情報共有による攻撃の検知と回避」及び「標的型サイバー攻撃の実体調査と共有情報による早期対策の推進」を目的とした「サイバー情報共有イニシアティブ(J-CSIP:Initiative for Cyber Security Information sharing Partnership of Japan)」が発足しています。

パートナーシップ

図4 パートナーシップの構成要素(出所「サイバーセキュリティと経済研究会報告書 中間とりまとめ」)

≪参照≫

注目ワード> ISO/IEC15408 コモンクライテリア JISEC 電子政府推奨暗号リスト JCMVP  FIPS140 CMVP/CAVP
Copyright (C) 2007-2017 Information Technology Security Center. All Rights Reserved