「1425%」という数字の衝撃
この数字が意味するものは何だと思いますか?これはサイバー攻撃者側のROI(Return On Investment)、つまり投資対効果を示す数字です(参考記事:Trustwave)。700円ばかりの投資をすれば1万円のリターンがあるという計算になります。なぜ、このような高い効率を許してしまうのでしょうか。
サイバー攻撃を仕掛けようとする攻撃者側のマルウェア開発の効率があがり、攻撃手法そのものが洗練されてきたことが原因になっていることは想像に難くないですが、「守る側の弱点」がどこもほぼ似たような状況があることも原因ではないでしょうか。この推測が正しいとすれば、攻撃者にすれば「こんなおいしい環境はない」、まさに"うま味たっぷり"の環境が民間企業や公共機関にあることになります。
そのため1425%もの数字*を上げていると推測します。そして、これが前述のように専門家がすでに注意喚起している弱点を放置していることにより招いた結果だとすれば、よく言われる「サイバー攻撃はもう防ぎきれない」という結論を出す前に、やることがたくさんある段階と言わざるを得ません。
*1425%という数字は、「ランサムウェア」と呼ばれる身代金を要求する悪意のあるソフトウェアで攻撃をしかける場合、それに必要な準備コストや運用コストと、攻撃が成功した場合に得られるであろう金額から算出された数字です。そのため、すべてのサイバー攻撃で同様の数字を達成することを意味していませんが、サイバー攻撃の犯罪者側の投資対効果が高いことを示す具体的な数字と言えるでしょう。
従来型攻撃と標的型攻撃の違い
それでは、従来型攻撃と標的型攻撃の違いは何でしょうか。
標的型攻撃の特徴は、クライアント端末を起点に攻撃が開始され、それが成功すると他の端末にも感染が拡大し、最後は認証サーバー、多くはActive Directoryの管理者権限を奪われ、ドメイン内のサーバーやクライアントPCの制御が奪われることです(下図)。
[クリックすると図が拡大します]
2014年12月19日に、JPCERTコーディネーションセンター(JPCERT/CC)からも「Active Directory のドメイン管理者アカウントの不正使用に関する注意喚起」が出されました。クライアント起点という表現こそありませんが、攻撃者の狙いが管理者アカウントであることが繰り返し解説されています。
