Shoeisha Technology Media

EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

攻撃集団はつながっている―サイバーインテリジェンス専門家が解説する「技術偵察の実態」

edited by Security Online   2019/07/29 07:00

 サイバー空間が陸・海・空・宇宙に続く「第五の戦場」と言われて久しい。日々巧妙化するサイバー攻撃に企業が単独で立ち向かうことはもはや不可能だ。国家組織の関与が疑われるサイバー攻撃に対しては、組織や企業の垣根を取り払い対峙していくことが重要となる。7月22に都内で開催された「CYBER INTELLIGENCE SUMMIT 2019」(マキナレコード主催)にて、サイント代表取締役の岩井博樹氏が登壇。「日本企業への技術偵察の実態と対策への勘所」をテーマに講演。日本企業が心得るべきサイバー インテリジェンスの重要性を説いた。

サイバー攻撃を仕掛けられた時点で手遅れ

サイント代表取締役の岩井博樹氏
サイント代表取締役
岩井博樹氏

 サイバー インテリジェンスとは、サイバー空間で行われる諜報活動(Intelligence)を指す。 国家や企業の機密情報の窃取を目的としており、その活動は国家主体である場合がほとんどだ。岩井氏は、「民間企業からの相談で、『情報を盗まれた』との話を聞くが、地理的条件から考えて中国からの攻撃は多い」と指摘する。

 中国の諮問機関である中国人民政治協商会議のうちIT企業は17社にのぼる。岩井氏は「中国は国家として、脅威インテリジェンス/サイバーセキュリティに注力している。中国政治協商会議に加盟しているIT企業の中には、国家に対してサイバーセキュリティや脅威インテリジェンスの強化を提案している企業があることに注目してほしい」と語る。

全国政治協商会議からみる中国動向(資料出典:サイント)
全国政治協商会議からみる中国動向(資料出典:サイント)

 近年、日本企業/組織に対して行われる攻撃で急増しているのが標的型メールだ。岩井氏によれば、「以前と比較し、攻撃ステップが変化した」という。具体的には、取引先のメールアカウントを丸ごとハッキングするケースの増加や、海外拠点を標的としたサイバー攻撃の増加、そして標的ユーザー層の変化だ。

 岩井氏は、「取引企業のメールアカウントをハッキングしているので、差出人を見ただけでは標的型攻撃とは気付かない」と、その手法が巧妙化していることを指摘する。

「標的企業とのメールのやり取りに合わせハッキングしたメールアカウントを利用して攻撃メールを送信するので、担当者は本物だと思い込む。さらに、攻撃メールに添付される囮ファイルは、継続的に受信している件名が多く、気がつきにくい」(岩井氏)

 日本を狙う主な攻撃集団として岩井氏は「BlackTech(ブラックテック)」「Tick(ティック)(別名Bronze Butler:ブロンズバトラー」「Taidoor(タイドア)」を挙げた。いずれも中国を拠点とする攻撃グループだ。BlackTechは、主に日本と台湾の製造業を狙うAPT(Advanced Persistent Threat:持続的標的型攻撃)を実行するグループで、認証ソリューションを提供するセキュリティベンダーを装って攻撃を仕掛けているという。

 一方、Tick(Bronze Butler)は、日本と韓国をターゲットとし、衛星技術やEV(Electric Vehicle)を狙った攻撃集団である。ターゲットとしているのは日本や韓国企業の中国現地法人だ。企業の人材採用担当に対し、その企業が購入している調査レポート提供会社のメールアドレスを乗っ取って、あたかも調査レポートを送付するように装って攻撃を仕掛ける。「Tickの狙いは、WindowsやMac OS、Android OS、iOSなどのマルチプラットフォームだ。また、攻撃(キャンペーン)手口を見ると、複数の攻撃グループと連携していることが読み取れる」(岩井氏)

 Taidoorは、PowerShellのスクリプトを悪用して攻撃を仕掛ける。岩井氏は「日本企業はPowerShell対策をしていない。そのため、検知が難しくインシデント対応が長期化する傾向にある。PowerShell対応は早急に実査してほしい」と呼びかけた。

 こうした個別の攻撃集団は、実は連携している可能性がある。例えばTaidoorが利用している攻撃コードは、昔からBlackTechが利用していたものだという。下の図は日本から見た脅威アクターの連携の可能性を示したものだ。岩井氏は「あくまで私見だが…」としたうえで、「指示を出しているのは国家規模の組織であると容易に想像できる」とコメントした。

日本から見た脅威アクターの連携の可能性(資料出典:サイント)
日本から見た脅威アクターの連携の可能性(資料出典:サイント)

※この続きは、会員の方のみお読みいただけます(登録無料)。


※この続きは、会員の方のみお読みいただけます(登録無料)。


著者プロフィール

  • 鈴木恭子(スズキキョウコ)

    ITジャーナリスト。 週刊誌記者などを経て、2001年IDGジャパンに入社しWindows Server World、Computerworldを担当。2013年6月にITジャーナリストとして独立した。主な専門分野はIoTとセキュリティ。当面の目標はOWSイベントで泳ぐこと。

バックナンバー

連載:Security Online Press

もっと読む

All contents copyright © 2007-2019 Shoeisha Co., Ltd. All rights reserved. ver.1.5