サイバー攻撃を仕掛けられた時点で手遅れ
岩井博樹氏
サイバー インテリジェンスとは、サイバー空間で行われる諜報活動(Intelligence)を指す。 国家や企業の機密情報の窃取を目的としており、その活動は国家主体である場合がほとんどだ。岩井氏は、「民間企業からの相談で、『情報を盗まれた』との話を聞くが、地理的条件から考えて中国からの攻撃は多い」と指摘する。
中国の諮問機関である中国人民政治協商会議のうちIT企業は17社にのぼる。岩井氏は「中国は国家として、脅威インテリジェンス/サイバーセキュリティに注力している。中国政治協商会議に加盟しているIT企業の中には、国家に対してサイバーセキュリティや脅威インテリジェンスの強化を提案している企業があることに注目してほしい」と語る。
近年、日本企業/組織に対して行われる攻撃で急増しているのが標的型メールだ。岩井氏によれば、「以前と比較し、攻撃ステップが変化した」という。具体的には、取引先のメールアカウントを丸ごとハッキングするケースの増加や、海外拠点を標的としたサイバー攻撃の増加、そして標的ユーザー層の変化だ。
岩井氏は、「取引企業のメールアカウントをハッキングしているので、差出人を見ただけでは標的型攻撃とは気付かない」と、その手法が巧妙化していることを指摘する。
「標的企業とのメールのやり取りに合わせハッキングしたメールアカウントを利用して攻撃メールを送信するので、担当者は本物だと思い込む。さらに、攻撃メールに添付される囮ファイルは、継続的に受信している件名が多く、気がつきにくい」(岩井氏)
日本を狙う主な攻撃集団として岩井氏は「BlackTech(ブラックテック)」「Tick(ティック)(別名Bronze Butler:ブロンズバトラー」「Taidoor(タイドア)」を挙げた。いずれも中国を拠点とする攻撃グループだ。BlackTechは、主に日本と台湾の製造業を狙うAPT(Advanced Persistent Threat:持続的標的型攻撃)を実行するグループで、認証ソリューションを提供するセキュリティベンダーを装って攻撃を仕掛けているという。
一方、Tick(Bronze Butler)は、日本と韓国をターゲットとし、衛星技術やEV(Electric Vehicle)を狙った攻撃集団である。ターゲットとしているのは日本や韓国企業の中国現地法人だ。企業の人材採用担当に対し、その企業が購入している調査レポート提供会社のメールアドレスを乗っ取って、あたかも調査レポートを送付するように装って攻撃を仕掛ける。「Tickの狙いは、WindowsやMac OS、Android OS、iOSなどのマルチプラットフォームだ。また、攻撃(キャンペーン)手口を見ると、複数の攻撃グループと連携していることが読み取れる」(岩井氏)
Taidoorは、PowerShellのスクリプトを悪用して攻撃を仕掛ける。岩井氏は「日本企業はPowerShell対策をしていない。そのため、検知が難しくインシデント対応が長期化する傾向にある。PowerShell対応は早急に実査してほしい」と呼びかけた。
こうした個別の攻撃集団は、実は連携している可能性がある。例えばTaidoorが利用している攻撃コードは、昔からBlackTechが利用していたものだという。下の図は日本から見た脅威アクターの連携の可能性を示したものだ。岩井氏は「あくまで私見だが…」としたうえで、「指示を出しているのは国家規模の組織であると容易に想像できる」とコメントした。
