セキュリティの考え方を根本的に変えるべき
2011年に入り、特定の企業や団体を狙った「標的型」のサイバー攻撃が相次いでいる。大規模なサイバー攻撃自体は以前から存在していたが、巧妙な文面の電子メールなどを起点として、境界の内部に入り込み、盗んだIDやパスワードを使って、DBサーバなどに保存された個人情報を大量に盗みとるという手口は、これまでとは性質が異なるものだ。APT(Advanced Persistent Threat)攻撃としても知られる。
アート・コビエロ氏
RSAのエグゼクティブチェアマン、アート・コビエロ氏は「従来のようなIDSやアンチウィルスといった境界防御の対策製品では検知できない。すべての人が新たな『境界』になってしまっている。セキュリティに対する考え方を根本的に変えければならない」と指摘する。
実際、標的型のサイバー攻撃では、企業のファイアフォールやIDS、アンチウィルスなどに対して“正面突破”を試みてくることは少ない。役員や取引先、同僚など、標的となった企業やその従業員に近い関係者を名乗り、不正プログラムをダウンロードさせるように仕向けるなど、境界を迂回して社内のネットワークに侵入してくる。その手口は「速く、俊敏で、狡猾」(コビエロ氏)だ。
こうしたサイバー攻撃は、ITの進化とともに巧妙さを増してきた。近年では、クラウドやソーシャルメディアに見られるように、外部に対する開放性が高いシステムやアプリケーションが普及し始めている。またID付きPOSや電子マネー、グローバル位置情報など非構造化データにとどまらず構造化データも日々膨大に生成されるようになっている。そうしたなか、攻撃者は、新たなに生まれた脆弱性を巧みに利用し、狡猾な攻撃をしかけてくることになる。
コビエロ氏は、攻撃者を、目的や規模の違いなどから3つに大別する。
1つ目は、社会的、政治的な主義主張を持ち、世間の注目をひくために攻撃するタイプ。独善的な正義のもと、Webの脆弱性やセキュリティ統制の欠如、社員のセキュリティ意識の甘さを突くスキルを持つことから「ハクティビスト」などと呼ばれる。企業や組織の内部の人間と手を組むこともある。
2つ目は、換金可能な情報資産の搾取を目的とした犯罪者タイプ。犯罪者どうしでグループを作り、ボットネットやスパミングキット、特定できないドメインなどを使って迅速に脆弱なスポットを見つけ出す。世界各地のホスティングサービスを利用してボットネット化を進めるなど、グループのネットワークが大規模になるケースも少なくない。
そして、3つ目は国家。国家が関与しているAPT攻撃の特徴は、検知が難しく、巧妙で高レベルだという。ソーシャルエンジニアリングを使って何ヶ月も前から準備を行い、どのエンドユーザーが情報を持っているかを探る。攻撃の方法としても、情報を取得しようとする企業とは別の企業をまず攻撃し、そこから盗んだ情報を使って、本来の目的にする企業を攻撃する。侵入後は、静かに身をひそめ、企業のネットワークやセキュリティインフラの詳細な設計図を作成する場合もあるという。
