2011年が終わりに近づき、「今年の10大ニュース」的な話が話題に上る季節になりました。今年、情報セキュリティ分野での大きな話題といえば、「標的型攻撃」であったと思います。オンラインゲームのネットワーク、サーバーへの侵入と大量の個人情報漏えい、衆参両院システムに対するサイバー攻撃とID・パスワード漏えい、防衛産業各社への攻撃とマルウエア感染など、衝撃的な事実が次々と明るみに出たことにより、官民を問わず情報セキュリティが大きな注目を集め、かつ国家安全保障の観点からも大きな懸念が噴出することとなりました。情報セキュリティ問題が一般紙の朝刊一面トップで扱われたのも、初めてのことです。
「標的型攻撃」については、「電子メールによる攻撃」というイメージが強いのですが、厳密には電子メールだけではなく、USBなどの外部記憶媒体、外部のダウンロードサイトのソフトウエアなど多くの攻撃経路が存在します。また従来から行われているソフトウエアの脆弱性を突く攻撃をはじめとしたさまざまな種類の攻撃も、特定の企業・組織に絞って執拗に行う場合「標的型攻撃」であると言えます。
機密情報はどんな脅威にさられているか
主に2011年に発生した事件の内容などから「標的型・今年の流行」のようなものを見てみたいと思います。なぜ「流行」と表現するかというと、それぞれの攻撃方法や技術的問題点については今年新たに発生したものはほとんどなく、数年前、あるいはそれ以前から存在するものばかりだからです。たとえばメールを使った標的型攻撃(以前はスピア型メールとも呼ばれていました)は警察など一部の官公庁をターゲットにして行われていることが2006年頃から知られています。
ただしそれぞれの攻撃方法は新しくありませんが、使い方や組み合わせ方などについては多少の変化が見られた、というところではないでしょうか。
Webアプリケーションに対する攻撃
2005年以降、「SQLインジェクション」をはじめとするWebアプリケーションの脆弱性に対する攻撃により、クレジットカード情報、個人情報等が漏えいする事件は継続的に発生しています。この攻撃は通常内部への侵入を伴わずに情報漏えい等を引き起こすのが特徴ですが、不正アクセスのケースによっては内部ネットワークに対する侵入方法のひとつとして使われることもあるようです。今年は特定の企業を狙った標的型攻撃の中でも、しばしばこの攻撃方法が使われました。
脆弱性を悪用した内部への侵入
一連のオンラインゲーム・ネットワークへの不正アクセス・個人情報漏えい事件では、利用しているソフトウエアに存在していた脆弱性を攻撃され、内部に侵入された結果、外部からマルウエアをインストールされ、データベースに格納された7000万件以上の個人情報が窃取されました。バッファ・オーバーフローなど、脆弱性を攻撃してサーバーに侵入する不正アクセスは以前からありましたが、特に今年は特定の企業に対して執拗に高度な攻撃を続けるという事件が多く報道されました。
メールなどを使った標的型攻撃
今秋以降明らかとなった防衛関連企業及び衆参両院へのサイバー攻撃は、電子メールをその媒介として使用した「標的型メール攻撃」であると言われています。この攻撃では従来セキュリティ対策を実施してきた、システムとインターネットの接点となる部分(境界防御)を迂回する形でマルウエアが内部に侵入し、マルウエアに感染したパソコンを経由して、攻撃者が外部から、内部のネットワークやシステムを「のぞき見」したり、不正に操作したりすることができるようになると言われています。その結果、ID・パスワードを盗まれ、最終的にはファイルサーバやデータベースから機密情報を盗まれる危険があります。
現実に隣国である韓国では本年、こうした攻撃方法によって住民登録番号(全国民に個別に付与された国民番号のようなもの)を含む、約3500万人分の個人情報が盗まれると言う事件が発生し、大きな社会問題となっています。
