昨日のエントリでは、「標的型攻撃」と呼ばれるサイバーアタックが、昨今特定の企業・団体に対して行われていること、またその対策が極めて難しいために、深刻な被害が出始めていることを紹介した。今日は、この標的型攻撃の仕組みについて、もう少し掘り下げてみたい。

標的型攻撃の説明をする前に、次の架空の物語を読んでほしい。これは、PCを使って仕事をするビジネスマンのごく平凡な行動について書いたものである。

Aさんは、ある大手製造業に勤務している。彼が朝会社に来て最初に行う仕事は、朝までに届いたメールを自席のPC(Windows XP)でチェックすることだ。今日は、取引先の広報部門からのメールが届いていた。そのメールによると、その取引先は所謂M&Aにより、近々別会社と合併して社名も変わるらしい。メールには、「○○社との合併と社名変更について.pdf」と言うPDFドキュメントが添付されていた。そのPDFを開くと、取引先の社長名による合併を知らせる正式レターの体裁になっていた。ちなみにAさんのPCでは、Adobe Readerは3年前のPC導入時のものを、特にバージョンアップせずにそのまま使っている。その後Aさんは、そのお知らせのことは特に気にもとめず、いつもの仕事を始めた。PCからは時折社内の技術情報データベースにアクセスしたり、ときには公開論文の情報を仕入れるため、PC上のWebブラウザ(Winodws XPなのでIE6)を使って、様々なインターネット上のWebページを閲覧した。


どうだろう?平凡すぎるくらい平凡で、業種や職種による微妙な違いはあれど、多くのビジネスマンが普段仕事でやっていることではないだろうか?察しの良いかたは既にお気づきのように、赤字部分が、結果として今回の事件を引き起こした要因である。「危険な要因」を、ひとつひとつ検証することで、攻撃の仕組みを探ってみよう。

・取引先の広報部門からのメール
実はこのメール、攻撃者からの「なりすましメール」だったのだ。電子メールと言うものが、いとも簡単になりすましができてしまうことに、どれだけの人が気づいているだろう。物語のAさんも含め、ほとんど人が「差出人」欄の表示だけでメールの発信元を判断しているのではないか。メールソフトに表示される「差出人」欄は、メール送信者が自由に設定できるのだ。そこに「○○株式会社」と書かれていても、それが本当に「○○株式会社から来たものだと言う保障は全くない。」
一連の事件の攻撃者は、被害企業の取引先まで十分に事前調査した上で、疑われにくいような名前を詐称しているらしい。(一部報道によると、内閣府の実在の人物を語ったとも言われている)非常に巧妙なソーシャルエンジニアリングが行われているのだ。もちろん、メールに付加された正確な発信元アドレスまで偽装することは一気に難しくなるが、残念ながらそこまで確認する人は滅多にいないのが現実だ。

・メール添付のPDFを古いバージョンのAdobe Readerで開く
このPDFファイルこそ、攻撃の正体(広い意味でのコンピュータウィルス)だ。PDFをAdobe Readerで開いた時点でそのPCはウィルスに感染し、攻撃者の思い通りに操作できるようになってしまう。一連の事件での攻撃の巧妙さのポイントは3つある。
1つ目のポイントは、PDFの形式を取っていたこと。メールにexe形式のファイルが添付されている場合なら、それを開くことを躊躇する人は多いだろう。だが、PDFとなると(exeはもちろん、.docや.xlsに比べても)安心して開いてしまう人は多いのではないか。残念ながら、もはやPDFは安全とは言えない。Adobe Readerの脆弱性や、間接的に起動されるAdobe Flashの脆弱性を利用して、PDFを開くだけでPCを攻撃者から遠隔可能な状態にしてしまう。PDFも、exeと同様に慎重にならなくてはいけないし、Adobe ReaderやAdobe Flashも、セキュリティ上は常にアップデートをし続けないといけないのである。
2つ目のポイントは、ウィルス対策ソフトによる検知をくぐり抜けたこと。ウィルス対策ソフトがウィルスを見つけるのは、基本的にブラックリスト(指名手配リスト)との照合(パターンマッチング)によるものだ。--正確に言うと、パターンマッチング以外の検知手法も行われているが、主流はあくまでパターンマッチングである-- ウィルス対策ソフトメーカは、常に世界中の新種ウィルスを監視し、指名手配リストの更新に日々懸命の努力をしてくれている。世の中の多くのウィルスの場合は、被害拡大のために自己増殖を行うので、ある意味そのおかげでウィルス対策ソフトメーカがウィルスの繁殖を見つけやすくなる。しかしながら、今回の一連の事件で見つかったウィルス(=上記のPDFファイル)は、特定の企業・団体をピンポイントで狙ったものであり、自己増殖もしない。そのためウィルス対策ソフトメーカーがウィルスを発見する前に、被害企業でウィルスが「発症」してしまったようなのだ。
3つ目のポイントは、ウィルス感染時の「目に見える症状」が、ほとんど無かったこと。ユーザからは、普通にPDFファイルが開かれたこと以外は、何も見えないし感じないように出来ていた。感染の「症状」は、あくまでバックグラウンドで影に隠れて行われていたのである。そのため発見も遅れ、その間に被害を広めてしまったらしい。実はこのBlogを見ているあなたのPCも、既に感染しているかもしれないし、当の私のPCも「絶対大丈夫」とは言えないのである。


・PC上のWebブラウザでインターネット上のWebページを閲覧する
今回の一連の事件に限って言うと、Webページを閲覧する「行為」が被害を起こしたと言うわけではないようだ。それでもこれが危険だと言う理由は、PCからインターネットのWebページにアクセス「できること」こそ、攻撃を受けた大きな一因になってしまっているからだ。おそらく多くの企業で、社員が使う普通のPCから(何らかのフィルタリングはあれど)インターネットのWebページを閲覧できるようにしているはずだ。実はこれこそ、攻撃者が企業LAN内のPCを自由に操るための「窓口」になってしまっているのだ。
本来なら、インターネット(つまり企業LANの外側)から、企業LAN内にあるPCを直接的に攻撃することは不可能に近い。そもそもネットワークの構成として、インターネットから企業LAN内のプライベートIPアドレスに直接アクセスすることは出来ないのだ。しかしその逆(企業LANからインターネットへのアクセス)は、いとも簡単なことだ。一連の事件では、PDFファイルによってPCに感染したウィルスが、攻撃者の意図するサーバーに対して通信をし続けていたのだ。そしてそのネットワークアクセスは、外部Webページを閲覧するのとほぼ同じ動きとなるため、何のブロックも受けずに通信をし続けてしまう。こうなると、外部にいる攻撃者は、ウィルスが発症したPCを好きなように操ることができる。もちろん重要な情報も覗き放題である。
多くの企業が「外から内」へのアクセスを、非常に強固に守りを固めている一方で、それに比べると「内から外」へのアクセスは緩くなっている。今回の一連の事件の攻撃者は、この「緩さ」をも突いたと言える。

・PCから社内の技術情報データベースにアクセス
これも上記のインターネットアクセスと同様に、社内技術情報データベースにアクセスする「行為」が問題を引き起こしたわけではない。メールを受信したり、外部Webページを見たりするPCと「同じPC」から、重要な社内情報にアクセス「できること」が危険なのだ。
ごく一部の企業(銀行など)では、メールやWebなどのインターネットアクセス可能なネットワークと、それ以外のネットワークを完全に(物理的にも)分離している。セキュリティだけの観点では非常に賢明な方法だろう。とは言っても、ユーザは複数の端末を使い分けなければならず利便性に難があるし、なによりもコスト負担が単純に倍になってしまう。多くの企業が、そう簡単にできる対策ではない。



このように、多くの企業で普段なにげなく行っていることが、標的型攻撃への致命的な弱点となっていることがお分かりいただけたのではないだろうか。同時に、対策が極めて難しいことも実感していただいたはずだ。このままでは不安を煽るだけになってしまうので、次回のエントリからCitrix製品を使った効率的かつ効果的な対策について論じてみたい。




今回のエントリを書くにあたっては、いくつかのWebサイトの情報を参考にさせていただいた。
特に、下記の2つは非常に読み応えのあるものである。興味のある方々は、まずこの2つの記事からとりかかることをお勧めする。

・ITPro (要登録)

・IPA(独立行政法人情報処理推進機構) 報告書