第二位：標的型攻撃

2016年2月15日情報処理推進機構（IPA)は今年の「情報セキュリティ10大脅威 2016」の第二位は「標的型攻撃」だ。  

このレポートでは「標的型攻撃は PC をウイルスに感染させ、外部から PC を遠隔操作して内部情報を窃取する諜報活動のこと」と定義しており本ブログでもこの線で説明していく。

「情報セキュリティの傾向と対策2016②」でも触れたが、IPAによると標的型攻撃の歴史は2005年あたりからあるらしいが、これらがクローズアップされたのは2010年に立て続けに起きた「Operation Aurolaによる大量の知的財産権の窃取」や「STUXNET」によるイランの核濃縮施設への攻撃」等国家が関与するサイバーテロが活発になった頃だと思うがいかがだろうか？

標的型攻撃の手口１（添付ファイル）

標的型攻撃の概要に関しては「情報セキュリティの傾向と対策2016③」で簡単に触れた。　様々なタイプがあるので一概には言えないが「サイバー上で偵察を行い最も効果的な標的（組織や個人）を定めステルスに執拗な攻撃を繰り返し情報の窃取や破壊を行う点で「ばらまき型」マルウエアの対極にある。

感染の主なパターンは標的型攻撃メールか水飲み場攻撃の2つだ。　更に標的型攻撃メールはターゲットとなた組織や個人の役割を特定した後「やり取り型」攻撃をおこなう。　すなわち何回かやり取りをして相手を安心させてから通常業務を遂行するためにメール添付のファイルやメール中に記載されているURLをクリックさせる。
よく引き合いに出されるのが就活中の学生（仮にテック就子）と人事部採用課の担当者の間のやりとりだ。

• テック就子：ベーネ大学院2年のテック就子です。　卒業後は貴社に入社したいと考えてますが応募方法をご教授下さい。
• 採用課：ご連絡ありがとうございます。　弊社の場合にはまず履歴書を送付して戴くことになっております。
• テック就子：了解しました。　早速MS Wordで作成しましたのでLHA型に圧縮したファイルを添付させていただきます。
• 採用課：　添付ファイルが開けませんでした。パスワード付きのZIPファイルにして送付して戴けますか？
• テック就子：大変失礼いたしました。それでは履歴書.zipファイル（パスワードは1234xyz）を添付しますのでよろしくお願いします。

もしこのファイルを開けなければこの採用課の担当者は業務放棄だ。しかもテック就子の履歴書が期限までに間に合わない場合には就職すらできない可能性もある。

このように追い込んでいくのが標的型攻撃の特徴だ。

標的型攻撃の手口２（ドライブバイダウンロード）

図　標的型攻撃の分類

ドライブバイダウンロードは「情報セキュリティの傾向と対策2016③」でも説明したが、Webサイト（ホームページ）を参照するだけでマルウエアに感染させる攻撃手法だ。タイプは以下の3種類があり、最もやっかいなのが参照するだけで感染してしまう脆弱性型だ。

1. 誘導型：ユーザに問い合わせをして不正サイトに誘う方式
2. スクリプト型：スクリプトで不正サイトのURLへリダイレクトさせる。バナー広告（マルバタイジング）などもここに分類される。
3. 脆弱性型：ブラウザとOS, Flash Player, Silver light, Java, ActiveX等の脆弱性をついて直接エクスプロイト攻撃を行いマルウエアを注入する。

手口としては主に以下の2種類だ。

• 標的型攻撃メールの「やり取り型」で安心させて不正サイトのURLをクリックさせる方法
• 水飲み場攻撃

水飲み場攻撃も「情報セキュリティの傾向と対策2016③」で簡単に説明しているが、これが標的型攻撃に分類されるのは

• 標的となった個人が参照したときだけドライブバイダウンロード攻撃を行う。
• 同一人物が参照しても二度目からは攻撃をしない。　これは不正アクセスの検出リスクを最小限に留めるためだ。

皆さんの中には「私はそのような怪しいサイトは参照しない」とか部下に対しても「不正サイトにはアクセスしないように」などと指導してないだろうか？

そんなに単純に回避できるならそもそもこの攻撃はそれほど問題になっていないはずだ。

実は既に厚生労働省の公式Webサイトが水飲み場型攻撃にあっている。　もちろん一般企業でもWebサイトの改竄は後を絶たない。　あくまで参考までに改竄を公式ホームページで発表したサイトを以下に挙げるが、これらの改竄が全て標的型攻撃と関係があるというわけでないことを付け加えておく。

• 日産：http://www.nissan-global.com/JP/NEWS/2014/_STORY/140826-02-j.html
• 大阪大学：http://www.osaka-u.ac.jp/ja/news/topics/2014/06/20140625_01
• 三輪そうめん：http://www.miwayama.co.jp/20140212owabi

これ以外にも多くのサイトが改ざんされているので貴方も「改ざん　お詫び」で一度ググってみてはどうだろうか？

ロンドンオリンピックの教訓

2012年に開催されたロンドンオリンピックにおいては、2週間で延べ2億件以上のサイバー攻撃が行われそれを防ぎ切った。2014年2月に情報処理推進機構（IPA）も取りあげシンポジウム(*1)を開催するなど様々なメディアで報道されている。

はてさて、そうなってくると東京オリパラはどうなるのか誰しも気になるところだ。　日本はこれからも観光で盛り上がるだろうし、世界中から良い意味でも悪い意味でも注目される。　そして隣国も含めて強力な部隊（軍隊）が日々高度な技術を研鑽しているというわけだ。

政府の方も2013年ごろからNISCの副センター長で内閣審議官の谷脇さんらが広告塔として露出度を高めており、GSOCだ、SYMATだと盛んにアピールしているが、日本の対応が後手後手に回っている状況にイラっと感を募らせていた方々も少なからずいたはずだ。

待望（？）のサイバーセキュリティ基本法

そのような中で、サイバーテロを省庁横断で国家として取り組むべく2015年1月9日に「サイバーセキュリティ基本法」が施行された。　もはや2020年オリパラのテロ対策は待ったなしの状況だったのでこれで何とか間に合う、やっと日本も世界に誇れる一流のサイバーテロ対策国家になれるかもしれないという一縷の望みを持った人も多いだろう。 しかしその半年後に日本年金機構が大規模な情報漏えい事件を起こしてしまう。　「EMDIVI（エムディヴィ）」と呼ばれるマルウエアとその亜種を利用した標的型攻撃を受けたようだが、この手の攻撃を完全に防御するのは事実上かなり難しく、ここまでは「不幸な出来事」という側面もあっただろう。 しかし問題は

• その後のお粗末な対応。詳細はpiyologを参照(*2)
• 一般業務用PCで年金情報ファイルをパスワードなしで扱っていた

点だ。 国民の大事な年金情報を扱っているのに担当者のこの感覚と上層部の危機意識のなさにはさすがに愕然とした。

(*1) https://www.ipa.go.jp/about/press/20140117.html
(*2)http://d.hatena.ne.jp/Kango/20150601/1433166675

セキュリティ技術者の人材不足は深刻に！

他の政府機関もちょっと情けない状況になっている。　今年だけでも警察庁、厚労省、財務省、金融庁等の省庁のサーバーが立て続けに落とされているのだ。　犯行声明を信じるとするとどうやらこれらは和歌山県大地町のイルカ漁（クジラ漁も？）に反対するハクティビストの犯行のようだ。　比較的手っ取り早く攻撃ができるDDoSを使用した理由も説明がつく。

まあだからと言って安心してはならないが、ステルスに執拗で巧妙な攻撃を行う標的型攻撃は日々進化している。　もちろんこれらの深刻なテロ攻撃の対応に日々苦労されている日本の優秀なセキュリティ技術者がいることも忘れてはならない。　今は彼らがいるから攻撃されながらも国家的大事にならずに済んでいるのだ。

しかしそれにしても政府はセキュリティ人財育成にももっと財源を割り当てるべきだろう。　IPAの2015年3月の発表「情報セキュリティ分野の人材ニーズについて」によると人材不足は24万人らしい。

• 国内のユーザー企業において情報セキュリティに従事する技術者26.5万人のうち「スキル不足の人材」が16万人
• 人材自体が不足している人数がや約8万人

2020年のオリパラで「停電になり競技中止」、「タイム測定機や電光表示板が乗っ取られた」等、日本のサイバーテロ対策のもろさを世界中に露呈するするようなことは決してあってはならない。　国立競技場をはじめオリンピック会場のハコモノも大事なんだろうが、サイバー攻撃を含めたテロ対策にもっと税金を投入すべきではないかと思うが皆さんのお考えはいかがだろうか？

2016年4月2日