このページの本文へ

マカフィーが侵入者のサーバーで見つけたログから解析

犯人は某国政府?世界72組織が受けた標的型攻撃の実態

2011年08月10日 09時00分更新

文● TECH.ASCII.jp

  • この記事をはてなブックマークに追加
  • 本文印刷

8月9日、マカフィーは「マカフィーブログ」にて、世界14ヵ国、72組織にも及ぶという標的型攻撃の実態を紹介した。これは、米マカフィーの脅威研究担当バイスプレジデントDmitri Alperovitch氏によるもので、侵入者が使用している1台のサーバーにアクセスし、収集したログから解析したものだ。

「マカフィーブログ」では、数多くのセキュリティトピックスが紹介されている

 Googleなど30社を超える企業に不正侵入した「Operation Aurora(オペレーションオーロラ)」などが代表例だが、「標的型攻撃(APT:Advanced Persistent Threats)」は、目的を達成するまで執拗に攻撃を継続するため、企業や政府組織にとって非常に大きな脅威だという。これらの不正侵入は、企業や政府の機密情報や知的財産そのものを入手することを目的に実行される。過去5~6年間に、厳重に保護された国家機密、ソースコード、バグデータベース、メールアーカイブ、交渉計画、新規油田・ガス田開発の入札に関する詳細な調査結果、ドキュメントストア、契約書、SCADA(監視制御システム)の構成図、設計図面など、多くのデータが主として欧米の企業から不正に取得されているのが実態なのだ。

 しかし、実際に起こっている不正侵入の発生件数に比べて、被害を受けた組織が自主的に開示する件数は非常に限られている。そこでマカフィーは、これらの高度なサイバー攻撃に対する意識を高めることを目的として、「Operation Shady RAT(オペレーション シャディ ラット)」という特定の攻撃者によって実行されている標的型攻撃の解析結果を発表することにした。Operation Shady RATという名称は、一連の攻撃においてリモートアクセスツール(RAT)が疑わしい(shady)方法で悪用されていることから命名されている。

 調査対象とした侵入者のC&Cサーバー(Command and Control Server:ターゲットに侵入したボットをコントロールするサーバー)には、2006年からのログが残っており、これにより被害者数の全容が明らかになった。不正侵入攻撃ははるか以前から始まっていた可能性があるが、ログでは2006年中頃がセキュリティ侵害の開始時期を証拠付けることのできるもっとも古い記録だという。

 侵入の手法は標準的なものであり、

  1. 「エクスプロイト(PCの脆弱性を悪用するツール)」を含むフィッシングメールを企業内の適切なレベルのアクセス権を持つ人物に送信
  2. 修正プログラムが適用されていないPCでエクスプロイトが開かれると、埋め込みマルウェアのダウンロードが始まる
  3. ダウンロードされたマルウェアが実行されると、C&Cサーバーへのバックドア通信チャネルが開始
  4. Webページのコードに埋め込まれた非表示コメントによって、コード化された命令が解釈される
  5. 実行者が、感染したPCにアクセス
  6. 権限を昇格させ、埋め込みマルウェアを実行して感染マシンを増やすことによって新しい拠点を確立する
  7. 同時に、狙っていたデータを盗み出す

といった流れになるという。

 マカフィーの調査によれば、被害に遭った組織が非常に広範にわたっていた。被害を受けた大半の組織については、一般的な業種名のみを明らかにしているが、国連、フォーチュン100の多国籍企業、小規模の非営利シンクタンク、オリンピックのナショナルチーム、さらにはコンピュータセキュリティ会社も被害を受けていた。多くの組織名がログに残っており、72の組織を明確に特定できたという。

対象となっていた組織の種類。トップは政府機関で、米国の連邦政府や州政府、地方自治体、さらに韓国やベトナム政府、そして国連など22組織に及んでいる

政府機関以外に民間企業も被害を受けており、それらは日本やカナダ、韓国など14もの地域に達している

侵入者は反米・反民主主義の政府機関?

 2008年の北京オリンピックの直前および直後には、アジアや欧米のオリンピック委員会、国際オリンピック委員会(ICO)および世界アンチドーピング機関が所有している情報がターゲットにされていた。このようなハッキング行為からは商業的な利益を得にくいことから、

侵入行為の実行者が、国家である可能性が考えられる

という。さらに、世界各地の民主主義の推進に取り組む欧米の民間組織などの政治的非営利団体、米国の国家安全保障のシンクタンクも標的になっていた。実行グループが経済的な利益のみを目的にしているのであれば、国連やASEANもターゲットにはならないだろうとしている。

 他に明らかになった点として、侵入者が年を経るごとにタスクの実行順序を変えていることがある。ログの記録が始まった2006年には8件の不正侵入しか記録されていない。その内訳は、韓国の鉄鋼と建設会社に対して2件、韓国の政府機関、エネルギーリサーチ研究所のある部門、米国の不動産会社、アジアと欧米諸国の国際的な業界団体、およびASEAN事務局に対して1件ずつだ。ASEAN事務局に対する最後の不正侵入は、サミットがシンガポールで開催される1ヵ月前の10月に始まり、そのあと10ヵ月間続いたという。

2006年の被害状況

 2007年になると発生件数が一気に260%増加し、被害組織は合計29になった。この年に、少なくとも4社の米国の防衛関係の請負業者、ベトナム政府所有のテクノロジー企業、米国の連邦政府機関、米国の複数の州と郡の政府、1社のコンピュータセキュリティ企業に対する不正侵入が始まっている。アジアの2ヵ国と欧米の1ヵ国のオリンピック委員会に対する不正侵入も、2007年に始まったものだ。

 2008年には国連や世界アンチドーピング機関も侵入され、被害組織の数はさらに36まで増加し、2009年には38になった。ところが、2010年に17件となり、2011年に9件と減少している。これは、実行者によって使用されている手口に対する対策が広く普及したのが要因とマカフィーでは分析している。

 一方で侵入者は、対抗策として新種の埋め込みマルウェアやC&Cインフラストラクチャを採用するようになっているという。事実、侵入者の活動がこれまで分析してきたログから消えているのだ。侵入は報道メディアにも及んでおり、米国の大手報道機関はニューヨークの本社と香港支局が21ヵ月以上に渡って攻撃されていた。

 もっとも短い不正侵入期間は1ヵ月未満で、9件を確認。対象組織は、国際オリンピック委員会(IOC)、ベトナム政府所有のテクノロジー企業、アジアのある国の業界団体、カナダの政府機関、米国の防衛関係の請負企業、米国政府の総合建設企業、米国の州政府と郡政府、米国の会計事務所だ。

 期間が短かったということは、組織のセキュリティ担当者が迅速に対応したためではなく、侵入の実行者にとって長期間、組織に侵入する必要がなかったことを示しているという。最長期間が記録されたのはアジアのある国のオリンピック委員会だ。このケースでは攻撃は断続的に28ヵ月続き、2010年1月に最終的に停止した。

 このような広範囲かつ長期的なOperation Shady RATだが、ある単一の実行グループによって行なわれた1つの事例にすぎない。マカフィーでは、多くの隠密裏に実行されている標的型の不正侵入の事例を把握しており、このような活動は他の企業や業界にも現実的に影響を与えているという。APT攻撃は、非常に大きな社会的問題であり、多くの国々の経済に影響を及ぼす。本ブログでは、これらの脅威を免れている組織は、盗むに値する情報を持っていない組織と言い切っている。

 マカフィーブログでは、上記に加えて、被害にあった72の組織の全リスト、Operation Shady RATの侵入攻撃を時系列で示した年別の図版などが公開されている。国内組織も被害を受けており、標的型攻撃は対岸の火事ではない。ぜひとも、マカフィーブログの記事も参照してほしい。


カテゴリートップへ

  • 角川アスキー総合研究所
  • アスキーカード