クラウド型メールセキュリティ「Symantec.cloud」の現状から見る被害状況
9.5社に1社が対象に!シマンテックが明かす日本の標的型攻撃
2011年11月30日 06時00分更新
11月29日、シマンテックは日本国内における標的型攻撃の現状を発表した。 標的型攻撃は、三菱重工業が狙われた事件のような、ごく少数の標的に対して行なう攻撃だ。一般の攻撃がインターネット上で入手できてしまうような作成キットを使ったマルウェアを送り込むのに対し、オーダーメイドのマルウェアを使うなどの特徴がある。また、ビジネスモデルがはっきりしないのも特徴だという。
標的型攻撃はどのように行なわれる?
解説を行なったのは、米シマンテックコーポレーションのシマンテックドットクラウド担当シニアアナリストであるMartin Lee(マーティン・リー)氏。同氏が担当する「Symantec.cloud(シマンテック ドット クラウド)」は、シマンテックが買収したメッセージラボが提供してきたメールとWebのセキュリティをクラウドで提供するサービスだ。
このSymantec.cloudは、ワールドワイドで3万5000社/1100万ユーザーが利用。メールのマルウェアは毎日50万通で、5000通に1通が標的型攻撃メールだという。2008年4月以降、標的型攻撃メールの累計は7万2500通で、2万8300件のメールアドレスに送信されている。また、2010年11月から2011年10月までの1年間では、ワールドワイドで同サービス利用企業の46.2社に1社が、国内では実に9.5社に1社が攻撃を受けていたという。国内の企業にとって、標的型攻撃が他人事でないことがわかる調査結果である。
標的型攻撃を受けた組織のトップは「娯楽、アミューズメント、ゲーム」、続いて「政府/公営企業」。知的財産を持つ組織が狙われている
新聞やテレビのニュースなどで話題になる標的型攻撃は、政府機関や大企業が狙われる事件がメインだ。しかしシマンテックの調査では、対象の15%が従業員数100以下の中小規模な企業となった。101~500名、501~1500名、1501~5000名の企業がそれぞれ25%であり、5001名以上の大規模な企業は10%以下に過ぎなかった。
攻撃された企業の規模と攻撃頻度(国内)
メールによるマルウェア感染の注意は再三発せられているにもかかわらず、標的型攻撃に使われる添付ファイルをなぜ開いてしまうのか?それは、以下のサンプルを見れば明らかだろう。
標的型攻撃のメールのサンプル(例1)
標的型攻撃のメールのサンプル(例2)
このように、受信者が思わず開いてしまうような内容のメールを送付するのである。標的を絞り込む標的型攻撃ならでは、といえるのではないだろうか。
また、現在はほとんどの企業がメールのウイルス対策を行なっているが、それでも標的攻撃の被害はなくならない。その理由には、標的型攻撃はオーダーメイドのマルウェアを使っており、既知ウイルスの情報を使うパターンファイルによる検出が難しいことがある。
もちろん、この現状に対して何もできないわけではない。マーティン氏によれば、標的型攻撃に使われるマルウェアの検出に有効なのが、Symantec.cloudのようなクラウド方式だという。これは、データとサンプルの集約によって継続的な検出の改善が可能なためで、1人のユーザーを保護することが、すべてのユーザーを保護することにつながるという。
また、多段階での対策も重要だ。クラウドでのネットワークスキャン、社内ネットワークのゲートウェイでのマルウェアスキャンやIDSによる保護、そしてクライアントPCで行なうエンドポイント保護などだ。
複数のポイントで保護を行なうことで検出を高める
