我々セキュリティ業界は、成功した攻撃の解析・調査を通して標的型攻撃について痛感させられ、多くのことを学んできました。そこから実感し、これまでに明らかになってきたのは、我々が現在いる「戦場」についてどれほど慣れていないかということと、不慣れであるがために、セキュリティ業界はこうした攻撃を対処するには何が必要なのかということを解明することができていないということです。では、なぜこういった状況が発生しているのでしょうか。本当に攻撃者は、優位な立場にあるのでしょうか。その答えは、残念ながら「YES」です。
■攻撃者が持つ優位性とは
簡単に言えば、攻撃者は、より高い支配力とより広範囲のリソースを備えています。攻撃者は、「いつ」、「どのような」攻撃を実行するかという脅威の性質を決定します。攻撃者は、インターネット上で入手できるさまざまなツールを駆使することができます。これらのツールの中には、正規のサービスも含まれています。さらに重要なのは、攻撃者は、標的者についての情報を得ることができるという点です。つまり、標的者を調査し、容易に侵入し、それに加えて検出もされにくくするための情報を確認します。
攻撃者がこのように柔軟に活動することができる一方で、標的者は、いくつかの困難によって自分自身でさえ管理がおぼつかないという状況に陥っています。コンシューマライゼーションが始まりモバイルコンピューティングが増加するにつれて、各企業は、自社のネットワークを識別し、さらにネットワークも保護するため、すでに多大な苦労が強いられています。攻撃者は、ネットワーク上にあるものや人々の意識をすべてコントロールし、そうした利用可能な戦略の制限の中でのみ活動を行うことができます。
■標的型攻撃について正しい理解が必須
標的者を保護するよう任命された者として言えることがあります。それは、もっとも危険なことは、我々が「攻撃者がどのように攻撃を実行するかについての知識を持っている」と思い込んでしまうことです。実際のところ、我々には攻撃がどのように実行されるのかを正確には把握できません。特に、情報を共有するということが横行している現状では、攻撃者が特定の標的者についてどの程度情報を入手できているのか、そのうちどの程度の情報が攻撃に利用可能なのか判断するのはほぼ不可能といえます。
また、我々を悩ませるのは、標的型攻撃が常に Eメールを介してコンピュータに侵入するという驚くべき意見を聞いた時です。この意見は、大きな誤解を招くおそれがあり、セキュリティを保護する者たちの頭を悩ませます。犯罪者が(ソーシャルエンジニアリングの手口を駆使して)Eメールを利用してユーザの環境に侵入する事例もありますが、Eメールのみが侵入経路というわけではありません。前述のとおり、攻撃者は、攻撃の性質そのものを決定し、事前調査の結果によって戦略が決定されるようです。標的者の「行動」や「デジタルと人間の両方の脆弱性」につけ込むことで標的をよく知り、最終的には、攻撃を効果的に行うことができます。攻撃は、物理的に標的の住居にまで及ぶこともありますし、サイバー攻撃であっても同様もしくはそれ以上の結果をもたらすこともあるかもしれません。
■認識すべきこととは
このような課題から、標的型攻撃に取り組む我々でも対処が難しいということなのでしょうか。そういうわけではありません。攻撃者が大きな支配力を握っていることは、非常に恐ろしいことですが、そこに気付くことが大事な第一歩なのです。我々は、何に直面しており、攻撃者が握る支配力をどれほど軽減することができるかを十分に理解する必要があります。では我々は、どのようにそれを行うことができるのでしょうか。トレンドマイクロは、引き続き本件について説明します。
参考記事:
by Martin Roesler (Director for Threat Research)
翻訳:栗尾 真也(Core Technology Marketing, TrendLabs)