「進化型」のウイルスで被害拡大? 最新のシステム攻撃手法「APT」を解説

309view

2016/09/29

(写真=PIXTA)

Ciscoのジョン・チェンバースCEOの次の言葉をご存じだろうか。「世の中には2種類の会社がある。サイバー攻撃を受けた事のある会社と、まだサイバー攻撃を受けた事に気付かない会社だ」。つまり、世の中のほとんどの会社はサイバー攻撃を受けている、と言うのだ。

テクノロジーの進化は「サイバー攻撃の進化」

統計データを見るとサイバー攻撃の数の多さを理解できるだろう。日本国内の年間の被害額は約10億ドルで、被害者数は400万人、約10秒に1人の割合で被害者が発生していることになるのだ。

それだけではない。技術の進歩と共にサイバー攻撃の手法も進化している。例えば、不正侵入の痕跡を消すゴーストウェアと呼ばれるマルウェアが現れている。これは、サイバー攻撃の目的が達成された後にすべての痕跡を抹消するため、セキュリティ侵害が発生しても検知されにくく、サイバー犯罪の捜査や訴追にも困難をきたすものだ。

現在は「クラウドネイティブ」の時代と呼ばれるが、クラウドをターゲットとした攻撃も発生。クラウドや仮想化環境を管理する制御プログラムであるハイパーバイザーの脆弱性を突く攻撃を仕掛け、大規模なインフラストラクチャーに侵入するマルウェアも出現しており、物議を醸している。

また、セキュリティ対策を潜り抜けようとするマルウェアも厄介だ。危険かもしれないプログラムを隔離して、有害かどうかを検証するサンドボックスと呼ばれる仕組みがある。このサンドボックスの普及に伴い、マルウェアもこの仕組みをすり抜けようと進化しているのだ。

具体的には、この種のマルウェアにはコードの実行パスが複数存在しており、監視されている間は無害なプロセスを実行する。その後、監視が解かれると悪意のあるプロセスが実行されて、ネットワーク等へ侵入し攻撃を行う。テクノロジーの進化とともに、攻撃者のツールもどんどんと巧妙になってきていると言っていいだろう。

より高い脅威のAPT攻撃とは?

サイバー攻撃の分類方法はいろいろあるが、目的から大きく2つに分けられる。

一つめは、サービス不能攻撃と呼ばれるDOS攻撃だ。攻撃する機器に高い負荷をかけ、トラフィックの増大によるネットワーク遅延、サーバーやサイトへのアクセス不能を引き起こす。主に、政治的な目的、特定団体への恨み、愉快犯的な理由により行われる事が多いという。

二つめが標準型攻撃だ。こちらは、金銭や知的財産等の重要情報の不正な取得を目的として行われることが多い。現代では標準型攻撃の一種であるAPT(Advanced Persistent Threat)攻撃が増加しており、問題とされている。

APT攻撃とは、特定の組織や個人を標的として、複数の攻撃手法を組み合わせて継続的に行う攻撃のことで、一般的に、侵入、進化、攻撃の3つの段階を踏んで行われる。

第一段階の「侵入」では、ターゲット型スパム(標的に合わせてカスタマイズされた、マルウェアが添付されたメール)、改ざんされたURL、USB等のメディアを経由して、マルウェアのシステムへの侵入が行われる。

第二段階の「進化」では、マルウェアに感染したPCが攻撃者に乗っ取られたボットとなり、ネットワーク内部の他のシステムを攻撃する。通常、HTTP接続リクエストに対する返信はファイアウォールを通り抜けてリクエスト元に届くため、ボットはサイバー犯罪者のサイトと通信してマルウェアの追加プログラムをダウンロードし、機能を進化させるのである。

また第三段階の「攻撃」では、攻撃準備が整うと、攻撃者から「機密情報を盗み出せ」などの指令が送られる。するとボットは、企業内部で集めた機密情報を外部に送信するなどの攻撃を行う。このように、多様な手段でカスタマイズして攻撃することから、APTは標的へ強い攻撃力を発揮するのだ。

このAPT攻撃を防ぐには、総合的な対策を行う必要がある。現在のシステムの脆弱性をあらゆる面から考え、対策を取り、悪意のある活動が行われていないかを継続的に監視しなければならないだろう。

>> MUFGと協働し新しいサービスを創造!ビジネスパートナーシップ登録はこちら

>> スタートアップアクセラレータ“MUFGデジタルアクセラレータ”第2期説明会の参加登録はこちら

この記事が気に入ったら
いいね!しよう

INNOVATION HUBの最新情報をお届けします