先月、韓国で大規模なサイバー攻撃が発生した。複数の放送局や銀行のコンピュータが、一斉にダウンするという、極めて大規模な攻撃であり、影響はATMの停止など社会全体にまで及んだ。2012年度にはこのサイバー攻撃のみでなく、極めて高度なマルウェアによるサイバー攻撃が相次ぎ発生した。今回はそれらの高度なマルウェアによるサイバー攻撃の脅威と傾向について考えたい。
韓国のサイバー攻撃の手口
韓国で起こったサイバー攻撃では、3万2千台のコンピュータが影響を受け、その多くのPCが起動不能に陥った。それだけでもかなり大規模かつ破壊的な攻撃だが、ATMが停止するなど影響が社会全体にまで及んだという点では、近年稀にみるレベルのサイバー攻撃であったといえる。
ここで、今回の攻撃の流れを整理すると、まずマルウェアは標的型メールを通して、標的となった組織内に侵入した可能性が指摘されている。侵入後には、ネットワークの集中管理ツールのサーバにアクセスし、集中管理ツールを通して、組織内のコンピュータにマルウェア「TROJ_KILLMBR.SM」を配布する。さらに、マルウェアは特定の時刻になったら作動するようにプログラムされており、一斉にPCのマスターブートレコード(MBR)が書き換えられるなどして、3万2千台の被害に繋がった。
この攻撃の流れは以下のようになる。
- ソーシャルエンジニアリングを悪用した標的型メール等による組織内への侵入
- 組織内のネットワークを通して、感染をひそかに拡大
- 特定の条件でマルウェアが起動
これは同じく極めて高度なマルウェアであり、国家が絡んでいるとされているStuxnet等のマルウェアと同様の特徴を持った手口であり、昨今の特徴的な侵入方法であるともいえる。
Shamoon等の破壊的なマルウェアの登場
Stuxnetはイランの核燃料濃縮プラントを標的としたもので、制御システムを対象としたマルウェアとして広く知られている。その高度さゆえに、米国およびイスラエルの関与が疑われているものである。そして、2012年にはStuxnet以外にも同様に国家の関与が疑われる極めて高度なマルウェアが、以下に示すように次々と発見されている。
これらのマルウェアはいずれも極めて高度で洗練されたものであるが、その中で韓国で使われたマルウェアと特徴が極めて似ているものとしてShamoonが挙げられる。Shamoonは2012年8月にサウジアラビアの石油企業で発見されたものである。同攻撃においても、特定時刻になると一斉にマルウェアが作動し、約3万台のコンピュータがMBRを書き換えられるなどして起動不能に陥っており、規模及び破壊活動が酷似している。当時は民間企業を対象としたサイバー攻撃の中では最も破壊力が強いとされ、情報収集ではなく破壊的な活動を行うことが新しい点であったのだが、今回の韓国でのサイバー攻撃はそれに続くものであるといえる。
中東以外の民間企業への標的の拡大
上記で挙げた高度なマルウェアの多くは標的が中東諸国の政府機関及び政府の関連機関であった。また、目的も特定の制御システムへの攻撃であったり、情報収集活動に留まっていた。しかしながら、Shamoonは米国の同盟国であるサウジアラビアの民間企業を標的としており、さらに一般的なコンピュータに対して破壊的な活動を行うマルウェアとして登場した。そして今回の韓国へのサイバー攻撃でも同様に民間企業のコンピュータが標的となった。
今までStuxnetのようなマルウェアは遠くで起こっているインシデントであり、あまり喫緊の課題ではないとされてきた節がある。しかしながら、高度で洗練されたマルウェアは中東以外の諸国にも無視のできない問題となりつつある。さらに攻撃対象が民間企業へも拡大していることから、民間企業、特にインフラ関連企業にとっては差し迫った課題として認識する必要があるだろう。対策としては、ソーシャルエンジニアリングを悪用した標的型メールなどはすべてを防ぐのはなかなか難しいため、感染時の早期発見に結びつく体制の構築や、感染発生を前提とした出口対策などの必要性が高まっているといえる。そして何よりこのようなことが日本でも起こりうるという認識の共有が必要とされている。