[On Oracle パートナー紹介]

日本企業も被害を受けた「水飲み場型攻撃」の実態はこうして明らかになった

2014年1月7日(火)

近年、特定の企業や団体から重要な情報を盗み出そうとする標的型攻撃が増加傾向にあり、なかでも2013年10月に国内企業の被害が明らかにされた「水飲み場型攻撃」は、従来の標的型攻撃よりもさらに手口が巧妙化している。そこで、水飲み場型攻撃がどのように行われ、どのような脅威が存在し、そして、なぜ今回の全容解明に至ったのかについて、専門家の意見を交えて解説したい。

新たな標的型攻撃「水飲み場型攻撃」を国内で確認

株式会社ラック 取締役 最高技術責任者 西本逸郎氏
株式会社ラック
取締役 最高技術責任者
西本逸郎氏

標的型攻撃の新たな手口として、国内でも被害が確認されたのが「水飲み場型攻撃」である。これは、特定の情報に関心のある閲覧者が集まるWebサイトを攻撃者が改ざんして不正なプログラムを仕込み、閲覧者にウイルスを感染させて侵入の糸口とする攻撃だ。

この“水飲み場”という名称は、肉食獣が水飲み場に集まる獲物を狙うことから来ている。メールやSNSなどを使って攻撃対象にマルウェアを送りつけるという従来からある標的型攻撃よりも感知することが困難であり、今後、深刻な被害が広がるのではと懸念されている。

国内での水飲み場型攻撃による被害を確認し、その手口を解明したのは、セキュリティベンダーのラックだ。同社が調査した水飲み場型攻撃では、ある中規模の情報提供サイトが“水飲み場”として選ばれ、Internet Explorer(IE)の脆弱性を利用したゼロデイ攻撃が行われた。その際、攻撃者はすべての閲覧者を狙うのではなく、IPアドレスから閲覧者の所属先を判断し、特定の企業/組織のユーザーに限定して攻撃をしかけた。

「水飲み場型攻撃」の主な特徴と攻撃の流れ(資料提供:株式会社ラック)
「水飲み場型攻撃」の主な特徴と攻撃の流れ(資料提供:株式会社ラック)

ラックの取締役で最高技術責任者を務める西本逸郎氏は、「今回の水飲み場型攻撃では、ターゲット以外の企業/組織に所属しているユーザーには攻撃が行われず、当該サイトの管理者がアクセスした場合でも攻撃がしかけられません。そのため、発見が非常に困難なのです」と語る。このようにきわめて悪質であることから、同社は警戒を呼びかけている。

最初に手がけるべきセキュリティ対策は「監視」

それでは、なぜ、ラックが水飲み場型攻撃に気づくことができたのか。西本氏によると、被害を受けた企業がしっかりとセキュリティ対策を実施していたからだという。当該の企業では、攻撃者からの侵入を防ぐ“入口対策”だけでなく、侵入されるのを前提とした“出口対策”も行っていた。そのため、「なにかがおかしい」と感じることができたのだ。

そして、ラックの「サイバー救急センター」に相談したことで、詳細な手口の解明へとつながった。ちなみにサイバー救急センターとは、緊急のセキュリティインシデントが発生したユーザーに対して、初動対応から事業復旧までをワンストップで提供するチームだ。

「この企業が行っていたのが入口対策だけだったら、攻撃に気づくことすらできなかったでしょう」と西本氏。また、この事件で図らずも、同社が日頃から訴えているセキュリティ監視の有効性が証明されたという。

「セキュリティ対策において、最初になすべきことは監視なのです。しかし、多くの人々は、他のセキュリティ対策に投資をしたうえで、最後に行うのが監視だと認識しています。これでは、何か起きた時に被害を最小限に抑えることができません」(西本氏)

同氏は、今日のセキュリティ対策を“戦国時代”に例えて、「戦国時代の築城では、まず最初に見張りを立てて敵の侵入を監視して、最悪の事態が起きないようにします。それは今のセキュリティ対策でも同じことなのです」と、監視の重要性を強調する。

「安心・安全」のために「用心」を!

ラックは、ユーザー企業のセキュリティ対策を支援するために、セキュリティ監視センター「JSOC(Japan Security Operation Center)」を設置している。

ラックのセキュリティ監視センター「JSOC」
ラックのセキュリティ監視センター「JSOC」

JSOCでは、顧客が設置しているセキュリティ機器などから送られてくる厖大なデータを24時間365日分析しており、攻撃の兆候を発見した際には即時に対処する体制が整えられている。また、同社の研究所では、攻撃側のトレンドを重点的に研究し、新たな脆弱性や攻撃手法を見つけることを得意としている。

前述のように、今回の水飲み場型攻撃の事例は被害を受けた企業がラックのサイバー救急センターに攻撃対応支援を要請したことから調査を開始した。その調査から得られた情報とJSOCでの観測データなどと合わせて解析し、攻撃の全容を明らかにした。

「ゼロデイ攻撃だとわかったのも、日頃からの研究の成果です。ただし、今回のケースではWebサイトの改ざんを受けた企業の協力も大きかったと考えています。その企業が、通常であれば隠してしまうような情報まで積極的に提供してくれたおかげで、詳しく調べることができ、攻撃の全体像を把握できたのです」(西本氏)

緊急対応の専門組織であるサイバー救急センターには、多ければ1日10件もの相談があるという。昨年はラックが対応措置を行った案件だけで、250件ほどにも及んでいるとのことだ。西本氏は、「当社のお客様であれば、我々が監視しているので基本的には大事に至ることはありませんが、水飲み場型攻撃の被害企業のように、それ以外の当社と契約していない組織からの相談が年々増加しています」と指摘する。

「そうした状況下で特に訴えたいのが、セキュリティは安心・安全を確保するために、用心することが重要だということです。組織にとって、安心・安全な状況は重要であり、目指すべきことではありますが、それだけでは、リスクに対する緊張感が弱まってしまいます。なので、常に緊張感を途絶えさせない適度な用心を心がけていただきたいと考えています」(西本氏)

[ 企業情報 ]
住所 東京都
Webサイト http://www.lac.co.jp/
事業内容
  • セキュリティソリューションサービス
  • システムインテグレーションサービス
  • 情報システム関連商品の販売およびサービス

  

バックナンバー
On Oracle パートナー紹介一覧へ
関連記事

日本企業も被害を受けた「水飲み場型攻撃」の実態はこうして明らかになった近年、特定の企業や団体から重要な情報を盗み出そうとする標的型攻撃が増加傾向にあり、なかでも2013年10月に国内企業の被害が明らかにされた「水飲み場型攻撃」は、従来の標的型攻撃よりもさらに手口が巧妙化している。そこで、水飲み場型攻撃がどのように行われ、どのような脅威が存在し、そして、なぜ今回の全容解明に至ったのかについて、専門家の意見を交えて解説したい。

PAGE TOP