ニュース

2012年は標的型攻撃が4割増加、無差別型の標的型攻撃“水飲み場型”も登場

シマンテックがセキュリティ脅威レポート

 株式会社シマンテックは、2012年における世界のインターネットセキュリティ脅威の状況を分析したレポート「2013 Internet Security Threat Report, Volume 18」(以下、ISTR)を公表した。現在、英語版が公開されている。日本語版も5月下旬に公開予定。

シマンテックが23日、「インターネットセキュリティ脅威レポート」についての記者説明会を実施。同社の浜田譲治氏(セキュリティレスポンスシニアマネージャ)が解説した

 ISTRは、シマンテックが世界157カ国・地域から収集した6900万件を超える攻撃の検出情報を分析したもの。トピックの1つとして挙げられている“標的型攻撃”は、2012年における攻撃件数が1日当たり平均116件に上り、2011年に比べて42%増加した。特に、従業員が250人以下の小規模企業に対する攻撃の増加が顕著だという。

 標的型攻撃の企業規模別の内訳を見ると、従業員2501人以上の大規模企業に対するものが50%を占めている一方で、1〜250人の企業が31%と比較的大きな割合を占めている。そのほかは、251〜500人が5%、501〜1000人が3%、1001〜1500人が2%、1501〜2500人が9%。なお、250人以下の小規模企業への攻撃は、2011年は18%だった。この規模の企業への標的型攻撃が2012年に最大の増加率を記録したとしている。

2012年の標的型攻撃の企業規模別内訳

 シマンテックの浜田譲治氏(セキュリティレスポンスシニアマネージャ)によると、小規模企業からすれば標的型攻撃で狙われるのは大企業という意識があるかもしれないが、大企業はPCなどにおいてセキュリティにも投資して対策をとっているのに対し、そうした投資ができない小規模企業の方が攻撃者にとって攻撃しやすくなっているのが標的型攻撃が増加した理由だ。一方で、小規模企業であっても大企業の下請けや政府のプロジェクトなどへの参加により、知的財産の情報を保有していることも多く、攻撃者にとって小規模企業が魅力的になっているという。

 産業別の内訳は、製造業が24%と最も多く、以下、金融・保険・不動産が19%、サービス(非従来型)が17%、政府が12%、エネルギー/公益事業が10%、サービス(プロフェッショナル)が8%、卸売業が2%、小売業が2%、航空宇宙が2%、運輸・通信・電気・ガスが1%。依然としてさまざまな産業が標的にされているが、以前は政府などが多かったのに対し、2012年は製造業が最多となったことから、知的財産を狙う攻撃へとトレンドも変化しているとした。

2012年の標的型攻撃の産業別内訳

 標的となった人の職務権限別の内訳は、研究開発(R&D)が27%、営業が24%、取締役クラスが17%、共有メールボックスが13%、上級管理者が12%、人事が4%、メディア(PR/マーケティング)が3%、主任アシスタントが1%。浜田氏は研究開発が最多である点に着目。現場でもの作り携わっていることから、重要な知的財産情報がPCに保存されている可能性が高いためではないかと説明する。また、標的型攻撃といっても企業幹部に限るわけではなく、侵入口としてあらゆる職務の従業員が狙われているとした。

2012年の標的型攻撃の職種権限別内訳

ウェブ経由の“水飲み場型攻撃”、24時間以内に500社が感染した例も

 標的とする組織への感染・侵入方法としては、標的型攻撃のほとんどが、特定の人物にメールを送信する“スピア型フィッシング”の手法で開始されるという。この手法は標的型攻撃が登場した当初から使われているものだが、最近では少しずつ新しい手法も出てきているとし、2012年には“水飲み場型攻撃”という手法が確認された。

 浜田氏によると、ウイルスの感染媒体がFD(フロッピーディスク)からメール、ウェブへと変化してきたように、標的型攻撃の感染経路も変化しておきており、従来のメールに代わってウェブを使ったものが水飲み場型攻撃に当たる。水飲み場型攻撃では、標的の企業の従業員が頻繁に利用するようなウェブサイトにマルウェアを仕掛けておき、標的がアクセスして来るのを待ち伏せする。

 水飲み場型攻撃は、2012年に「Elderwood」というグループがこの手法をうまく活用して効率よく攻撃を成功させた。例えば、人権問題に関する支援を行うNPOのサイトに存在した脆弱性を突いて侵入し、悪質なコードを追加。政府機関・組織の職員らがアクセスしているのを待ち伏せしていたという。しかも、仕掛けられたコードは、まだ修正パッチが提供されていないゼロデイ脆弱性を突くものだったため、サイトにアクセスするだけで感染。ある1回の水飲み場型攻撃で、24時間で500社が感染した例もあったとしている。

 特定の人物や役職を狙ってメールを送信してくる従来のスピア型では、怪しまれることも多くなり、成功する確率が低くなっているのに対し、水飲み場型攻撃を仕掛けることができれば、短時間で多数の犠牲者を得ることも容易だという。浜田氏は、標的型攻撃自体が、無差別にドライブバイダウンロードで感染する手法に代わってきていると指摘した。

 2013年に入ってからも、iOS開発者のコミュニティサイトに水飲み場型攻撃が仕掛けられた例などが確認されており、標的が特定企業なのか特定業種になってくるのかは不明だが、今後、水飲み場型攻撃が増加すると考えられるとしている。

標的型攻撃の推移

脆弱性自体は増えていないが、脆弱性を突くウェブベース攻撃は増加

 2012年のゼロデイ脆弱性は18件で、このうち4件が前述のElderwoodグループによって攻撃に使われたものだという。浜田氏は、最近は標的型攻撃にゼロデイ脆弱性が使われるようになっている傾向があると指摘するとともに、2013年に入って週1件のペースでゼロデイ攻撃が発生しているとして、こうした攻撃者グループが多数のゼロデイ脆弱性の情報を保有しており、攻撃で悪用しようと思えばいつでも悪用できる状態になっているのではないかとした。

ゼロデイ脆弱性の件数の推移

 なお、2012年に新しく発見された脆弱性は5291件で、過去6年間の推移からは特に大幅な増減は見られない。一方で、脆弱性を悪用したウェブベースの攻撃は増加しているという。シマンテック製品がブロックしたウェブベースの攻撃件数は、2011年に1日当たり19万370件だったが、2012年には24万7350件へと30%増加した。ソフトウェアの修正パッチが提供されていても、なかなか適用が徹底されていない状況にあることから、既知の脆弱性を狙った攻撃も増えているものとみられる。

脆弱性の件数の推移

 なお、攻撃が仕掛けられたウェブサイトのうち、正規のウェブサイトが改ざんされて悪質なコードを仕掛けられたものが61%を占めたとしている。また、修正パッチが適用されていない脆弱性があった正規ウェブサイトが53%、深刻度の高い修正パッチが適用されていなかった正規ウェブサイトが24%あったとしている。

 こうした正規ウェブサイトが改ざんされて悪用される背景には攻撃ツールキットの存在があり、「Liza」というツールキットでは、100万サイト以上が改ざんされ、偽セキュリティソフトがダウンロードされるようになっていた。

 さらに今後は、欧米で問題になっている“ランサムウェア”が仕掛けられる可能性を指摘する。これは、感染したPCをロックしてしまい操作不能にし、いわばPC内のデータを人質にして金銭を要求するものだ。2012年には16の犯罪組織がランサムウェアに関与し、推定被害額は500万ドルに上ったという。

ランサムウェアの例。著作権侵害などの不正行為があったなどと偽ってPCをロックし、“身代金”を要求する。この画面では、端末のIPアドレスを表示したり、ウェブカメラでユーザーの顔写真を撮影して表示するなどしてユーザーを脅している

 ISTRではこのほか、ハクティビズムや情報漏えい、ソーシャルネットワーク、モバイル、クラウド、スパム、フィッシングなどのトピックで、2012年のセキュリティ脅威の動向をまとめている。

(永沢 茂)