「世界は情報収集合戦に突入している。弊社が産業スパイ的な行動を観測したのは2008年からだが、報道されることはなかった。アノニマスも『公表している我々ではなく、公開されていない事実を怖れるべきだ』と言っているが、“本当の脅威とは何なのか”をよく考える必要がある」
ラック 取締役 最高技術責任者の西本逸郎氏は、国内でも被害の発覚が相次いでいる標的型攻撃について、2011年11月10日にマカフィーが開催したイベント「FOCUS JAPAN 2011」でこう述べた。西本氏が推察する本当の脅威とは一体何なのか――。同氏は「ゆでがえる作戦が進行しているのではないか」と警告するが、その説明を行う前に、まずは標的型攻撃の手口と防衛策について解説してもらおう。
標的型攻撃による侵入後、まず行われることとは?
標的型攻撃とは、その名の通り、特定の組織や個人を狙ったサイバー攻撃のことだ。最初に不正なプログラムを送り込み、その後、潜伏するプログラムにC&C(Command and Control)サーバーから命令を出することで情報を盗んでいく。
送り込まれた不正プログラムがまず行うのは、予備機の確保、周辺情報の把握、そして管理者権限の取得だ。予備機の確保とは、感染させたPCが発見されても大丈夫なように、別の操れるPCを確保しておくこと。なお、C&Cとの間で行われるバックドア通信は普通のHTTPで行われることが一般的なので、ファイアウォールからは「通常のホームページの閲覧として見える」という。
また、C&Cから指令を受けるPCが直接悪事を働くこともないそうだ。周辺情報を取得することで内部ネットワークを制圧していき、ネットワークのコマンドを使って別のPCから悪事を実行する。「使われるのは通常のマイクロソフトのコマンドなので、なかなかチェックに引っかからない。このあたり彼らは結構狡猾だ」
