再考・APT〜Mandiantレポートを基に〜:レポートの「オモテ」と「ウラ」を読み込む(3/4 ページ)
米国のセキュリティ会社、Mandiantが公表した1通のレポートは、世界中のセキュリティ関係者にさまざまな波紋を広げました。この記事ではレポートの内容を簡単に解説するとともに、それが持つ意味や公開につながった背景などをまとめていきます。
レポートに対する反応
次に、APT1レポートに対する反応を見てみましょう。
まず中国の反応ですが、国防部は軍がハッキング活動を支援したことはないと否定し、むしろ中国は米国からサイバー攻撃を頻繁に受けていると反発しています。特に発信元IPアドレスの位置情報(攻撃の大半が上海の4つのネットブロックを起点にしている)を基にしたMandiantの推測について、「根拠が薄い」と批判しています。
米国内でも同様の批判があります。例えば、Taia GlobalのCEO、Jeffrey Carr氏は、中国による攻撃活動があることは事実だろうが、今回のレポートに関しては結論ありきで仮説の検証が十分行われていないことや、中国以外の国家の関与について考慮していないことなどを批判しています。また他のセキュリティ研究者なども61398部隊の関与を否定する証拠も複数あることを指摘しています。
同様の批判は多数あり、米国の防衛産業によるロビー活動の一環ではないかとの声もあります(この点については後で詳しく述べます)。
筆者自身も、今回公開した情報だけで61398部隊の仕業と断定するにはやや無理があると思います。結論は正しいのかもしれませんが、不十分な情報に基づいている(あるいは公開されていない情報がある)と言わざるを得ません。
さらに、レポートの公開が及ぼす影響(メリット/デメリット)についても考えてみましょう。
MandiantはAPT1レポート本編に加えて、使用されたマルウェアの詳細情報や攻撃を中継するインフラの情報(ドメイン名やIPアドレス)など、多数の関連資料を併せて公開しています。ターゲットになり得る多くの組織がこれらの情報をうまく活用することによって、APT1による攻撃活動を未然に防いだり、被害を最小限に抑えることが期待されます。Mandiantによるレポート公開の目的の1つと言えるでしょう。
一方で、調査結果を明かしてしまうことにより、APT1が攻撃方法を変更したり、これまでの活動の痕跡を消すなどの対応を取ってしまう、との懸念もあります。
実際、レポート公開直後から、APT1ハッカーとして特定された人物のSNSアカウントが削除されたり、ドメイン登録情報が変更されたり、といった動きが見られています。しかしこれはある程度予想されていたことで、これによってAPT1の活動が停滞するのであれば「成功」と見ることもできるでしょう。さまざまなデメリットを上回るメリットがあるとMandiantは判断したということです。
レポートの公開が意味するもの
もう一歩踏み込んで、レポートの内容だけでなく、なぜこのタイミングでこのレポートが公開されたのか、その背景についても考えてみたいと思います。
APT1レポートの公開と前後して、米国ではサイバーセキュリティに関わるさまざまな動きが見られました。以下に主なものを列挙します。
日付 | 動き |
---|---|
2月10日 | 最新の国家情報評価(NIE: National Intelligence Estimate)において、「米国は外国からのサイバースパイ活動によって深刻なダメージを受けており、中国が最も活発に活動している」との報告(WP報道) |
2月12日 | オバマ大統領がサイバーセキュリティ強化のための大統領令に署名 |
2月13日 | サイバーセキュリティ法案(CISPA: Cyber Intelligence Sharing and Protection Act)が議会に再提出 |
2月19日 | MandiantがAPT1レポートを公開 |
2月20日 | オバマ政権が米国における企業秘密保護を推進する新たな戦略を発表 |
3月1日 | オバマ大統領が米政府の歳出を強制的に削減する大統領令に署名 |
3月5日 | 国防総省の諮問機関である国防科学評議委員会(DSB:Defense Science Board)が、米軍のサイバー空間における防衛体制が不十分であると報告 |
3月11日 | 国家安全保障問題担当大統領補佐官が中国からのサイバー攻撃に言及し、問題解決のための直接的な対話を中国政府に要求 |
3月12日 | 上院情報特別委員会で国家情報長官(DNI:Director of National Intelligence)が、米国の安全保障にとってサイバー攻撃が最も重大な脅威であると報告 |
3月12日 | サイバー軍(USCYBERCOM)の司令官が、米国がサイバー攻撃を受けた場合に反撃するミッションを持つ13のチームを2015年までに整備すると発言 |
3月14日 | オバマ大統領が習近平国家主席と電話で会談し、サイバーセキュリティの問題について継続して議論することを確認 |
米国におけるサイバーセキュリティを巡る動き |
この中に、2つの重要な流れが見えます。
1つは、米政府関連機関が米国におけるサイバーセキュリティの現状について警鐘を鳴らし、対策を強化すべき、との報告を相次いで行っていることです。そして中国政府に対しては、米国へのサイバー攻撃に対応するよう強く求めるメッセージを送っています。長年にわたって行われてきたとされる中国から米国へのサイバースパイ活動に対して、いよいよ米国が本腰をいれて対応に乗り出してきたとも言えるでしょう。
そしてもう1つは、3月1日から発動した歳出の強制削減(Sequestration)です。この影響を最も受けるのが国防総省で、歳出削減によってサイバー空間における米国の防衛力も弱体化するのではないかとの懸念もあります。一方で、サイバーセキュリティは米国政府が今後重点的に取り組む分野であり、関連する産業はロビー活動を繰り広げています。
Mandiantは前述の通り、軍の情報機関ともつながりがあり、また政府の歳出削減の影響も受ける立場にいます。しかもレポートの公開はわずか1カ月前に決定したとMandiantは述べており、あらかじめ予定していたものではなかったようです。
従って今回のレポートは、米政府による中国への牽制を補強しつつ、歳出削減の影響をできるだけ緩和するための1つの手段として利用されたのかもしれません。サイバーセキュリティに関して数多く行われているロビー活動の1つにすぎない、と批判される理由はこの辺りにあります。いずれにせよ、何らかの政治的な意図を含むものであることは考慮に入れておくべきだと思います。
日本に与える影響と今後の課題
最後に、日本国内への影響や課題について考えてみたいと思います。
APT1レポートでは141の組織が被害に遭ったと紹介されていますが、そのうち日本の組織は1つだけでした。しかし、これまでに報告されているAPTの攻撃キャンペーンの中には、日本をターゲットに含んでいるものが少なからず存在しています。米国ほどではないかもしれませんが、同様の攻撃を受けている可能性は非常に高いと言えます。
また、61398部隊の所属する総参謀部第三部には全部で12の作戦局があり、このうち青島に拠点をおく第四局(61419部隊)は、日本および韓国をターゲットに活動していると言われています。対岸の火事と安心しているわけにはいきません。
ここでは、APTへの対策を考える際に参考になる海外の事例を紹介しましょう。
オーストラリアの情報セキュリティ政策の中心的な役割を担う国防省国防信号局(DSD:The Defense Signals Directorate)では、35項目におよぶAPT対策のリストを策定しています。これは政府機関に対して行われた標的型攻撃の事例や、脆弱性診断の結果などを基に、最も効果的な対策をリストアップしたものです。DSDによると、このうち上位4つの対策を行うことで、こうした攻撃の大半を防ぐことができると説明しています。
- PDFリーダー、Flashプレイヤー、MS-Office、Javaなどのアプリケーションに最新のパッチを適用する
- OSに最新のパッチを適用する
- 管理者権限を持つアカウントの数を必要最小限にする
- ホワイトリスト方式によりアプリケーションの実行を制限する(SRPやAppLockerなど)
1〜3はどれも基本的な対策ですが、実際には徹底されていないため、攻撃者につけ入る隙を与えてしまいます。また4はマルウェアによる感染防止に非常に有効な対策ですが、あまり普及していません。DSDのこのリストはカナダやニュージーランドなども参考にしているようです。
また米国の国家安全保障局(NSA:National Security Agency)でも同様に、SRPを利用したアプリケーションの実行制限がマルウェア感染に対して有効な対策であることを実証しています。
このようにAPTだからといって、何も特別な対策が必要なわけではありません。まずは基本的な対策をしっかりと徹底することが肝心です。
しかし、これだけ多くの組織が内部へ侵入されていることからも分かるように、侵入を防ぐことだけを目的にしていたのでは、APTに対抗することはできません。100%侵入を防ぐことは不可能だと考えるべきです。
そこで重要になるのは、いかに早く攻撃の兆候に気付いて対応できるか、という即応性です。そのためには、攻撃手法など、いわゆるTTP(Tactics、Techniques、Procedures)についての深い理解が必要不可欠です。
このような脅威情報の収集、分析、共有に関しては、国内に限らず海外での取り組みもまだまだ不十分であり、今後の大きな課題の1つと言えるでしょう(ただし、一般の民間企業においてどの程度こうした対策が求められるのか、よく考える必要があります)。
また今回のレポートがあぶり出したように、国家間の争いに関連する動きについては、その裏にあるかもしれない政治的な意図にも注意が必要でしょう。米国、中国、それぞれの国独自の事情というものがあります。それにAPTについては、そもそも中国政府が直接関与しているかどうかさえはっきりしていないのが実状です。
レポートの内容を鵜呑みにしてただ騒ぐのではなく、その本質を批判的な目で見極めることが私たちには求められているのではないでしょうか。
Copyright © ITmedia, Inc. All Rights Reserved.