脅威の変遷から見たサイバー攻撃の今、昔：サイバー攻撃の今、昔（前）（2/3 ページ）

サイバー攻撃の目的、対象、手法は時代とともに変わります。本記事ではサイバー攻撃の今昔を比較することで、脅威のこれからを考えます。

[太田 浩二（トレンドマイクロ株式会社），＠IT]

闇マーケットが活用されるサイバー攻撃

　本格的な金銭目的の犯罪増加に伴い、ウイルス作成、拡散自体が闇マーケットにおける売買対象となり、部品の売買や請負など、組織犯罪としての動きが顕著になってきています。

　ロシアのサイバー犯罪における闇マーケットでは、不正プログラム配布サービスが実際に提供され、1000件の配布に対し、1件につき50〜200ドルで取引されていました。また、インターネット回線さえあれば、無料のメールサービス、無料のホスティングサービスなど、安価なコストで攻撃準備ができ、闇マーケットにおいて攻撃の材料をそろえることが可能です（図2）。さらに、サイバー犯罪を追跡することを非常に難しくするTor（注）でさえ、広く普及し簡単に利用でき、サイバー犯罪はビジネスとしての一面も見せ、ますます目覚しく進歩しています。

図2　闇サイトでの販売例（トレンドマイクロ調べ）

関連リンク

What do you need to know about the cybercriminal underground economy?（Trend Micro Blog）

http://about-threats.trendmicro.com/us/security-reports/cybercriminal-underground-economy-series/what-do-you-need-to-know-about-the-cybercriminal-underground-economy.html

注　Tor（トア、トーア）

インターネットの接続経路の匿名化を行う規格、またはソフトウェアの名称。「オニオンルーティング」と呼ばれる仮想回線接続により、通信を複数のノードを経由させることにより、匿名性を高めている。Torブラウザーでは複数のプロキシを経由し、Webサイトへのアクセスに対し高い匿名性を提供している。

サイバー攻撃における対象の変化

　昨今、特定の組織を狙って作り込まれた攻撃が多く見られます。現在では、「標的型攻撃」と呼ばれることが一般的になってきましたが、当初は「Advanced Persistent Threat（APT）」と呼ばれていました。この名称は、2006年に米国空軍が使い始めたといわれています。そのころから、サイバー攻撃の対象が不特定多数から特定の組織、企業へ移り変わってきていることが分かります。

　日本においても、2011年ごろから政府や特定企業を対象にした標的型攻撃が大きく報道されました。この章では昔と今の脅威と被害から対象の変化について見ていきます。

“昔”――対象は不特定多数

　2003年に大きな被害をもたらした「SQL Slammer」は、ワームという手法を用いて一つの不正プログラムで大規模感染被害を演出しました。脆弱性対策をしていないサーバー全てが攻撃対象となり、感染被害が拡大しました。

関連記事

SQLワーム被害に「人災だ」の声、日本での影響は軽微

http://www.atmarkit.co.jp/news/200301/28/sqlworm.html

　2003年、脆弱性をつく不正プログラムによる大規模感染や集中攻撃（DDoS）が、不特定多数のサーバーに対して実行されました。また、そのプログラムコードも公開され、多数の亜種が登場しました。その結果、それによってさらに拡散を広げ、多数の被害者を出す不正プログラムも現れ始めました。その中には2008年に登場した「Downad」のように、感染拡大だけでなく金銭を詐取する亜種も登場し始め、この頃から対象の変化も見え始めました。

“今”――対象は特定の企業・組織

　事前に攻撃対象者のシステムを調査した上で攻撃を行います。対象が特定されているため、どの脆弱性が対処されておらず侵入が可能なのかが事前に攻撃者に把握されています。また、攻撃者は侵入に気付かれないように攻撃を仕掛けるため、対象者が気付いたときにはすでに重要な情報の漏えいが起こり、被害が深刻化しているケースが多く見られます。

　深刻なサイバー攻撃の一例としては、2013年末に起こった米国小売業のPOSシステムを標的としたサイバー攻撃は記憶に新しいものです。店舗で使われたクレジットカードやデビットカードの情報、4000万件あまりが流出し、大きな事件になりました。

関連リンク

トレンドマイクロ　2014年第1四半期セキュリティラウンドアップ（トレンドマイクロ）

http://www.trendmicro.co.jp/cloud-content/jp/pdfs/security-intelligence/threat-report/pdf-2014q1-20140520.pdf?cm_sp=Corp-_-sr2014q1-_-lp-btn

　主な目的が金銭や情報の取得であることから、確実にその目的を達成するため、対象ごとに攻撃、侵入はカスタマイズされています。このような最近の不正プログラムのコードは公開されず、人気の作成キット自体が闇市場で販売されていることからも、攻撃者が特定の対象に対し、その対象者に合った不正プログラムを入手して攻撃を行っていることが分かります。

　サイバー攻撃における対象の変化に伴い、ますます巧妙化したソーシャルエンジニアリングの手法が用いられています。攻撃者は、受信者がつい開きたくなるドキュメントが添付されたメールやパスワードを確認するようなメールを使って、金銭詐取につながる攻撃を仕掛けています。そのため、メールで受信する情報やWeb閲覧には細心の注意が必要です。