近年、企業や組織を標的にするサイバー攻撃が注目されている。サイバー攻撃者たちは標的となる企業や組織の機密情報を窃取するため、継続的な攻撃を繰り返し、攻撃から学習し、標的とする組織に対して執拗に攻撃をしかける。

 どこから、いつ、仕掛けられるか分からないサイバー攻撃とセキュリティベンダーの戦いは日々続いている。本特集は持続的標的型攻撃(APT:Advanced Persistent Threats)を対象に、「スレットインテリジェンス」を活用したセキュリティベンダーの新たな対策への取り組みを紹介する。

 スレットインテリジェンスとは、セキュリティ脅威全体を理解するために必要な情報や、そこから生み出された知見のことを指す。標的型攻撃を遂行する攻撃者が用いるツールや戦術、手順などを特定するための指標も、これらスレットインテリジェンスの一部となる。スレットインテリジェンスの活用により、より高度でプロアクティブ(被害を未然に防ぐ事前の取り組み)な対応を目指すのがセキュリティ業界のトレンドとなっている。

特定のサイバー攻撃者が複数の組織を標的にする

 日本を含め、世界各地で様々なサイバー攻撃が確認されている。なかでも諜報活動を目的に特定組織を継続して攻撃する高度な「持続的標的型攻撃」が重大な脅威となっている。インターネット上の広大な空間のどこかに潜むサイバー攻撃者が、学習を繰り返しながら絶えず攻撃の手法を進化させ、多段階で構成されたシナリオに沿った攻撃活動を行うからだ。

 機密情報の窃取という最終目的を完遂するまで、自らの存在を隠蔽しながら標的内部のネットワークに潜伏し、執拗に攻撃を繰り返すことから、標的とされた組織は対策に苦慮しており、最悪の場合、攻撃を受けている事実に気づかないまま被害を受け続けることすら起こり得る。

 トレンドマイクロは、国内外で起こった持続的標的型攻撃の調査・分析を日夜進めている。この中で一見無関係に思われる複数の攻撃に相互の関連があり、特定のサイバー攻撃者が複数の組織を標的に一連の作戦活動---「キャンペーン」と呼ぶ---を実施していることを把握できた。

 攻撃同士の関連性に着目した分析を進めることで、持続的標的型攻撃を行うサイバー攻撃者の実像が浮かび上がってきた。また、サイバー攻撃の実施手順である「攻撃シナリオ」の存在も明らかになってきた。

 分析結果の蓄積により、攻撃のどの段階でどのような特徴を持った攻撃手法を用いるかを想定できるようになりつつある。将来的には、この知見を予防措置に用いることもできる。

 特集の第1回では、これまでの取り組みで明らかになった、サイバー攻撃者による持続的標的型攻撃を2つ紹介する。まずは持続的標的型攻撃の巧妙さを知るところから始めよう。