2012年5月9日から11日までIT関連の総合展示会「2012 Japan IT Week 春」が東京ビッグサイトで開催された。その中の一つ、「第9回情報セキュリティEXPO春」のネットエージェントブースでは、同社の杉浦隆幸社長が自ら標的型攻撃の実演デモを実施、多くの来場客の注目を集めていた(写真)。
デモでは、ターゲット(標的)となるパソコンと攻撃側のパソコンをWindowsパソコンの「VMware Player」上で動く仮想マシンとして用意。実際にクラッカーが使うのと同様な手法(数ある中の一つ)で攻撃を実行し、その怖さを生々しく伝えていた。「標的型攻撃対策ツールのデモはよく見かけるが、標的型攻撃そのもののデモはあまりない」(杉浦氏)とのことで、ブースを訪れたほとんどの人が関心を示していたという。
杉浦氏はまず、標的とする相手(企業)の情報を得るためにロシアや中国の検索サイトを使って、メールアドレスやExcelファイルへのリンクなどをトリガーに検索を実行。企業の代表者や管理者、部門責任者など重要な情報を握っていそうな人物のメールアドレスを入手した。
次に杉浦氏は、「Cerberus」(ケルベロス)という有名なトロイの木馬(RAT、Remote Administration Tool)作成用ツールを用いて、標的向けにカスタマイズしたトロイの木馬を作成。同ツールで作成できるトロイの木馬には、特定IPアドレスからのアクセスのみを受け付けたり、ウイルス対策ソフトなどを機能停止させたり、万一発覚した際に感染日時を特定させないようにするといった様々な機能を組み込めるようになっている。杉浦氏によれば、VMwareなどの仮想マシン上で検証されるのを回避するための機能(Anti Debugging)まで備えているという。
続いて杉浦氏は、税金関係や社会保険手続き関係といった「いかにも」な文面のPDFファイルを用意し、このPDFファイルに対して既知のPDFの脆弱性を用いて作成したトロイの木馬を埋め込んだ。利用したのはこちらも有名な「metasploit」(メタスプロイト)というツールである。
Facebookを勝手に使われて人間関係が壊れる危険性も
こうして作成した「トロイの木馬入りPDFファイル」をメールに添付し、標的パソコン側に送り付ければ攻撃は終了。標的パソコンのユーザーがこれを開くと、PDFファイルが普通に表示されつつ、裏では一瞬でトロイの木馬に感染し、標的パソコンが完全に乗っ取られてしまった。
こうした攻撃手法自体は昔からあるものだが、怖いのは、最近のパソコンの多くがWebカメラを備えており、ユーザーがFacebookなどのSNSを使っているケースが増えていることだ。デモでは感染したパソコンを遠隔から操り、Webカメラでユーザーを観察したり、Webブラウザーを立ち上げてFacebookを利用したり(パソコンを使っている途中なら再ログインせずに利用可能なケースが多い)といった悪事を簡単に働けてしまう様子を見せていた。
人に聞かれたくない独り言の動画をこっそりWebカメラで撮られてネットでバラまかれたり、Facebookでひどい書き込みをされて人間関係を壊されたりすれば、“人生終了”とまではいかないかもしれないが、とてつもないダメージを受けることは必至。完全に乗っ取られているのだから、パソコン内のデータを自由に盗み見られたり、社内サーバーへの侵入の踏み台にされたりする被害も当然受ける。
「標的型攻撃なんて関心ない」という人には、その怖さを知るためにぜひこうしたデモを一度見てみることをお勧めしたい。