金銭詐取目的や劇場型の犯罪も増加

──昨今、APTをはじめとするサイバー攻撃への対策に注目が集まっています。企業のセキュリティ対策の動向について教えてください。

　まず、誤解が生じないように、APT（Advanced Persistent Threat）の定義についてお話ししたいと思います。昨今、日本でも標的型攻撃に注目が集まり、「APT」という言葉がよく使われるようになっています。しかし、この言葉が最初に使われた米国では「APT」は攻撃の手法や種類のことではなく、特定の目的でコストを度外視してまで執拗に攻撃を仕掛けてくる「攻撃者（グループ）」のことを意味して使っています。

　一部で誤解されているようですが、APTとは「高度な攻撃手法」のことではありません。「Advanced」の語は、「高度な」というよりは、巧妙であったり、洗練されていたり、という趣旨で、対策レベルの低い攻撃対象に対しては、攻撃元を特定する材料をなるべく残さないよう、既存ウイルスを使ったりしながら、必要最低限の方法でスマートに情報を盗み出すことにあるようです。

　同じ攻撃者グループは、同じような攻撃ツールを使ったり、同じ手口で侵入の入り口を探したりと、共通した攻撃の特徴を示します。その特徴を踏まえ、攻撃者グループを特定していくと、攻撃パターンや、どんなツールを使う可能性が高いかなどを予測することが可能になる場合があるため、APTを把握し、必要な人と対策に向けた情報共有を可能にすることが大切なのです。

──このような攻撃グループが出てくるようになった背景は何でしょうか？

　米国において、防衛産業から国防に関わる情報を盗ろうとする攻撃への対処の必要性が認識され、他の分野への攻撃も含め、対応のための情報連携などの動きが数年前から始まりました。

　私たちJPCERT/CCは、活動の目的の一つに「攻撃者は、攻撃によって得られる利得を目的に行動するので、事前のセキュリティ対策や迅速なインシデント対応など、攻撃者側のコストとリスクを上げさせるためのあらゆる対処を行うことで、攻撃者が『割に合わない』と思う環境をつくっていくこと」を掲げていましたが、APTとされる攻撃については、こうした市場原理とは異なるところで動くこともあり、どんなにコストが掛かっても目的を達成するまで攻撃を続けるケースもあるようです。

　APTの定義のところでもお話しましたが、攻撃者はもっとも効率がよく、リスクが少ない方法で必要な情報を窃取することが目的なので、物理セキュティや人的クリアランスが厳しく、実社会において情報を盗ることが難しい国や企業が相手の場合は、ネットワーク越しからの攻撃によって情報を得るほうが容易であると考えているのかもしれません。

　JPCERT/CCは、ネットにおけるセキュリティ問題について脅威情報の分析やインシデント対応調整支援などの活動を行っていますが、知的財産や政策関係の情報を盗もうとする攻撃や、そのような攻撃の準備のためにアカウント情報を集めようとする攻撃、直接金銭取得を狙う攻撃、主義主張に基づく劇場型の攻撃など、攻撃者の意図や態様が多様化しているため、それぞれに適した対処を行うことが必要となってきています。

　「適した対処」を行うためには、攻撃の発生状況や使われた攻撃プログラムの入手など、分析を行うための情報を集めることが必要になりますが、攻撃を受けた企業などにおいてもそのことに気づかない場合が少なくない現状においては、俯瞰的にこれらの動きを捉えることが難しくなっていると感じています。

【次ページ】APT対策になぜ企業内CSIRTの整備が必要となるのか