相次ぐ米大手メディアに対するサイバー攻撃

　この8月末に米メディアのThe New York Times、The Huffington Post、そしてTwitterがシリア電子軍（SEA / Syrian Electronic Army）を名乗るハッカーのサイバー攻撃により、これらサイトにアクセスしたユーザーがまったく別の攻撃用サーバへのアクセスさせられてしまうという事案が発生しました。それ以前にもCNN、The Washington Post、ロイターといった名立たる米大手メディアが継続してSEAによるサイバー攻撃を受けています。

（過去、本連載でもAP通信社の被害事例を取り上げました。→風評千里を走る。Twitterアカウントハッキング事件に見る4つの視点）


　SEAの好む攻撃手法として「標的型攻撃」、とりわけ「標的型メール攻撃 / Spear Phishing Mail」の名が挙げられています。標的型メール攻撃とは何かについては、本連載が中心的に取り上げるセキュリティ機関「SANS」による、分かり易くセキュリティトピックを解説するセキュリティアウェアネスニュースレター「OUCH!」の7月号で取り上げていますので、こちらをご覧いただきたいと思いますが、端的に言えば、特定の標的に対して極めて見抜きにくい詐欺メールを送って、認証情報などの機密情報を詐取する行為です。

　今回のThe New York Timesらの被害もこのメール攻撃に端を発しており、以下の7つの手順で攻撃が行われたものとみられています。

標的型メール攻撃の脅威

　このような攻撃は自動で動作するマルウェアでは到底行えず、ハッカー自身が執拗にあらゆる手練手管を尽くして攻撃してくる「標的型攻撃」ならではと言えます。特に、あらゆる攻撃、と考えた時、ヒトの脆弱性（人間の心理的な隙や行動のミス）はシステムの脆弱性よりも悪用しやすい傾向にあるため、ヒトの脆弱性を狙う「標的型メール攻撃」が昨今の主要な脅威としてクローズアップされています。

　筆者の所属するNRIセキュアテクノロジーズでは、この標的型メール攻撃を疑似的に体験できる「標的型メール攻撃シミュレーション」サービスを提供しています。

　このサービスを通じて得られた統計データによりますと、弊社で標的型メールの判別の難しさにレベル分けした偽装レベルにおいて（下記の「不正目的で送られてくる標的型メールの偽装レベル」を参照）、中レベルの攻撃で2割程度、文面などを凝らした高レベルの攻撃では4割弱程度のユーザーが、この攻撃に対して脆弱であるという結果が出ています。

　メールを送るだけの攻撃が、これほどまでに成功してしまうという事実には驚きを禁じ得ません。


　このような実情を鑑みて、IPA（情報処理推進機構）は、2011年に発刊した「『新しいタイプの攻撃』の対策に向けた設計・運用ガイド」を、より標的型メール攻撃にフォーカスした形にリニューアルし、「『標的型メール攻撃』対策に向けたシステム設計ガイド」として新たに発刊しました。


　このガイドで興味深いのは、名称こそ「メール攻撃」としているものの、実際にはメールそのものよりは、その後に続く攻撃を詳述することに注力されている点です。標的型攻撃の全体像を掴むのに非常に有用な資料となっておりますので、未読の読者諸氏には是非一読いただきたいと思います。

【次ページ】メールだけじゃない、「その後」の実際