敵を知る:国家主導のサイバー犯罪者
サイバー犯罪者と言っても、その目的はさまざまですが、今回取り上げるのは、国家主導のハッカーです。国家主導のハッカーとは、政府機関から資金提供を受けて、国家主導のサイバー犯罪を行う者であり、国の命令に従い、知的財産を盗むことを目的とするスパイ活動としてサイバー犯罪を開始します。これらの攻撃者には多額の資金があるため、優秀な人材を雇って、最も高度かつ凶悪なサイバー犯罪を秘密裏に実行できます。
国家主導の犯罪者は、2010 年前後に発生したサイバーセキュリティ関連のいくつかの重大事件で、大きく注目されるようになりました。
- オーロラ作戦では、中国の攻撃者が知的財産を盗む目的で Google を始めとする大企業にアクセスしました。また、米国政府の機密資料も盗み出したとされています
- Stuxnet 攻撃では、ある国(おそらくは米国)が、極めて高度で隠蔽性の高い標的型マルウェアを用意し、従来型コンピュータだけでなく、遠心分離機で使用される PLC(プログラマブルロジックコントローラ)も長期間にわたって感染させていたことがわかっています。これは、イランの核濃縮能力を攻撃するものだったとされています
国家主導の攻撃者は、一般的なハッカーとは異なり、高度にカスタマイズされたツールや高度な攻撃コードを作成します。今年初めに WikiLeaks Vault7 の漏えいで明らかになったように、こういった攻撃の多くには、これまでに見つかったことのない、ゼロデイと呼ばれる、修正されていないソフトウェア脆弱性が組み込まれています。また、マルウェアの検知を困難にする目的で、カーネルレベルのルートキット、速記術、暗号化を使った、最も高度なさまざまな回避技術が多くの場合に活用されます。時には、複数の攻撃を実行することで、ネットワークアクセスを手に入れ、長期間にわたって検知されることなく常駐化し、データを手に入れるという最終目標を達成します。たとえば、ソフトウェア会社を攻撃して正規のデジタル証明書を不正取得し、その証明書を使ってマルウェアのコードに署名することで、正規のプロバイダのソフトウェアであるかのように偽装します。これらの高度な攻撃から、APT(Advanced Persistent Threat)という新しい業界用語が生まれました。
政府機関、基幹インフラストラクチャ、Fortune 500 カンパニーなどの、ごく一部の組織や企業だけが国家主導の攻撃に狙われると考えがちですが、平均的な組織が無関係であるわけではありません。たとえば、より大規模な攻撃のための足掛かりとして、小規模の組織が標的にされる場合があります。また、これらの高度な攻撃やマルウェアサンプルが明らかにされるようになったことで、最近では、通常の犯罪ハッカーも高度な手法を採用するようになっており、従来型マルウェアのレベルも向上しています。
APT Blocker を始めとする高度セキュリティソリューションの詳細は、以下をご覧ください。
https://www.watchguard.co.jp/products/security-services/apt-blocker