写真提供:マイナビニュース

写真拡大

●2016年のサイバーセキュリティ動向予測と特殊なサイバー攻撃
カスペルスキーは、アジア/日本におけるサイバー脅威の最新動向に関するプレスセミナーを開催した。また、同時に「2016年のサイバーセキュリティ動向予測:APTは新たな形態へ」も発表した。本稿では、これらの概略について、レポートしたい。

○2016年のサイバーセキュリティ動向予測と特殊なサイバー攻撃

最初に登壇したのは、株式会社カスペルスキー代表取締役社長の川合林太郎氏である。

まず、紹介したのは「2016年のサイバーセキュリティ動向予測:APTは新たな形態へ」である。

今回のプレスセミナーは、アジア/日本地域における脅威分析を行ったものである。それに対して、こちらは、グローバルな視点から2016年の脅威予測を行うものだ。川合氏は、大きく変化する、これまでにはないような脅威が登場するといったことはないとまず紹介した。そして、もっとも注目しているのは、今後もAPT攻撃は継続する。しかし、その内容を少しずつ変貌させていくとのことである。

そして、川合氏も注目したのが、暗号の終焉である。動向予測では、『現在の暗号化標準に対する信頼性の崩壊と、「ポスト量子暗号」の設計および実装の必要性を示唆しています』と解説している。このあたりも興味深いところだ。

そして、日本にはセキュリティベンダーやそれに関わる人間が触れないような脅威が存在すると述べる。ネット世論と呼ばれるものだ(ここで、川合氏は「よろん : 輿論」と厳密に区別していた)。ネット上に存在する感情的な共通意識、心情とでもいうべきか(それに対し輿論は、パブリックオピニオン、理性的な議論による合意)。具体的には、東京オリンピックのロゴの盗用疑惑である。この一件の特徴は、心情的なねたみなども重なり、類似デザインの検索や個人的な正義感に基づいたさまざまな発言がなされた。俗に炎上とよばれる現象である。

川合氏は、このような事例が広がっていく、増加していくと予想した。海外では、あまり類を見ない。厳しい言葉になるが、自身に正義があると思ったとき(つまり、輿論と思い込み)のネットユーザーの反応が過敏気味であり、これもサイバー攻撃の一種と考えられるのではないかと思うと語った。

そして、IoTという言葉に代表されるように、リアルとサイバーの境界がなくなってきた。攻撃者も同じであり、リアルの犯罪者がますますインターネット(サイバー)の世界に移ってきている。さらに、サイバーをたんなるツールとして、犯罪に使ってくる。となると、犯罪者にも自然淘汰が発生する。技術を磨き、利益をあげることができない攻撃者は、淘汰される。同じことが、セキュリティベンダーにもいえる。守るための技術、調査・分析にきちんとコストをかけるベンダーが生き残っていく。当然、カスペルスキーもそうであると自負としているとのことである。今日のセミナーも、どんな活動を行い、どういったことを調査しているか、そして、それをいかに製品などに反映していっているかを紹介したいといって、挨拶を終えた。

●アジア・パシフィック地域におけるサイバー脅威の現状
○アジア・パシフィック地域におけるサイバー脅威の現状

続いて登壇したのは、Kaspersky Labグローバル調査分析チームでAPACディレクターのヴィタリー・カムリュク氏である。

ヴィタリー氏は、カスペルスキーのGReAT(Global Reserch and Analysis Team)について紹介した。脅威調査グループの中核部門で、APTなどの情報収集・調査研究を行う。そして、インターポールとの協力体制についても紹介した。ヴィタリー氏も2014年に設立されたシンガポールのInterpol Global Complex for Innovation(IGCI)に出向し、マルウェアの解析やトレーニングなどを担当する。その中で、印象的であったのは、インターポールのような法執行機関と協力することで、これまで以上に迅速に脅威対策が可能になるという点である。

そして、2016年の予測を紹介した。

最初の項目に、ファイルレスやメモリー型とあるが、少しなじみのないものだ。従来のマルウェアは、HDDやUSBメモリなどの記憶媒体に保存され、あるタイミングで起動し、さまざまな活動を行う。これに対し、HDDなどはいっさい使わず、メモリ内にのみ存在するマルウェアである。当然、PCを再起動すればメモリはクリアされ、マルウェアも消滅する。一見するとあまり脅威に感じられない。しかし、見方を変えれば、攻撃者はいつでもマルウェアに感染させることができるということになる。

APT攻撃の特徴の1つに持続型がある。しかし、攻撃者は持続型を放棄しても、目に見えない存在になることを目指しているといえる。これまでのマルウェアと比較すると、大きな違いといえるだろう。これらを検知するには、システム上の挙動を探るしかない。これは、Duqu 2.0というAPT攻撃で実際に使われた手口である。

ランサムウェアについては、サーバーやウェアラブル端末なども標的となる。ホワイトリストは、信用できるサイトやネットワークのことだ。従来は、安全とされていたその信用を逆手にとった攻撃が行われるようになるだろうと語った。具体的には、サードパーティが作ったカレンダーやスケジューラなどが狙われることになる。

最後に、ヴィタリー氏はアジアにおける予測を紹介した。

この中で興味を引いたのは、APT攻撃に限らず攻撃の手法・技術の成熟化である。そして、国外からの攻撃の増加である。国外からの攻撃が増加することで、国内の攻撃も活性化する危険性を指摘する。ビットコインのような暗号通貨(クリプトカレンシー)も脅威と関連していくと指摘した。

ヴィタリー氏は、5年前に1年ほど東京に滞在した経験もあるとのことだ。その当時は、標的型攻撃で調査の対象となるようなものはまったく存在していなかった。それが大きく様変わりしている。年金機構を対象にしたBlue Termiteは有名だが、これ以外にも調査中の標的型攻撃が複数あり、今後も増加が懸念されるとのことである。

●2015年、日本におけるサイバー脅威の現状
○2015年、日本におけるサイバー脅威の現状

3人目は、株式会社カスペルスキー、情報セキュリティラボ所長のミヒャエル・モルスナー氏が登壇した。

ミヒャエル氏は、2004年に株式会社カスペルスキーに入社し、日本の情報セキュリティラボを統括し、脅威動向の監視を行う。同時に、GReATのメンバーでもある。また、フィッシングサイト情報を扱うPhishTankのモデレーターも務める。

PhishTankは誰でも投稿可能で、投稿されたURLをコミュニティが判定をし、情報活用される。ミヒャエル氏は、その1つ1つを手動で確認しているとのことだ。

エコノミストの調査によって、日本はデジタル的にもっとも安全な国といわれるが、ミヒャエル氏はこの結果に逆に驚いたという。その理由は、つねに国内の脅威を調査しているからであろう。

そのような脅威の多くは、基本的には昔から存在している。たとえば乗っ取られたサイトの多くには、悪意を持ったコードが挿入されている。そして、サイトのオーナーは今なお気づいていない。このような事例が、頻繁に発生している。また、ISPのサポートの問題もある。何か問題があり、通知しても返事すらない。結果、悪意あるコードは存在し続けることになり、誰かが対応しない限り、なくなることはない。危殆化した場合でも、企業側からユーザーへ警告などが発せられることもない。ハッキングされたことをみずから公表することは、なかなかやりたがらない行為である。

図8は実際に、ハッキングされ悪意あるコードが挿入された事例である。ちょうど、真ん中の「」が、悪意を持ったコードである。ミヒャエル氏が確認したのは、このセミナーの前日である(図8の「Date」で確認できる)。その下に、このWebサイトの最後の修正日(Last-Modified)があるが、「2014年11月22日」となっている。つまり、1年以上、悪意を持ったコードが提供されていたのである。

ミヒャエル氏によれば、このような例は非常に多いとのことだ。このようなサイトを発見すると、ISPやWebサイトの所有者などに警告メールを送る。

しかし、JPCERT以外の対応はあまりよくはない。ミヒャエル氏も本来の業務の合間にやっているので、当然だが十分な対応を行う余裕がなく、この現状を問題視していた。図10は、ミヒャエル氏が送った警告メールの集計である。

赤が、日本宛てである。ミヒャエル氏は、2015年だけで、941通のメールを送信したとのことだ。カスペルスキーは、セキュリティ対策ソフトのベンダーであり、このような作業にはあまり傾注できない。しかし、Safe the Worldの一環として、脅威に対し戦い続けると講演を締めくくった。

(c-bou)