先月、RSAが発表した同社のSecurIDに関する機密情報に対するAPT攻撃の件について、この記事とこの記事を基に整理してみました。
攻撃は、特製マルウェアを組み込んだExcelファイルを添付したメールから始まりました。このマルウェアは、Adobe Flashの脆弱性を突いて、企業の内部構造を理解し、システムに繋がる抜け道を開けるためのバックドアをインストールするものだったそうです。そして、このステップは過去に発生したAPT攻撃でも多く見られるパターンのようです。
RSAのUri Rivner氏がブログに投稿したところによると、今回の攻撃では、二日にわたって二種類の異なるフィッシングメールが送られていますが、その宛先となった従業員グループは小さなもので、特に目立ったあるいは重要なだったわけではないということです。
そのRivner氏によれば、送信先はブログなどで公開されている従業員のメールアドレスが使われるケースが目立つそうです。メールの内容は受信者に関連する内容で、例えば財務部門の人間が標的であれば、規制に関する情報だったりします。今回のメールでは、メールの件名には"2011年の雇用計画"と書いてあり、受取人が迷惑メールホルダーから戻して、添付ファイルを開くように、よく工夫されていたということです。添付ファイルのスプレッドシートのタイトルにも"2011 Recruitment Plan.xlsと書いてあったそうです"
メールに添付されたマルウェアによって、PCにバックドアが設置されたのを確認すると、次に行われるのが、リモート管理ツールのインストールです。今回の攻撃者は"ツタウルシ"の異名を持つリモート管理ツールの亜種をインストールしたそうです。このツールによって、攻撃者は従業員の役割やアクセスレベルを覗き見たり、必要な権限を持ったユーザーアカウントを検索したりもします。
APT(高度に"持続する"脅威)と言うだけあって、とにかくうまく内部に一回入り込めるかどうかは問題ではなく、"組織"に入り込むことが重要で、そのために全く新しいアプローチが使われるといいます。Rivner氏は、「彼らは、単純に組織とそのインフラだけをハックして終わるのではなく、従業員に対してハッキングをかけることにはるかにより多くの注意を払います」と指摘しています。
彼は、Advanced Persistent Threat攻撃が、既存の境界とエンドポイントにおける防御を回避するために考案された新しい攻撃理論であることから、セキュリティ業界が自らとその顧客を守るための新しい方法を考案するのにしばらく時間がかかるだろうと強調しています。その一方で、この攻撃は、同社のComputer Incident Response Teamによって、攻撃の進行段階で検知されたことに触れることも忘れていません。
APT攻撃について、Rivner氏はステルス戦闘機を引き合いに出して説明しています。従来の防衛手段の柱だったレーダーをかいくぐるステルス戦闘機は、それに対抗して、巨大なレーダーを建てたり,既存のレーダーのところで必死に監視したりして、わずかな兆候の変化を見逃さないようにがんばることもできますが、こうした行為はステルス戦闘機の登場による不利な形勢を一変するような効果は期待できないので、全く別の防御理論が必要になり、しかもその確立には時間がかかるとも指摘しています。それでも、このように新しい防御理論を要する事態に陥ったことは、過去にも度々ありますが、最後は新しい防御理論を編み出し形勢を逆転した例として、1943年のイギリスを例にひいています。
とはいえ、APT攻撃というものは、あまりう型にはまった攻撃方法ではないことに加え、狙われた側の秘密主義も相まって、今ひとつわかりづらく、記事の切れ味も鈍いものになってしまっていますが。
