セキュリティ業界では、2012 年にサイバースパイ攻撃の件数が増加し、この目的で使用されるマルウェアがますます高度化すると予想しています。
過去2年間、政府機関、防衛関連企業、フォーチュン500企業、人権団体、その他の機関から機密データが盗まれるマルウェアベースの攻撃が急増しています。(「Windows PCからマルウェアを削除する方法」も参照してください。)
「この傾向は2012年以降も間違いなく続くと予想しています」と、セキュリティ企業トレンドマイクロのセキュリティ調査・コミュニケーション担当ディレクター、リック・ファーガソン氏は述べています。「スパイ活動は何百年もの間、最先端技術を駆使して秘密裏に活動してきました。2011年はインターネットを活用したスパイ活動の始まりではなく、終わりでもありません」とファーガソン氏は付け加えました。
イランの核開発計画を数年遅らせたとされるStuxnetや、その後継であるDuquといった脅威は、その巧妙さでセキュリティ業界に衝撃を与えました。専門家は、これらはまだ始まりに過ぎず、2012年にはさらに高度なマルウェアが登場すると予測しています。
「近い将来、このような脅威が再び発生する可能性は十分にあります」と、シマンテックのセキュリティ対策担当ディレクター、ジェリー・イーガン氏は述べています。イーガン氏は、Duquは産業用制御システムを製造する企業から設計文書を収集するために使用されており、将来的にStuxnetのような産業破壊攻撃の前兆となる可能性があると説明しました。
「Duquの新たな亜種が2012年初頭に大混乱を引き起こす可能性が高い」と、企業向け鍵・証明書管理ソリューションプロバイダーであるVenafiのCEO、ジェフ・ハドソン氏は述べた。「私たちは、資産を守り、脅威が襲来した際に備え、より万全の態勢を整えるために、新たな警戒態勢を取らなければならない。」
戦闘、だがサイバー戦争ではない
しかし、スタックスネットやドゥクの出現にもかかわらず、セキュリティ専門家は、世界が実際にサイバー戦争の進行を目撃しているとは考えていない。
「いかなる対立行為も『戦争』と呼ぶには、紛争状態が宣言されていなければならないが、私の記憶では、サイバー戦争の場合、これは一度も起きたことがない」と、IT専門家の認定機関であるISACAのセキュリティ諮問グループのメンバーであるジョン・ウォーカー教授は電子メールで述べた。
「しかし、もし『サイバー紛争』に関する質問をするならば、これは全く異なるケースだと考えるだろう。政治的目的か軍事的目的のいずれかを支援するために、何らかの形でそのような能力が定期的に攻撃的に展開されるのだ」と彼は付け加えた。
米国、英国、ドイツ、中国、インドなどの国々は、政府資産をサイバー攻撃から守り、必要に応じて報復措置を講じるための専門チームやセンターを設置しています。しかし、インターネットを介した敵対行為の背後に誰がいるのかを確実に特定することは、ほとんどの場合不可能であり、それが問題の一つに過ぎません。
「すべての国が報復の問題に頭を悩ませています」とジェリー・イーガン氏はメールで述べた。「もし露骨なサイバー戦争行為が発生した場合、各国はどのように報復し、どの程度まで対応すべきでしょうか? 適切な対応とはどのようなものでしょうか?」
StuxnetやDuquのような脅威は将来的に大規模な国際サイバー紛争を引き起こす可能性が十分にあるが、今のところ企業や政府はより単純なデータ窃取ツールを使ったサイバースパイ攻撃をより懸念すべきだ。
これらの単純ながらも効果的なマルウェアは、セキュリティ業界ではAdvanced Persistent Threats(APT)と呼ばれ、通常はソーシャルエンジニアリングによって拡散されます。Operation Aurora、Shady RAT、GhostNet、Night Dragon、Nitroなどは、ここ数年で報告されたAPT攻撃の例であり、世界中の数百の組織に影響を与えています。
ブレースとトレーニング
APT 攻撃の数は 2012 年に増加すると予想されており、それらに対抗するには、従業員の頻繁なトレーニングと、ホワイト リスト、ファイルのレピュテーション、アプリケーションの動作に基づいたより積極的な保護テクノロジが必要になります。
「多くの企業にとって、依然として人材はセキュリティにおける最大の弱点であり、それが標的となる理由です」とファーガソン氏は述べた。「組織のセキュリティ計画において、トレーニングは依然として重要な位置を占めていますが、一度きりのイベントではなく、継続的なトレーニングが必要です。」
「これまでのところ、ソフトウェアへのパッチ適用は、人間へのパッチ適用よりもはるかにうまくいっています」と、セキュリティ企業ImpervaのCTO、アミチャイ・シュルマン氏は述べた。「私は軍隊に所属し、情報セキュリティについて人々を啓蒙しようと努めてきました。しかし、軍隊ではうまくいきませんでしたし、他の場所では通用しないでしょう。」
保護パラダイムを転換し、データソースに対する制御を強化する必要があります。特定の情報を読み取れるアプリケーションを制限し、機密データが日中の不自然な時間帯にアクセスされたり、大量に転送されたりするといった異常な動作を検知することが解決策の一つだとシュルマン氏は考えています。
システム上での実行を許可する前にファイルの評判、年齢、地域での人気度をチェックできるテクノロジーは、従来のマルウェア対策検出方法を回避するように設計された APT をブロックするためにも使用できます。
「大手企業はマルウェアの潜在的な影響について、もっと深く認識する必要があることは間違いありません」とジェフ・ハドソン氏は述べた。「もしこの問題が今、取締役会の議題に上がっていないのであれば、取締役会は怠慢です」と彼は結論付けた。
