シマンテックのセキュリティ研究者によると、100カ国以上で1295台のコンピュータを標的としたGhostNetサイバースパイ組織が週末に大々的に暴露されたことは、犯罪者によって実行されることが多い、高度に標的を絞った高度な攻撃がセキュリティ環境をいかに変えつつあるかを強調しているという。
「状況はどれほど変化しているだろうか?劇的に変化している」とシマンテック・リサーチ・ラボの研究担当副社長、ジョー・パスクア氏は語った。
SecDev Groupの情報戦モニターとトロント大学ムンク国際研究センターが日曜日に発表した報告書で詳述されているGhostNetは、マルウェアとソーシャルエンジニアリングを用いて、攻撃者が侵入したコンピュータに完全なアクセスを可能にしていた。また、攻撃者はこれらのコンピュータのビデオカメラとマイクを制御し、コンピュータが設置されている室内の活動を遠隔監視することも可能だった。
「これは、現在実行されている攻撃の種類がいかに巧妙であるかを示すもう一つの例だ」とパスクア氏は述べた。
GhostNet や類似の攻撃は高度に標的を絞った性質を持つため、ウイルス対策ベンダーが迅速に対応するのが難しい状況になっています。
「昔は、数十万人を標的とした脅威がありました。シマンテックが早い段階でそのコピーを入手し、数十万人のうち大多数が保護される可能性が非常に高かったのです」とパスクア氏は述べた。「今では、ほんの一握りの人々だけを標的とする標的型攻撃が存在します。」
「サンプルが採取される頃には、もう手遅れかもしれません。すでに別の変異株に変異していることもあるのです」と彼は言った。「終わりは見えません」
GhostNet は中国政府によって開発され、管理されているという憶測が飛び交っていますが、この種の攻撃は犯罪グループによるものである可能性も同程度あります。
「ここ数年で、襲撃者のプロフィールは完全に変わりました。破壊行為をする者、ちょっとした楽しみと名声を求める子供たちから、経済的な動機を持つ集団へと変化しました」とパスクア氏は述べた。「彼らの行動はますます洗練され、さらに資金も潤沢になっています。」
変化するセキュリティの脅威に対抗するために、シマンテック リサーチ ラボでは、仮想化をベースにしたり、評価を使用して信頼できる Web サイトやサーバーを脅威をもたらす可能性のあるマシンから分離したりするセキュリティ テクノロジを開発しています。
「私のチームは、動作分析と自動シグネチャ生成に関する高度な研究も行っています」とパスクア氏は語った。
シマンテックの目標は、攻撃者による新たなマルウェア亜種の自動生成に対抗することです。「マルウェアの特定の部分をフィンガープリンティングするのではなく、本質的にはこれらの行動をフィンガープリンティングするのです」と彼は述べています。
技術的な対策だけでは、執念深い攻撃者を阻止することはできません。GhostNetのケースでは、ソーシャルエンジニアリングが攻撃の重要な要素であり、ユーザーに気づかれずにマルウェアをダウンロードさせるために利用されました。これは、企業や個人が自らを守るための対策を講じる必要がある領域です。
「教育は重要であり、インターネット利用者に良好な衛生習慣と良い行動を周知させることは誰にとっても重要だ」とパスクア氏は語った。
