サイバーインテリジェンスの世界で「標的」にされた日本企業の機密情報管理は大丈夫か？

日本企業への侵攻が進む標的型メール攻撃に対する警察庁の発表

先月19日に本社や生産拠点を含む11カ所でサイバー攻撃を受けていた三菱重工業の事態を重く見た警察庁（警備企画課・情報技術解析課）は、同21日に「標的型メール攻撃事案の把握状況について」 [pdf] を発表した。これは、警察が情報窃取の標的となるおそれのある全国約4000の事業者などと「サイバーインテリジェンス情報共有ネットワーク」を構築し、標的型メール攻撃などの情報窃取を企図したとみられるサイバー攻撃事案に関わる情報を集約し、これらの情報を総合的に分析して事業者などに対する注意喚起を実施するためのものである。

既に「サイバーインテリジェンス情報共有ネットワーク」などを通じた情報収集により、震災後「地震情報」「被ばくに関する知識」「計画停電」などといった震災や原発事故に関する情報の提供を装った標的型メールが国内企業などに合計540件以上送付されていることが確認されている。

また、「重要な会議のお知らせ」「歓迎会のお知らせ」「資料送付のお知らせ」「参考資料の送付」といった震災や原発事故に関連のない標的型メールも4月から9月21日までに合計350件以上送付されていたことも確認された。さらに、警察庁の把握状況によると、標的型メールの送信元は yahoo.co.jp などのフリーメールになっている場合が多いとのことだった。

最新の情報によれば、今回の一連の標的型メール攻撃は、日本のみならず、インド、イスラエル、米国の防衛産業企業が標的となり、そのうち8企業が被害にあったことが確認されている。トレンドマイクロ社のブログ「MALWARE BLOG」9月19日版では、その手口につき専門的な視点から、攻撃者が対象企業の特定人物に対して特殊な細工を施したPDFファイルを添付した電子メールを送付し、受信したPCにファイルをダウンロードさせてバックドアを作り、攻撃者が用意したサーバーにアクセスできるようにしたことや、「pass-the-hash」といわれる技術を使って、ネットワーク内の他のPCへの侵入を試み、リモートアクセス可能な「トロイの木馬」を植え込んで外部から制御を行おうとしたことなどが記載されている。

「サイバーインテリジェンス」という新たなキーワード

三菱重工業のサイバー攻撃以来、にわかに「サイバーインテリジェンス」という言葉が注目されつつある。警察庁のホームページにも「サイバーインテリジェンス」について記載があり、「情報通信技術を用いた情報収集による諜報活動」であり、「最も安全で安価なスパイ」と記載し、平成21年12月に米国グーグル社に対して行われた中国によるサイバー攻撃に触れて説明している。

10月14日に警察庁は、9月21日に発表した広報内容の進捗状況について「サイバーインテリジェンスに係る最近の情勢（平成23年4月～9月）」 [pdf] と題する文書を公開した。警察庁によれば、三菱重工業など防衛関連企業が「標的型メール攻撃」を受けた問題を解析した結果、攻撃者は標的とする事業者に関係する事業者の中から、セキュリティー対策の進んでいないPCに侵入し、盗み出したメール情報を悪用して標的型メールを送信していたことが判明した、としている。

さらに、攻撃者は実際に送信されたメールを盗み出したうえで、本文の大半を引用し、ウイルスを仕込んだ標的型メールを作成し、実際のメールが送られた約10時間後に標的型メールを送信していたことが確認された。

また、警察庁が「サイバーインテリジェンス情報共有ネットワーク」を構成する防衛や先端技術関連の約4000社について調査したところ、標的型メールなどのサイバー攻撃に関する職員教育については、全体の約92％が実施していたが、不審なメールに関する報告規定を設けていたのは全体の約16％にとどまっていたことも判明した。

米国FBIでは、ここ数年来、サイバーインテリジェンスによる防衛関連企業や金融機関などの機密情報の流出に頭を痛めており、今年4月12日に「サイバー攻撃に対する対応」と称してその犯罪件数の急激な増加と脅威、対策についてコメントしている。日本においても国と民間企業が手口の情報開示や個別対策などで協力しあい、サイバーインテリジェンス対策が本格化することを期待したい。