パスワードを忘れた? アカウント作成
11160686 journal
日記

chuukaiの日記: 間尺に合わないCDnetworksへの「APT攻撃」

日記 by chuukai

先日CDnetworksのサーバを経由したウイルスばら撒き事件があったが、当事者のCDnetworksから最終報となるプレスリリースが公表された。
そこではセキュリティ侵害の原因(方法)について、「外部侵入者がAPT攻撃*2を仕掛けて社内ネットワーク上のPCに不正侵入した後、遠隔操作を行い、サーバに不正侵入した可能性が極めて高い」と結論づけている。
ここでAPT攻撃の注釈を見ると、「*2 Advanced Persistent Threatening (最近高度化している、具体的な標的に対し密かに潜入、調査、攻撃を行う検知困難と言われる攻撃)」となっているが、「最近高度化している」と言うあたり、かなり自分に都合の良いような定義付けがされている。

APT攻撃というと、「高度な手口によって継続的、長時間にわたってターゲットの情報を事細かに調べあげたうえで、機密情報を盗んだり、場合によってはシステムを止めてしまう攻撃」(ゼロから学ぶAPT対策講座でのアズジェント セキュリティセンター フェロー 駒瀬彰彦氏の説明より引用)が思い浮かぶ。
APT攻撃では周到な調査と長期間をかけるのであるから、目的もその手間にふさわしい(一企業の営業の秘密以上に機密性が高い情報を盗んだり、重要なインフラにかかるシステムを麻痺させたりといったような)ものになる、というのが私のイメージだ。

ところが、CDnetworksの事件では、「外部侵入者」が行ったことは「コンテンツのアップロードサービス用サーバ(以下、被害サーバ)にて、お客様がアップロードしたコンテンツ(ファイル)の一部にウイルスを埋め込まれファイルが改ざんされたこと」である。
まとめると、外部侵入者は非常に手間ひまのかかるAPT攻撃を行って、遠隔操作できるPCを確保し、そこからセキュリティソフトでも発見できるようなファイル改ざんを行った、それによって得られたものは、オンラインバンキング情報の盗みとりという刹那的な利益だったことになる。
私の感覚では、犯行の手段が利益に対して間尺に合わないのである。
もちろん、APT攻撃を仕掛けた結果得るものがなかったので、オンラインバンキング情報の盗みとりだけを行ったと推測することも可能であるが、そもそもCDNのサーバにAPT攻撃を仕掛けるほどの情報があるとは事前に考えないので、APT攻撃の目標にならないのではないかという強い疑いがある。

私の疑問に対する回答として考えられるのは、プレスリリースの「APT攻撃」はCDnetworksが外部へ説明する際に都合がよいように、広めの定義がされているのではないかということである。この事件で生じた結果から見ると、「外部侵入者」が行った行為はAPT攻撃ほどでない標的型攻撃だとしてもよいように見える。

なお、プレスリリースでは『弊社調査結果に基づき、株式会社ラックが調査内容の評価とセキュリティの現状把握、ならびに改善策の立案を行いました。その結果、発生原因を前述「3. 本被害の発生原因」の通り結論づけ』たとのことであり、もしラックが発生原因をAPT攻撃であると認識しているのであれば、日本では公表されることが少ないAPT攻撃の事例として、その認識の根拠を公表してもらえればありがたいと考える。

この議論は、chuukai (18189)によって ログインユーザだけとして作成されたが、今となっては 新たにコメントを付けることはできません。
typodupeerror

ソースを見ろ -- ある4桁UID

読み込み中...