報道によれば、6月18日、大手セキュリティ・ベンダーのマカフィーは、「特定の企業や組織を狙うサイバー攻撃(標的型攻撃)に関する分析レポート」を公開した。
2009年末から今年初めにかけて米Googleなどが狙われた攻撃を例に、手口と対策を解説している。
この攻撃は米国の大手IT企業数十社が標的になり、ソースコードなど知的財産に関する機密情報が第三者に侵害されたものである。
セキュリティ業界では通称「Operation Aurora(オーロラ作戦)」として知られており、同社は攻撃の発生直後から捜査当局に協力している。
(これはOperation Auroraの仕組みを図解したものだ↑。)
マカフィーによると、攻撃は以下のプロセスで仕掛けられたという。
標的となったユーザーに「信頼できる」ソースからメールまたはインスタントメッセージでリンクが届く。
ユーザーがリンクをクリックし、悪意のあるJavaScriptペイロードが含まれたWebサイトにアクセスする。
ユーザーのWebブラウザ上で脆弱性を悪用するコードが実行されることにより、悪意のあるJavaScriptのダウンロードが勝手に行われ、実行されてしまう。
脆弱性を悪用するコードによって、不正サイトのサーバからのイメージデータに偽装されたバイナリがダウンロードされ、このバイナリが悪意のあるペイロードを実行する。
ペイロードがバックドアをセットアップして、コマンドサーバと制御サーバに接続する。
攻撃者が標的とする企業の内部システムを乗っ取る。内部システムからネットワークやソフトウェア構成管理システムなどに不正アクセスできるようになり、知的財産のソースを侵害する。
以上が、攻撃の手口だ。
これらの分析結果から、「攻撃者はソースコードリポジトリーを最大の標的にしており、ソフトウェア技術者やQA技術者などソフトウェア構成管理システムに携わる従業員のシステムを乗っ取ろうとしていた。」ということが分かった。
また、「知的財産を格納するシステムにセキュリティ対策が講じていない企業も目立つ。」というのだから、企業としてのあり方にも問題がある。
マカフィーは対策として、「企業内に存在する知的財産を把握し、脆弱性やシステム構成の弱点などを評価すること、重要情報を格納するシステムに厳重なセキュリティ対策を講じること。」を推奨している。
また、「従来の標的型攻撃で狙われるのは政府機関が中心だったが、現在では民間企業にも及ぶようになっているので、セキュリティ対策が必要不可欠だ。」と警鐘を鳴らしている。