経団連へのサイバー攻撃があったとされるのは2016年。当時の会長室にはLANが設置されておらず電子メール等はなさっていなかったようなので会長のメール盗聴はなかったのだが、国際関係の部署に侵入されて日中間の政策に関する情報が狙われたと今年某大手紙が報じた。
聞くところによると、侵入して情報をかすめとるなどするには8段階のプロセスがあるらしい。僕の推測も交えてそのプロセスを並べてみると、
(1)偵察
対象システムの構成や狙う獲物のありか、扱っている人たちの状況などを探る。
(2)武器化
(2)武器化
侵入を果たすためのウィルス等の攻撃手段を構築する。
(3)配送
(3)配送
ウィルスを秘めたメールなどで上記の武器を送り込む。
(4)攻撃
(4)攻撃
送り込まれた武器(防御壁の中から鍵をあける役割)が対象システムで稼動する。
(5)インストール
(5)インストール
鍵があけられて目的とする情報にアクセスする第二弾の武器が送り込まれる。
(6)遠隔操作
(6)遠隔操作
第二弾の武器が外部からの指令で動き、獲物に迫る。
(7)侵入拡大
(7)侵入拡大
複数ある防御壁でも上記の繰り返しで破ることが出来る。
(8)目的実行
(8)目的実行
獲物をGETし、痕跡等を消しながら去る。
のような具合。某紙の記事には経団連を襲ったウィルスは2年潜伏していたとあるが、これだけのプロセスを経るのであればそのくらいの期間はかかってもおかしくない。またこのように技術も手間もかかる攻撃をするためには、ある程度組織的(国家的?)なバックアップが必要だ。
こういう高度な攻撃を仕掛けてくる集団をAPT(Advanced Persistent Threat)と呼ぶ。記事で取り上げられたAPT10というのは10番目に発見された集団で、中国人グループだという。
<続く>