ホーム > 情報セキュリティ > 「標的型」はなぜ「スピアー」なのか?

「標的型」はなぜ「スピアー」なのか?


6月21日JPCERT/CCから「標的型攻撃について」と題したレポートが発表されている。このレポート自体はこれまで一部の事例のみが語られていた日本における標的型攻撃の実態について明らかにしたものであり、大変意義のある試みと思われる。(文中CSIRT協議会が登場するあたりは多少強引な感もあるが・・・)

この中でJPCERT/CCは英語の「Targeted Attack」に相当する表現として「標的型攻撃」という訳語を用いている。

“標的型攻撃”の呼び名について
“Targeted Attack”という言葉は標的攻撃、 スピア型攻撃、 スピアー攻撃、 ターゲッ
トアタックなど様々に翻訳されている。本文書では”標的型攻撃”という訳語を用いる。
この表現が比較的定着しており、 初見でも漢字から内容を類推することが容易と思
われるからである。

(「標的型攻撃について」JPCERT/CC, 2007/6/21)

これは、特定の組織等を攻撃対象として行われる「フィッシング攻撃」を意味する「スピアフィッシング攻撃」との混同を避け、「Targeted Attack」の正確な意味が伝わるように配慮がなされているものと推察される。実際同レポートでは「スピアフィッシング攻撃」について以下のような記載が行われている。

「たとえば標的となる組織に特化した差出人や文章を使ったフィッシングを”スピアフィッシング”というが、 これは限定度が高く、 検知が難しい標的型攻撃の1つである。」

(「標的型攻撃について」JPCERT/CC, 2007/6/21)

レポートでは標的型攻撃を「スピアフィッシング」「関係者を装った社員宛のウィルスメール」「『DoSをしかける』という脅迫メール」の3つに分類をしており、「スピアフィッシング」は「標的型攻撃」の一つのタイプとして位置づけられている。

ちなみに欧米では日本で言われるTargeted AttackはTargeted Trojan-horse attackまたはTargeted Trojan attackという形で使われることが多く、この場合「トロイの木馬」を用いた攻撃を意味する。「関係者を装った社員宛のウィルスメール」がTargeted Trojan-horse attackなのかどうかは不明だが、「『DoSをしかける』という脅迫メール」がTargeted Attackと呼ばれることは少ないように思う。

さて、このレポートの内容について日経IT Proが記事として紹介しているのだが、JPCERT/CCが「標的型攻撃」としている事項について、全て「スピア-攻撃」として言い直して記載している。また文中には、

「スピアー攻撃とは、特定の企業や組織を狙った攻撃のこと。標的型攻撃とも呼ばれる。」

(「『国内企業もスピアー攻撃の標的に』――セキュリティ組織が調査」, 日経IT Pro, 6/21)

とわざわざレポート本文とは逆順に用語の定義が行われている。JPCERT/CCが吟味した用語の用法が台無しである。日経IT Proでは過去に「スピア攻撃と闘う」と題した記事の中で、下記のように「スピア攻撃」という用語について明示的に使用の方針を示しており、社内での用語の統一を保つ必要からやむを得ないのかもしれない。

「特定のユーザーや組織を狙った攻撃」は,海外では「Targeted Attack」と呼ばれ,スピア攻撃(Spear Attack)と呼ぶのは日本だけである。しかしながら,国内ではスピア攻撃のほうが現時点では一般的だと考えられるので,本稿では「スピア攻撃」とする。

(「スピア攻撃と闘う」, 日経IT Pro, 2006/9/29)

もっとも「スピア攻撃」だったり「スピアー攻撃」だったりするのでそれほど厳密に意識しているわけでもなさそうだ。

最近のセキュリティ業界関係者の発言を聞く限りでは「スピア(ー)攻撃」という用語を単独で使用することはほとんど無く、大抵「ターゲテッドアタック」や「標的型攻撃」などの他の表現と合わせて使用されている。「スピア攻撃」が一般的というのは現在では当てはまらないのではないか。

そもそも誰が言い出したのか分からない「スピア(ー)攻撃」などという紛らわしい用語を使用しなければ、すっきりすると思うのだが、何かこの言葉を使用しなければならない特別な理由があるのだろうか?

(追記)ふと考えたのは、メディアでは「標的型攻撃」と書くよりも「スピアー攻撃」と書いた方がキャッチーで注目を浴びやすいという理由があるのかもしれない。

(参考情報)
■標的型攻撃について(PDF)(JPCERT/CC, 2007/6/1)
http://www.jpcert.or.jp/research/2007/targeted_attack.pdf

■「国内企業もスピアー攻撃の標的に」――セキュリティ組織が調査(日経 IT Pro, 6/21)
http://itpro.nikkeibp.co.jp/article/NEWS/20070621/275523/

■今週のSecurity Check(第177回) スピア攻撃と闘う(ITPro, 9/22)
http://itpro.nikkeibp.co.jp/article/COLUMN/20060922/248805/

■「スピア型攻撃」より「標的型攻撃」が良いのではないでしょうか?(武田圭史, 2006/10/2)
http://motivate.jp/archives/2006/10/post_102.html

■「スピア型攻撃」は日本独自の表現?(武田圭史, 2006/7/19)
http://motivate.jp/archives/2006/07/post_96.html

カテゴリー: 情報セキュリティ タグ:
  1. 2007 年 6 月 27 日 13:32 | #1

    日経の気になるあの記事

    気になるあの記事をまとめてみました!2ちゃんねる 書き込み多いのは12−19歳 日経調査書き込んだことないな〜。(続きを読む)
    「日経」って、、今日は「…

  2. とおりすがり
    2007 年 6 月 28 日 15:40 | #2

    参考情報が新しいですが、自分の記憶ではスピア型と聞いたのはラック関係の資料だった気がしました。
    そこで調べてみたら2005年末に使われていますし、自社セミナーのページでも使っていますね。
    おそらく、ここから「スピアフィッシング」は「標的型攻撃」のごく一部ではなく等価だと、
    あっさり理解できる解釈をしたのではないでしょうか。
    高木先生の、「素人が勝手に言い換えを決めた」とは若干ニュアンスが異なるのではないかと。

    「2005年は“スピア型”攻撃とボットの脅威が顕在化」—ラック新井担当部長
    http://itpro.nikkeibp.co.jp/article/NEWS/20051217/226405/

    三輪信雄 ラック代表取締役 社長 スピア攻撃に有効な対策はない(047p)
    http://bpstore.nikkeibp.co.jp/mokuji/ncc468.html

    「2007年は,脅威の『見えない化』がさらに進む」—ラック新井担当部長が予想
    http://itpro.nikkeibp.co.jp/article/NEWS/20061214/256921/

    ラック セミナー・トレーニング情報
    http://www.lac.co.jp/news/seminar_training/shosai/0704/070425.html

    はてブ HiromitsuTakagi 素人が勝手に言い換えを決めた挙句、自分達が世間の代表だと思ってる。
    http://b.hatena.ne.jp/entry/http://motivate.jp/archives/2007/06/post_133.html

  3. keiji
    2007 年 6 月 29 日 00:23 | #3

    とおりすがりさん

    コメントと情報提供ありがとうございます。LACの新井さんは下記記事の中で、「このまま『スピア』を使い続けていると、のちのち弊害を生みかねない気もしてきた。」「今後は標的型攻撃(Targeted Attack)と呼ぶことにしたい。」と発言されています。

    ■ITセキュリティのアライ出し(4) 標的型攻撃に関する一考察(1) – 0-day Exploit利用形の頻発
    http://journal.mycom.co.jp/column/itsecurity/004/

    これが書かれたのは2006/08/09ですが、とおりすがりさんが参照している下記の記事は同じ新井さんが2006/12/14の説明会で話された内容に基づくものです。この記事の中でも「スピア攻撃」という用語が何度か出てきます。ついつい新井さんの口から出たのかもしれませんが、今回のように「標的型攻撃」という言葉が記事になる過程で変換された可能性もあります。

    ■「2007年は,脅威の『見えない化』がさらに進む」—ラック新井担当部長が予想
    http://itpro.nikkeibp.co.jp/article/NEWS/20061214/256921/

    この記事の中で「ほとんどの場合,スピア攻撃は修正パッチが未公開の脆弱性を突く『ゼロデイ攻撃』である。」と書かれていますが、本エントリーでも書いているように「Spear Phishing Attack」と「Target Trojan Attack」を区別する上で非常に紛らわしい記載となっています。

    それぞれの攻撃では発生するリスクも対策も全く異なります。メディアの影響力を考えれば適切な用語を使用するにこしたことはありません。

    情報セキュリティの分野は日々新しい攻撃手法や概念、技術などが現れます。技術者や研究者が漠然とした脅威について分析や対応を進めていく過程で新たな発見があったり用語の定義が徐々に変化していくということもよくあります。誰が悪いとかではなくその時々の状況に応じて適切な用語を使用すればよいと思います。

    メディアでは一度使った用語の定義はなかなか変えにくいのかもしれませんが、情報源となっている組織が定義し使用する言葉をもう少し尊重してもよいのではないでしょうか。

  4. とおりすがり
    2007 年 6 月 29 日 11:46 | #4

    コメント掲載とフォローありがとうございます。

    なんとなくLACだけ、日経だけとは思えなかったので、もうちょっと詳しく調べてみました。
    すると、トレンドマイクロ、ISS、アークンなどで「マス型に対してスピア型」という文脈で使っていました。
    それらは、確かに「標的を絞る攻撃=スピア」と認識可能かも知れないと感じました。
    単語の詳細は調べても、体系的な位置づけまで気が回るのは専門的メディアでないと難しいはずです。

    >「Spear Phishing Attack」と「Target Trojan Attack」を区別する上で非常に紛らわしい記載

    「マス型に対してスピア型」という区別の時点では専門家も考えていなかったのでしょうね。
    日経だけが勝手に読み替えたわけでなく、毎日コミュニケーション、ソフトバンクも使っているという事は、
    どこかで配布された権威がある組織のホワイトペーパーの言葉を転記しただけの可能性がある。
    武田先生が追記している「キャッチーで注目を浴びやすいという理由」というのは実に当たっていて、
    その主体はセキュリティコンサルティング業界だったのではないか?と考えています。

    >メディアの影響力を考えれば適切な用語を使用するにこしたことはありません。

    「2006年頃は、この言葉は~な意味だけ or ~な意味全般を指したが今では~として使う」
    のように煩わしくなっても注釈を入れて貰えると一層理解が深まって良いかもしれませんね。
    メディアに対して一般読者、セキュリティコンサルタントに対して偉い人が「要するに何なんだ」と、
    そういうニーズもあって「どっちかというと」「要するに」「あれのようなもの」という、
    大まかな定義やキャッチーな定義に走らざるを得ない事情があって大変なのかも知れませんけど。

    【IT Pro】
    「攻撃はマス型からスピア型へ,日本産ソフトも狙われる」
    http://itpro.nikkeibp.co.jp/article/NEWS/20060907/247469/
    http://blogs.itmedia.co.jp/keiji/2006/09/post_957b_1.html

    【トレンドマイクロ】
    >最近の不正プログラムの傾向として、不特定多数を狙うマス型から特定の標的を狙うスピア型への変化が大きな特徴
    http://jp.trendmicro.com/jp/threat/security_news/monthlyreport/article/20070219083814.html
    >不正プログラムの攻撃は、昨今では不特定多数を狙うマス型の攻撃より、標的を絞ったスピア型が増加傾向にあります。
    http://jp.trendmicro.com/jp/about/company/trendlabs/tl_virus/index.html

    【マイコミジャーナル】
    インターネットセキュリティシステムズ(ISS)の高橋氏
    >「(マルウェアやボットを)大量にばらまくマス型として考えるか、標的を絞るスピア型として考えるかで異なる」と語る。
    >続けて、「ボットはどちらかと言うとスピア型だ」とつけ加えた。
    http://journal.mycom.co.jp/news/2006/07/20/381.html

    【ITmedia】
    アークンの渡部章代表取締役
    >攻撃の標的は、無差別なもの(マス型)から特定の標的を狙うもの(スピア型)に変わってきた。
    http://www.itmedia.co.jp/bizid/articles/0702/15/news113.html

  5. keiji
    2007 年 7 月 7 日 08:36 | #5

    とおりすがりさん

    コメントの確認が遅くなってしまい申し訳ありませんでした。

    今回のエントリーでは、メディアがスピア型という表現を使っているということ自体ではなくて、今回JPCERT/CCが「権威がある組織のホワイトペーパーの言葉」として「標的型」という用語を意識して使用しているにも関わらずこれを報道の際に「スピア型」と変換されると、いつまでも誤用がなくならないばかりか、後々JPCERT/CCもスピア型といっているのだからと参照されるおそれもありさらに誤解が広まることを懸念しています。

    前のコメントにも書いていますが、私は誰が悪いかというようなことを指摘するつもりはありません。ある時点ではベンダーの人たちもメディアも誤った用語を使用していたのは事実でしょう。ただ今後は、スピア型という用語は使い続けない方が良いと思っています。

    メディアが使用すれば、ベンダーでもそれを見て「スピア型」という用語をよく考えずに使用するケースも出てくることになり、悪循環に陥ります。結果、「標的型(スピア型という人もいる)」とか「スピア型(正確には標的型)」とか言わなくとならなくなり、かえって面倒なことになるかともいます。

  1. トラックバックはまだありません。

CAPTCHA