標的型攻撃とは?
標的型攻撃とは、目的を明確に持ったうえで特定のターゲットにサイバー攻撃を行う攻撃手法です。
日本では高度サイバー攻撃のひとつと定義されており、海外ではAPT(Advanced Persistent Threat)と呼ばれています。
代表的な手口の特徴は、下記の通りです。
- 攻撃対象となる企業の従業員に、取引先や関係機関、顧客を装ってメールを送信
- メールにはマルウェアが添付されており、ファイルを開くと感染する
- 従業員と信頼関係を築くために、何度かやりとりする場合がある
- 攻撃者は感染したパソコンを経由して企業のネットワークに侵入して、機密情報を盗む
マルウェアは拡散を目的とする場合でも活用されますが、標的型攻撃で相手を絞り込むことによって、感染させる精度を高めています。
標的型攻撃の目的
標的型攻撃の目的は、対象者への嫌がらせ・盗んだ情報をもとに金銭的利益を得ることです。
攻撃対象となった企業・団体の知的財産や従業員の個人情報などを盗むことで、経済的な被害だけでなく組織としての致命的な損失を与えます。
平成27年には標的型攻撃によって、日本年金機構が保有する年金情報が125万件以上も流出しました。
ほかにもWebサイトを改ざんしたり、サービスを停止したりする例もあります。
標的型攻撃は、企業・団体の存続に関わるほどの被害を与えるため、適切な対策が必要です。
従来型攻撃との違い
従来型攻撃が標的型攻撃と大きく違う点は、攻撃対象が決まっているかどうかです。
そのほかの違いとしては、下記があげられます。
- 不特定多数を対象に攻撃する
- 対象にされても気づきづらい
従来型攻撃で使用されるマルウェアには、ウイルスやトロイの木馬、ワームなどがあります。
ほかには、身代金を要求するランサムウェアも有名です。
こちらの記事では、マルウェアの特徴や種類、感染するとどうなるかについて解説しているので、ぜひ参考にしてください。
標的型攻撃の手法
ここまで、標的型攻撃の特徴や目的、従来型攻撃との違いをお伝えしました。
続いて、標的型攻撃の手法を解説します。
- 標的型攻撃メール
- 水飲み場攻撃
- ゼロデイ攻撃
- 潜伏型・速攻型
ひとつずつ解説していきます。
標的型攻撃メール
標的型攻撃メールとは、特定の企業もしくは個人を狙って知的財産や個人情報を盗もうとするメールです。
不審に思われないように、業務関係のメールに偽装するなど巧妙な手口を駆使しています。
標的型攻撃メールの特徴は、下記の通りです。
- 本物のメールと区別がつきにくい
- セキュリティソフトのチェックを通って対象者に届く
そのため、標的型攻撃メールと気づかず添付ファイルを開封、または記載されているリンクへアクセスしてしまいます。
添付ファイルやリンクへアクセスすると、ウイルス感染や遠隔操作ウイルス、情報漏洩などの被害を被るでしょう。
近年は、実際に取引のある企業を装ってメールが送られる事例が増えており、注意が必要です。
水飲み場攻撃
水飲み場攻撃とは、対象者が頻繁にアクセスするWebサイトに不正プログラムを仕込んでおき、ウイルスやマルウェアをダウンロードさせる標的型攻撃の一種です。
名前の由来は、水飲み場で待ち伏せしているライオンの獲物を狩る姿に似ていることから名付けられました。
水飲み場攻撃の特徴は、下記の通りです。
- IPアドレスで判別して攻撃するので、攻撃の痕跡が残らない
- 対象者の習慣を利用しているため、攻撃のリスクを感じさせない
対象者の情報を集めたうえでWebサイトを改ざんするため、高等な技術による攻撃方法といえるでしょう。
実際に、アメリカの政府機関サイト「Site Exposure Matrices」も攻撃対象になりました。
ゼロデイ攻撃
ゼロデイ攻撃とは、ソフトウェアの情報公開や対策が講じられる前にセキュリティホールを狙う攻撃です。
脆弱性を解決するより前に攻撃が行われるため、「ゼロデイ」と呼ばれています。
また、ゼロデイ攻撃で脆弱性を狙われやすいプログラムは、下記の3つです。
- OS
- Webブラウザ
- サーバーソフトウェア
攻撃を受けることで、VPNに不正アクセスして認証情報を盗み取ったり、マルウェアに感染させて顧客情報を盗んだりします。
こちらの記事では、セキュリティ対策として活用されている脆弱性ツールを選ぶポイントや20個のツールを紹介しているので、ぜひ参考にしてください。
潜伏型・速攻型
標的型攻撃には、潜伏型・速攻型の2種類があります。
それぞれの特徴は、下記の通りです。
| 特徴 | |
| 潜伏型 |
|
| 速攻型 |
|
2つのタイプでは、被害に遭うまでの時間と気づきやすさが異なります。
標的型攻撃の流れ
ここまで、標的型攻撃の手法をお伝えしました。
続いて、標的型攻撃の流れを解説します。
- 初期潜入を行う
- 攻撃基盤を構築する
- システム調査を行う
- 攻撃を遂行する
ひとつずつ解説していきます。
初期潜入を行う
標的攻撃の流れは、まずは攻撃者が対象企業・団体を調査したあと、初期潜入を行います。
攻撃者は、「ファイル添付」「URLのクリック」を促すための偽装メールを送ります。
偽装メールの特徴は、下記の通りです。
- ファイルやURLには不正プログラムが仕込まれている
- クリックと同時にプログラムが実行されて、パソコンがマルウェアに感染する
受信したメールやWebサイトは表面的に不審な要素がなく、内容も疑う点はありません。
また、確実に感染させるためのマルウェアが仕込まれている場合、セキュリティ対策ソフトでも検知できないので、標的型攻撃を行うためにマルウェアを作成する攻撃者も存在します。
攻撃基盤を構築する
初期潜入が行われたら、攻撃基盤の構築に移ります。
標的型攻撃における基盤とは、対象者の情報を盗み、攻撃者の目的を達成できる環境を準備する期間です。
基盤を構築する際には、下記の2つが行われます。
- 侵入先の入口となるバックドアを設置する
- 攻撃者のサーバーと対象者で通信できる環境を整える
バックドアが設置されても対象者側には変化が見られないため、攻撃を受けていることに気づけません。
不正プログラムは攻撃者のサーバーと水面下で通信を行い、ウイルスやマルウェアをデバイスに送り込みます。
システム調査を行う
攻撃基盤を構築したら、システム調査を行います。
標的型攻撃は対象だけでなく、盗み取る情報も特定できる点が恐ろしいです。
一般的なウイルスであれば、データを無造作に盗んでいきます。
しかし標的型攻撃の場合、下記の手順で攻撃が行われます。
- 不正プログラムがネットワーク内を検索する
- 対象となる情報の保存場所を特定する
- ID・パスワードを盗んで、感染範囲をさらに拡大させる
つまり情報を盗むために、着実に保存場所を特定することが目的といえるでしょう。
攻撃を遂行する
システム調査を行ったら、標的型攻撃を遂行します。
攻撃を遂行するための手順は、下記の通りです。
- 盗み出した情報を攻撃者のサーバーに送信する
- 対象者が情報を保存している場所に、ウイルスを送り込む
また構築したバックドアを利用して、情報を改めて盗む場合もあります。
さらにウイルスが潜伏型・速攻型によって、被害に遭うまでの時間が異なる点にも注意が必要です。
もし標的型攻撃を受けてしまった場合は、できるだけ早く異変に気づき、情報が盗まれる前に対処しましょう。
標的型攻撃への対策
ここまで、標的型攻撃の流れをお伝えしました。
続いて、標的型攻撃への対策を解説します。
- 不審なメール・ソフトを開かない
- OS・ソフトウェアを更新する
- 従業員へのセキュリティ教育を行う
- ウイルス対策ソフトを活用する
- 出口対策を徹底する
ひとつずつ解説していきます。
不審なメール・ソフトを開かない
標的型攻撃への対策のひとつは、不審なメール・ソフトを開かないことです。
侵入経路として最も多いメールを介して、ウイルスが組み込まれた添付ファイルが送られたり、Webサイトのリンクをクリックさせたりします。
具体的に行える対策は、下記の2つです。
- メールを送受信する際は、ウイルスチェックのフィルターを通す
- 不審なファイル・リンクは絶対にクリックしない
添付ファイルに関しては、拡張子が「.exe」になっているものに注意しましょう。
また人為的なミスを減らすために、社内ルールの明確化や管理体制の強化が求められるでしょう。
OS・ソフトウェアを更新する
標的型攻撃は、OS・ソフトウェアを更新して最新状態に保つことで対策できます。
ウイルスはソフトウェアやデバイスの脆弱性をついて侵入するので、OSとソフトウェアの更新は重要です。
ちなみに脆弱性を認識してから解消するまでの期間で、「ゼロデイ攻撃」が実行される恐れもあります。
ゼロデイ攻撃への対策は、下記の2つです。
- 修正パッチが配布されたら、すぐにインストールする
- 関連機関や開発元が発表する一時対策を実施する
また、従業員数が多い企業は最新状態の管理が大変なので、IT資産ツールの活用も有効です。
こちらの記事では、外部からの不正アクセスや情報漏洩を防ぐシステム「ファイアウォール」の基本機能や3つのタイプを紹介しているので、ぜひ参考にしてください。
従業員へのセキュリティ教育を行う
従業員へのセキュリティ教育も、標的型攻撃の対策には重要です。
実際に研修を行う際は、下記について取り扱いましょう。
- 典型的な手口
- セキュリティに関する知識
- 社内のデバイスの取り扱い方法
- 標的型攻撃の対象になった際の対処法
ほかには、擬似的に作成した標的型攻撃メールを送信して、従業員の対応を確認する方法もあります。
また、従業員教育を専門家に依頼することで、標的型攻撃を実践的に学べるでしょう。
ウイルス対策ソフトを活用する
標的型攻撃への対策として、ウイルス対策ソフトの活用があげられます。
インターネット上の脅威を防ぐには、ログを監視するだけでなく強度なセキュリティソフトが必要です。
ウイルス対策ソフトを選ぶ際のポイントして、下記の2つがあります。
- 自社のセキュリティにおける弱点を明らかにする
- セキュリティの弱点を補強できるソフトを選ぶ
特に入口対策として、メールのフィルタリングサービスやウイルス対策ソフトは活用すべきです。
しかし、それらだけで十分な対策ができたとは言えません。
「.exeファイルは開かない」「ソフトウェアは常に最新にする」といった社内ルールも徹底しましょう。
出口対策を徹底する
標的型攻撃には、侵入後の被害の発生を防ぐ出口対策を徹底しましょう。
出口対策の役割は、攻撃を許した後の情報を外部に流出させない役割があります。
具体的な対策例は、下記の通りです。
- 外部への不審な通信を遮断する
- 通信データをパケットレベルで保全する
- 日常的にサーバーやアプリケーションのログを取得する
特にログの取得は、「いつ・どこで・誰が・何を・どれだけ」といった原因を追求する際の重要な情報です。
また情報が流出してしまった場合でも、データを暗号化することで情報へのアクセスを遮断できます。
標的型攻撃に気づいたときはどうすればいいのか
標的型攻撃に気づいた際は、企業内にあるどの部門へ連絡すべきか事前に決めて周知しましょう。
連絡を受け取った部門は迅速かつ適切に対応できるように、日頃から下記を準備しておきます。
- 初動の対処についた対応策を決めておく
- 研修や訓練を通じて、事故に備えておく
ほかにも流出情報の確認や感染端末の特定、再発防止策を実施する際に、外部機関へ協力を仰ぐ場合もあるでしょう。
そういった機関との連絡方法や手段についても、事前に把握する必要があります。
被害を最小限に抑えるには、初動でいかに処理できるかが重要です。
まとめ
今回は、標的型攻撃の特徴や主な手法、対策について解説しました。
標的型攻撃とは、目的を明確に持ったうえで特定のターゲットにサイバー攻撃を行う攻撃手法です。
また、手法として下記の4つがあるとお伝えしました。
- 標的型攻撃メール
- 水飲み場攻撃
- ゼロデイ攻撃
- 潜伏型・速攻型
ほかにも、初期潜入から攻撃遂行までの流れも把握しておきましょう。
本記事でお伝えした「不審なメール・ソフトを開かない」「出口対策を徹底する」なども参考にして、標的型攻撃への対策を行ってください。
【SNSフォローのお願い】
kyozonは日常のビジネスをスマートにする情報を毎日お届けしています。
今回の記事が「役に立った!」という方はtwitterとfacebookもフォローいただければ幸いです。
twitter:https://twitter.com/kyozon_comix
