近年、標的型攻撃が多く発生しています。標的型攻撃が今までのサイバー攻撃と全く違う点は標的を特定の企業や組織に絞っている点にあります。標的型攻撃は、特定の企業や組織に的を絞って攻撃を行い、ターゲットの機密情報の取得をすることが目的で、目的を達成するためにあらゆる攻撃手段を駆使する事が特徴です。 また、標的型攻撃は攻撃の検知や阻止が難しいと言われています。標的型攻撃とはどのような攻撃なのか、攻撃者の目的は何か?そして対策について考えます。
目次
標的型攻撃の特徴とは?マス攻撃との違い
標的型攻撃がその他の攻撃と異なるのは、攻撃対象が特定の企業や組織に絞られていることです。今までのサイバー攻撃がターゲットを特定せず不特定多数に対して行われ、ウイルスの増殖や攻撃によるシステムの破壊を目的としていたのに対して、標的型攻撃はターゲットを特定して、その対象から「個人情報や機密情報などの財産価値のある情報」を取得することを目的としている点が大きく異なります。
標的型攻撃はさまざまな攻撃方法で情報の取得を試みます。その為の第一歩として、企業や組織内部のシステムに侵入することから始まります。侵入にはいろいろな手口がありますが、標的型攻撃メールと言われる実在する人物や組織を名乗るメールによる侵入がよく知られています。
メールによる攻撃と言えば、これまでのマスを狙った攻撃ではメールに書かれている内容や送信者の署名など気を付ければ攻撃メールであることを見破ることも可能でした。しかし、標的型攻撃メールでは、さまざまな手段により得た情報から実在の人物や部署などをかたってメールが送られてくるため、セキュリティやウイルスに対して注意深い人でさえもついつい添付ファイルを開いてしまい、結果、内部に侵入されるという事態が発生します。
また、ターゲットのセキュリティが堅く、内部の情報がうかがい知れない場合には、ターゲットとなる企業や組織の周辺の組織に対して攻撃を仕掛けます。そして、周辺からターゲットとなる企業の情報を収集した上で、送信者を偽装したメールを送りつけてくる方法さえ考えられます。
攻撃者に一旦侵入されると、感染したPCは組織内部にバックドアを作成し、内部の情報を入念に調査した後、標的としている情報の保管先に攻撃を仕掛けます。
狙った標的となる情報を得るためには様々な攻撃が行われます。たとえば、「ゼロデイ攻撃」や「脆弱性を狙ったマルウェア攻撃」「ファイル偽装」など、旧来から有るさまざまな手段を使い、何ヶ月、何年といったスパンで潜伏し続けるのが特徴です。
どんな方法で侵入するのか?侵入後の攻撃は?
(引用元:独立行政法人情報処理推進機構「標的型攻撃/新しいタイプの攻撃の実態と対策」)
攻撃者がターゲットとなる企業や組織に侵入する手口で、最もメジャーな方法は、ウイルスやマルウェアが添付された標的型攻撃メールを送りつけ、マルウェアに感染させることによる侵入です。標的型攻撃の対象はターゲットの組織の特定の人物やグループなどに限定され、標的型攻撃メールは、実在する組織や人物になりすましメールを送信します。
攻撃者に一旦侵入されると、感染したPCは組織内部にバックドアを作成し、内部の情報を入念に調査した後、標的としている情報の保管先に攻撃を仕掛けます。
メールに添付されているマルウェアやウイルスは、ターゲットの組織で使用されているウイルスチェックのソフトウェアを特定した上で、対象のウイルスチェックで発見されないように巧妙に隠匿されていて、検知することができないことすらあります。
攻撃者に一旦侵入されると、感染したPCは組織内部にバックドアを作成し、内部の情報を入念に調査した後、標的としている情報の保管先に攻撃を仕掛けます。
その他にも「水飲み場攻撃」という方法も侵入方法として知られています。これは、改ざんされたWebページからマルウェアやウイルスをダウンロードさせる方法です。
攻撃者に一旦侵入されると、感染したPCは組織内部にバックドアを作成し、内部の情報を入念に調査した後、標的としている情報の保管先に攻撃を仕掛けます。
攻撃者は、ターゲットの企業や組織の従業員がよく利用するWebサイトを探し、そのサイトへ侵入します。そしてターゲットが実際にそのサイトにアクセスしていることが確認できれば、ウイルスやマルウェアをダウンロードさせるように仕向けます。この時、ダウンロードさせる対象はターゲットの企業や組織からのアクセスに限られるため、発覚しなかったり、発覚が遅れたりすることになります。
攻撃者に一旦侵入されると、感染したPCは組織内部にバックドアを作成し、内部の情報を入念に調査した後、標的としている情報の保管先に攻撃を仕掛けます。
また、目的の企業や組織に侵入後のウイルスやマルウェアは、過度な感染拡大や、感染したマシンへの攻撃は行いません。侵入後、バックドアを開けた後は感染したマシンに長期間にわたり潜んで、情報を収集します。そして、特定の情報にたどり着いたとたんに攻撃を開始し、特定の情報を外部に送信してしまうのです。
過去に発生した標的型攻撃の事例の紹介
では、日本国内における標的型攻撃にはどのような物があったのでしょうか。実際の事例を見ていきましょう。
防衛関連某重工業の場合
日本国内で発生した標的型攻撃の事例で、攻撃の黎明期の物として、防衛関連産業に関わる某重工業の事件があります。
この攻撃は日本で初めてと言っても良いもので、某重工業を含む防衛関連企業に対して2009年以降(2007年から攻撃が始まっていたという説もあり)、標的型攻撃によるなりすましメールなどが送られるようになりました。そして、2011年に防衛関連の重要情報の入ったサーバが攻撃され、一部の情報が外部に流出する事態となりました。この事件では、攻撃が荒削りであったため、機密情報の漏洩には至りませんでしたが、標的型メールによる、いかにもありがちな内容のメールを送りつけることによって攻撃対象の内部に侵入されてしまった典型的な事例です。
某機構の場合
(引用元:株式会社ラック「日本年金機構の情報漏えい事件から、我々が得られる教訓」)
年金業務を行っていた省庁の再編のながれで設立された某機構は2015年に125万件の個人情報の流出を許してしまいました。この事件の場合も事件の発端は、組織内部の連絡メールを装った標的攻撃型メールによる物でした。この事件に使用された偽装メールはとても巧妙に作られており、議事録を装った本文にダウンロードリンクからダウンロードされる圧縮ファイルを開くと、WordやPDFに偽装されたexeファイルが解凍される仕組みになっていました。
この事件の場合、ウイルス感染後の対応がまずかったことや、個人情報をネットワーク上にパスワードもかけずに置いておいたなどのミスなどが重なり、その結果として大量の個人情報の流出という事態が発生しました。
このように、標的型の偽装メールは段々と巧妙になっている事がわかります。
標的型攻撃に遭わないために。入口対策と出口対策
では、増え続ける標的型攻撃を受けずに済むためにはどのようにすれば良いのでしょうか。それには、そもそも標的型攻撃メールの添付ファイルを開かないようにする「入口対策」と、万が一侵入された場合に情報を流出させない「出口対策」の二つの対策が考えられます。
標的型攻撃メールを開かない「入口対策」
標的型攻撃メールは、実在の人物やその肩書きを名乗ってメールが送信されます。しかし、その特徴として、送信元メールアドレスがフリーメールであることが分かっています。また、添付ファイルもファイル名を偽装して、あたかも文書ファイルであるように装っている場合があります。
(引用元:独立行政法人情報処理推進機構「標的型攻撃メール〈危険回避〉 対策のしおり」)
そして、入口対策とは、もちろんウイルス対策を万全にしておくことは当然として、フリーメールから送信されたメールを警告するような仕組みの導入も対策として検討できます。 しかし、何よりも大事なのは不審なメールを見分けることができるよう、日頃から社員に教育を行う事、万が一不審なファイルを開いてしまった場合でも、すぐにネットワークを抜線するなどの対応を行うように教育する事が重要です。
侵入されてもデータを漏洩させないための「出口対策」
万が一侵入されてしまった場合、気付かないままにデータを外部に転送されることは避けなければなりません。運用でカバーすることのできるファイアーウォールの設定変更から、ネットワーク全体の設計変更を伴う対策までさまざまな対策が考えられます。(参考:IPA『新しいタイプの攻撃』に向けた設計・運用ガイド) 最近では、最新型のファイアーウォールには標的型攻撃に対応した機器も存在します。
その様な最新機器の導入は難しくても、個人情報や機密情報はインターネットに接続しているネットワークと隔離する。機密情報を保持するサーバのセグメントを分離して、専用のファイアーウォールを設置するなどは十分有効な対策といえます。
次の標的は?標的型攻撃対策に終わりはない
このように、標的型攻撃は年々巧妙化してきており、しかも根本的な対策がない状態となっています。標的型攻撃によってIDやパスワードが盗み取られることももちろん考慮しておく必要があります。自分の会社が狙われることはないだろうなどと油断せずに、常に警戒し、地道ではありますが、準備を怠らないことが重要です。例えばIDパスワードだけに頼らずに二要素認証を導入することなどを積極的に検討し、セキュリティの強度を上げる事によって標的型攻撃にさらされた際のリスクを回避することができるようにしておくことが重要です。