インターネット技術が飛躍的に進化している現代では、サイバー攻撃が増加・巧妙化し、サイバーセキュリティ対策の重要性が一段と高まっています。数ある脅威の中でも危険性が高いとされ、注目を集めているのが「標的型攻撃」です。
この記事では、この標的型攻撃の特徴、無差別型攻撃やAPT攻撃との違い、手口や種類、攻撃が行われる主な流れ、対策方法や被害事例について解説し、その被害を最小限に抑えるための方法を探ります。
標的型攻撃とは
標的型攻撃は、特定の個人や組織を狙って行われる、メールやWebサイトを通じてマルウェアなどの不正なプログラムを感染させるサイバー攻撃の一種です。
この攻撃は従来までの広範な攻撃とは異なり、高度な技術や綿密な情報収集から非常に巧妙に仕掛けられます。
また、標的型攻撃の手口や手法は巧妙化を続けており、対策は後手に回ることになりがちです。したがって、標的型攻撃の手法や危険性を理解し、最新の対策を施すことは、情報社会を生きる我々にとってますます重要になってきています。
「未経験からでもホワイトハッカーになれる!」実践的セキュリティスクール「セキュ塾」
- サイバーセキュリティ技術者育成コース(2024年10月生募集中)
- ホワイトハッカー育成コース(2024年8月生募集中)
標的型攻撃の目的
標的型攻撃の主な目的は、攻撃対象から機密情報を盗み出すことや、盗み出した情報をもとに金銭的な利益を得ることです。また、一部の攻撃は政治や社会的な動機、特定の企業や組織に対しての私怨目的で行われる場合もあります。
これらの攻撃は、業務やサービスの一時的または恒久的な停止、情報漏洩やマルウェア侵入による信頼失墜などの深刻な被害を企業や組織にもたらします。
下記リストは標的型攻撃の主な目的のまとめ。
- 機密情報や個人情報を盗み出すため
- 金銭的な利益を得るため
- 個人的な恨みによる嫌がらせ
- 政治的・社会的な動機
利用価値の高い情報を保有している企業や組織が狙われやすい傾向にあるみたいですね
APT攻撃との違い
よく混同されがちな「標的型攻撃」と「APT攻撃」の違いは、攻撃の目的や手法の複雑さにあります。
APT攻撃の特徴として、主目的は重要な情報そのものにあり、国家や企業などの保有する重要な情報を盗み出したり、データを改竄する攻撃です。
また、APT攻撃の手法は標的型攻撃と比較しても巧妙で、複数の手法を駆使して行われる攻撃であるため、より高度な技術が必要とされます。
重要情報を目的とした攻撃であるという性質上、国防関連組織や大手企業などが標的にされる傾向があります。
無差別型攻撃(ばらまき型攻撃)との違い
標的型攻撃と無差別型攻撃の違いは、その攻撃手法と目的、ターゲットの有無にあります。無差別型攻撃は、セキュリティホールを利用して、幅広い対象に向けてその名の通り無差別に行われる攻撃で特定のターゲットを持たないことが特徴です。
これに対して、標的型攻撃は特定の個人や組織をターゲットにして、明確な目的をもって行われる攻撃です。標的型攻撃は計画的で巧妙な手法を用いるため、通常のサイバーセキュリティ対策では防ぎきれないことが多いです。
ターゲットを絞って攻撃する標的型攻撃に対応することは容易なことではありません。
標的型攻撃の手口・種類
標的型攻撃の手口は、ターゲットの端末にマルウェアなどの不正なプログラムを感染させ、情報の盗み出しなどを行います。また、この標的型攻撃は「速攻型」と「潜伏型」の2種類に大別されます。
速攻型は、侵入後に短時間で攻撃を実行し、即時の影響を与える攻撃手法のことです。その性質上、影響が即座に現れるため、比較的早期に発見されることが多いことが特徴です。
一方で潜伏型は、サイバー攻撃者が長期間にわたってシステム内に潜入し、ゆっくり慎重に目的達成のための足がかりを築く攻撃手法のことです。影響が表面化するまでに時間がかかりやすく、発見が遅れやすいことが特徴です。
ここでは、標的型攻撃の代表的な手法を解説していきます。
現実の病気と一緒で、マルウェア感染も早期発見が重要です!
標的型メール攻撃
標的型攻撃メールは、標的型攻撃の最も代表的な手法で、特定の個人や組織を狙って送信される電子メールを使った攻撃です。このメールには、マルウェアなどの不正なプログラムが埋め込まれた添付ファイルやリンクが含まれており、ターゲットを感染させて、システムに侵入することや機密情報・個人情報を盗み出すことを目的としています。
また、攻撃に使われるメールは送信者や題名、内容、添付されているファイル名などに、事前に調査した社内情報や個人情報を利用し、ターゲットが一見信頼できるようなものに偽装されている場合があります。
下記が「標的型メール攻撃」の主な流れです。
- 攻撃対象の様々な情報の調査(システムの脆弱性、メールアドレス、認証情報、普段のやりとり など)
- 攻撃対象の構成員宛てに、調査した情報をもとに偽装された標的型攻撃メールが届く
- 攻撃対象者がリンクを踏んだり、添付ファイルを開封してマルウェアに感染する
注意したからと言って全部防げるわけではありませんが、リンクや添付ファイルには注意するようにしよう!
水飲み場攻撃
水飲み場攻撃は、攻撃対象がよく訪れるWebサイトを調査し、侵入できるWebサイトに不正なプログラムを組み込み、そのWebサイトへの訪問などからマルウェアに感染させる標的型攻撃の一種です。
自分が狙われていることに気づくことが非常に難しく、Webサイトへの訪問などから発生する攻撃なので回避することは困難です。
自然界で肉食獣が獲物を捕らえるために、水飲み場で待ち伏せをしている様子から名付けられました。
下記が「水飲み場攻撃」の主な流れです。
- 攻撃対象がよく訪れるWebサイトの調査
- その中に侵入できるWebサイトないか調査
- 侵入できるWebサイトに不正なプログラムを組み込む
- 攻撃対象者がWebサイトを訪問して感染する
水飲み場攻撃に対してとれる対策は少ないですが、「OSやソフトウェアのを常に最新の状態に保つ」など出来ることはするようにしましょう。
標的型攻撃の流れ
標的型攻撃への対策を考える上で、攻撃の流れを知り、攻撃への理解を深めておくことは重要です。ここでは、標的型攻撃がどのような手順で行われるか大まかな流れをご紹介していきます。
ターゲットの調査・情報収集
サイバー攻撃者はまず最初に、ターゲットとなる個人や組織の情報を収集します。ここでの情報源としては、WebサイトやSNS、従業員のインタビューなどのインターネット上に公開されている様々な情報が利用されます。
この段階の主な目的は、ターゲットのITインフラストラクチャ、サイバーセキュリティ対策、重要人物やシステムなどを理解して、システム侵入の糸口をつかむことです。
インターネットに公開されている情報は誰が見ているか分かりません……
ネットリテラシー教育でよく言われていることですね!
システムへの侵入
次に、サイバー攻撃者は収集した情報をもとにターゲットのシステムに侵入します。ここでは通常、悪意のあるリンクや不正なプログラムを含んだ添付ファイル付きのメールを送信する「標的型メール攻撃」やターゲットがよく利用するWebサイトに不正なプログラムを組み込み感染させる「水飲み場攻撃」などの手法が使われます。
もしくは、収集したシステムの脆弱性などを利用して、ターゲットのシステムに直接攻撃を仕掛ける場合もあります。
収集した情報はこのフェーズで活用されるんですね!
権限昇格などの足場固め
サイバー攻撃者がシステムへの侵入後に何をするかというと、次に行うことは永続的なアクセス方法を確保することです。ここで取られる手法としては、権限の昇格、バックドアの設置、他の侵入口の確保、更なる情報収集などが考えられます。
また、サイバー攻撃者は自身の侵入の痕跡を検出されない様にログの削除なども行います。
システムに不正に侵入するための裏口のことで、 侵入に成功したサイバー攻撃者が再度侵入する際の手間を省く目的で設置される。テスト効率などの理由から、開発段階ではバックドア機能が活用されることもある。
感染発覚が遅れると、どんどん状況が悪化していくので注意しよう!
機密情報の収集やシステムの破壊
最終的なステップは、サイバー攻撃者の目的を達成することです。このステップで行われることは、重要データや機密情報の収集やシステムの破壊、サービス停止などで、サイバー攻撃者の目的によって異なります。
ここでの目的は、機密情報を盗み出すことであったり、金銭目的、私怨による嫌がらせ、政治的な動機など様々です。
サイバー攻撃からの復旧対応にも多くのお金や時間がかかります……
標的型攻撃の対策方法
標的型攻撃の侵入経路は、普段利用しているWebサイトやサイバー攻撃者によって作成された架空のWebサイト、メールの添付ファイルなどの身近なところにあります。そのため、常日頃から注意をはらい、適切なサイバーセキュリティ対策を行うことが重要です。
ここでは、そんな標的型攻撃に対する対策方法を解説していきます。
標的型攻撃に限らずサイバー攻撃を完全に防ぐことはできませんが、できる対策はするべきです!
「未経験からでもホワイトハッカーになれる!」実践的セキュリティスクール「セキュ塾」
- サイバーセキュリティ技術者育成コース(2024年10月生募集中)
- ホワイトハッカー育成コース(2024年8月生募集中)
従業員教育の徹底
標的型攻撃を防ぐためには、従業員の情報セキュリティ教育は不可欠です。
具体的には、従業員が日常業務で遭遇することが考えられるサイバー攻撃の手法や兆候について理解を深める機会や教育を提供することが重要です。例としては、フィッシングメールの典型的な特徴や見分けるためのポイントなどを学ぶ時間を作ることなどが挙げられます。
また、情報セキュリティの三要素、例えば適切なパスワードの使用や定期的なパスワード変更の重要性、端末取り扱いのルールなどについても教育することも効果的です。さらに、定期的なシュミレーションを行い、学んだセキュリティ教育が実践されているかを確認するのもいいでしょう。
サイバー攻撃のリスクや怖さを一人一人に理解してもらうことが重要です!
OSやソフトウェアを最新の状態に保つ
標的型攻撃を防ぐ基本的な対策として、OSやソフトウェアを最新の状態に保つことが挙げられます。発見された脆弱性によってベンダーは修正パッチをリリースします。これらのパッチを適時に適用することで、システムの安全性を保つことができます。
更新を怠ることは、既知の脆弱性を放置することに他ならず、サイバー攻撃者にとって容易に侵入できるポイントになってしまうので、定期的なアップデートは必要です。また、定期的にシステムの更新状況を確認したり、システムの自動更新を有効にすることも、サイバーセキュリティ対策として効果的です。
サイバーセキュリティ対策でよく言われることですね!それだけ重要だということです。
セキュリティソフト・サービスを導入する
標的型攻撃の対策方法として推奨されているのは、標的型攻撃対策ツールの導入です。
標的型攻撃対策ツールは、「偽装メールの検知」や「マルウェアの検知」、「ログ監視」や「サンドボックス」などのサイバー攻撃対策に必要な機能が網羅されたツールで、比較的容易に自社のサイバーセキュリティ対策の強化を可能にします。
下記が標的型攻撃対策ツールの主な機能とできることになります。
- 「メールセキュリティ機能」によって、社内を出入りするメールを監視することができる
- 「偽装メール検知機能」によって、悪意のあるサイバー攻撃者が企業の名を騙った偽装メールを検知することが出来る
- 「マルウェア検知機能」によって、マルウェアと呼ばれる不正なプログラムを検知することができる
- 「サンドボックス機能」によって、不審なメールやプログラムを隔離された仮想環境で確認することができる
- 「ログ監視機能」によって、攻撃の痕跡や不審なログなどを検知することができる
言わずと知れたウイルス対策ソフトやファイアウォール等のセキュリティ対策製品も、標的型攻撃対策には効果的ですが、標的型攻撃の手口は巧妙であるため、従来のウイルス対策ソフトだけで対処しきることは困難です。
ツールを運用する人材も必要に…必要な事とはいえセキュリティ対策に大変です
バックアップを取る
標的型攻撃に対する効果的な対策の一つに、定期的なバックアップの取得があります。バックアップを行うことで、万が一システムが攻撃を受けてデータが破壊されたり暗号化をされてしまった場合でも重要なデータを迅速に復旧することが可能になります。
ただし、マルウェア感染の検知が遅れてしまった場合、バックアップデータ自体が感染してしまうこともあります。
バックアップが感染なんて考えたくもないですね……
サイバー攻撃の被害に遭った時の対応を明確にしておく
最後に重要なことは、標的型攻撃の被害に遭った場合の対応を明確にしておくことです。
どれだけ多層のサイバーセキュリティ対策を行ったとしても、すべての攻撃を防ぐことは不可能です。しかし、事前に被害に遭った場合の対応手順を定めておき、従業員に周知することで被害を抑えることができます。
また、定期的にシュミレーション演習を行うことで、従業員が実際に攻撃を受けた際に適切に対応できるように訓練することも効果的です。
不審なメールを開封してしまった場合などの対応手順が決まっていないせいで、感染発覚が遅れ被害が拡大してしまったという事例も少なくありません。
標的型攻撃対策の重要性
標的型攻撃の対策が重要である理由は、サイバー攻撃者による特定のターゲットに向けた攻撃であるためです。この攻撃は、特別ターゲット定めない無差別型攻撃と違い、綿密な情報収集や巧妙な手口を駆使して行われるため、通常のサイバーセキュリティ対策では防御しきることは困難です。
また、攻撃が成功すると、機密情報の漏洩やデータの暗号化、マルウェア感染による復旧作業に伴う金銭的被害、業務停止などの深刻な被害を招きます。
したがって、この記事でもご紹介した標的型攻撃対策を含む多層的なサイバーセキュリティ対策を講じるとともに、従業員のセキュリティ意識を高めるための訓練が重要になってきます。
セキュリティエバンジェリストである面和毅氏が解説する「ランサムウェア攻撃対策」の記事もチェックしてみてください!(下記から閲覧できます)
標的型攻撃の被害事例
基本的なセキュリティ対策は行っているであろう大企業でも、標的型攻撃の被害を完全に防ぐことはできません。ここからは過去の標的型攻撃の被害事例をご紹介していきますので、対策を行う際の参考にしてみてください。
【標的型メール攻撃】日本年金機構
日本国内における標的型メール攻撃の被害事例といえば「日本年金機構の年金情報漏洩」が有名です。
2015年に日本年金機構をターゲットにした標的型メール攻撃が行われ、年金加入者の個人情報が流出、この時漏洩した年金情報の件数は125万件にものぼり、日本年金機構は情報漏洩の直接原因は標的型攻撃を受けたことであると発表しました。
また、日本年金機構の発表によると、今回の事案対応の問題点として下記のことが挙げられていました。
- 個人情報を共有のファイルサーバに置き、インターネット接続環境下で取り扱うことを許していたこと。
- フォレンジック調査が行われ、メールアドレスの一部が窃取されている可能性があることが判明していたにもかかわらず、機構全体として送信元メードアドレスの拒否設定を行わなかったこと。
- 標的型メール攻撃ではないかとの疑いを持った初期段階で、疑いが組織として共有されなかったこと。
- 標的型攻撃メールの受信者全員に対して、個別に添付ファイル開封の有無を確認しなかったこと。
- NISC(内閣サイバーセキュリティセンター)の解析結果に基づく、不審なURLへの通信の遮断ができていなかったこと。
- 機構内すべての統合ネットワークを通じたインターネット接続の遮断を行わなかったこと。
このように、共有ファイルサーバの取り扱いや不審なメールを開封してしまった時の対応方法が組織として共有されていなかったことが、これらの大規模な情報漏洩に繋がったといえます。
(参考:不正アクセスによる情報流出事案に関する調査報告結果について|日本年金機構)
共有ファイルサーバの取り扱いなどいい教訓になりますね!
【オーダーメイド型ランサムウェア攻撃】カプコン
国内の有名ゲームメーカーであるカプコンも標的型攻撃の被害に遭っています。2020年にカプコンはオーダーメイド型のランサムウェア攻撃を受けて、グループが保有する個人情報・企業情報が流出したことを発表しました。
カプコンの発表によると、株式会社カプコンを標的にしたランサムウェアを用いてサーバを破壊・暗号化する攻撃を受け、その後「Ragnar Locker」と名乗る集団からの身代金を要求する旨のメッセージを確認したとされています。
一連の攻撃の流れを下記にまとめました。
- 北米現地法人が保有する旧型VPN装置に対するサイバー攻撃を受け、社内ネットワークへの不正侵入が発生。
- 旧型VPN装置を経由して米国および国内拠点の一部機器が乗っ取られ、情報が窃取される。
- 一部機器がランサムウェアに感染し、機器内のファイルの暗号化とシステム障害が発生する。
- 「Ragnar Locker」を名乗る集団から身代金を要求する旨のメッセージが届き、これを大阪府警に通報する。
- 個人情報・企業情報の流出が確認される。
このように被害の原因は、旧型VPN装置を経由した不正侵入と、その後のランサムウェアを用いたサイバー攻撃によるものでした。
この旧型VPN装置は、新型コロナウイルス感染拡大によるネットワーク負荷の増大に対する緊急避難用として1台だけ使用されていたものだったようです。
(参考:不正アクセスに関する調査結果のご報告【第4報】|CAPCOM)
最近はVPN機器から侵入されるサイバー攻撃が増加していますね!
まとめ
標的型攻撃は、特定の個人や組織を狙って行われる高度なサイバー攻撃です。攻撃者は対象の情報を事前に収集し、偽装されたメールやウェブサイトを通じてマルウェアなどの感染を狙います。
主な攻撃の目的は下記です。
- 機密情報などの重要データの窃取
- システムの破壊や停止
- 身代金やデータの売買による金銭的な利益
- 個人的な恨みによる嫌がらせ
- 政治的・社会的な理由
防御策としては、基本的な情報セキュリティ対策や従業員教育の徹底、専用の対策ツールの導入などが挙げられます。また、異変が見られた後や感染後の対応も重要なので、あらかじめ問題が起きた時の対応などを決めて、それを周知するような取り組みをしてみるのもいいでしょう。
様々な企業がサイバー攻撃の被害に遭っている現代では、情報セキュリティ対策は必須です。まずは基本的なセキュリティ対策から始めて、組織内のセキュリティ体制を整えていきましょう!
「未経験からでもホワイトハッカーになれる!」実践的セキュリティスクール「セキュ塾」
- サイバーセキュリティ技術者育成コース(2024年10月生募集中)
- ホワイトハッカー育成コース(2024年8月生募集中)
コメント