近年世間を騒がせている「標的型攻撃」という単語を聞いたことがあると思います。日本国内においては日本年金機構やYahoo!JAPANが受けたサイバー攻撃がまさに標的型攻撃なのです。
大企業だけがピックアップされておりますが、あまり表には出ないだけで中小企業も被害に遭っていますので、対策しておくことは必須と言えるでしょう。標的型攻撃とはなんなのか、できる対策はなんなのかをご紹介します。
□■□■IT業務のお悩みやお困りごと、コスト削減をお考えなら、解決手段があるはず!まずはITボランチへご相談(無料)ください。お問い合わせはこちらから□■□■
Contents
標的型攻撃とは
まずは標的型攻撃とは、サイバー攻撃とは一体なんであるのかを知りましょう。
サイバー攻撃は数多くの種類があり、それぞれに対策方法が異なるため全て同じ攻撃と考えてしまうのは危険です。
標的型攻撃とは文字通り特定の企業や組織をターゲットとし、メールやWebサイトからウィルス、マルウェアを感染させるサイバー攻撃です。
では、具体的な内容を見ていきましょう。
標的型攻撃の目的
サイバー攻撃の裏には必ず動機が存在します。
標的型攻撃にも動機があり、主に「企業に対する嫌がらせ」と「金銭の強奪を目的としたもの」に分かれます。
具体的に見ていくと、使っている商品が壊れたり値上げによる恨みから標的にするパターンなどの私的な恨みによる愉快犯から、身代金要求やライバル企業が何者かに依頼して行うケースも可能性としては存在します。
ただし、この動機から言えることは標的になる可能性はどの企業にもあり得るということを肝に銘じておく必要があることを忘れてはいけないということです。
無差別型攻撃との違い
従来からある無差別型攻撃と今回ご紹介する標的型攻撃の違いを明確にしておきましょう。
無差別型攻撃の特徴は、様々なツールのセキュリティの穴を利用して無差別にデータを流し込みます。
流し込む際には存在していないIPアドレスに対しても無数に攻撃を仕掛けており、公表していないサーバにも攻撃が届くことがあります。
さらには、攻撃が成功しなければ存在を知られることもないため、セキュリティ対策を最低限行なっていればほとんどが回避できました。
しかし標的型攻撃には、明確なターゲットが存在していることと、多くの情報が知られていることも忘れてはなりません。
IPアドレスだけではなく、メールアドレスや取引先の企業や担当者など、攻撃者は多くの情報を持っているケースが多いです。
そのため、従来のセキュリティシステムでは防御することが難しくなっているのです。
標的型攻撃は中小企業も狙われる
誰もが知っている大企業や政府関連機関については、一見すると標的型攻撃のターゲットになりやすいと思われがちですが、実はそんなことはありません。
攻撃者の中にはシステムに侵入したことをステータスにするケースもありますが、それらの攻撃者は一部です。
それは大企業や政府関連組織がセキュリティを厳重にしているということが背景にあり、ほとんどの攻撃者は攻撃することができないのです。
そこでターゲットにされるのが、セキュリティ対策の甘い中小企業や地方公共団体なのです。
そのため、中小企業だからといって標的型攻撃を軽んじることは非常に危険であり、むしろ中小企業であるほど対策が必要なのです。
標的型攻撃の手口と特徴
ではどのような手口で標的型攻撃が行われるのかを知りましょう。
攻撃の方法がわからなければどのようなセキュリティを行えば良いのかわかりません。
そこで、標的型攻撃の代表的な手法を3つご紹介していきます。
標的型攻撃メール
最も代表的な手法は標的型攻撃メールです。
今までもランダムなメールアドレスに対して送る、フィッシング詐欺を目的としたメールが多数ありました。
しかし、標的型攻撃メールは個人名が記載されています。
それは取引先の担当営業だったり上司を装いメールを出してくるのです。
また、記載されたURLや添付ファイルもプロジェクトに関係のある名前が付けられているため、一見するとわからないことが特徴です。
水飲み場攻撃
水飲み場攻撃とは、Webサイトを改ざんして不正なプログラムを仕込み、閲覧するとウィルス感染するという、一見すると従来からあった攻撃と変わらないようにも見えます。
しかし、水飲み場攻撃の特徴はターゲット以外が閲覧しても問題が検出されない点があります。
問題のあるサイトはすぐにブラックリスト入りし、多くのファイアウォールで遮断されるものではありますが、ターゲットを絞っているため発見が遅れてしまい、被害が拡大してしまうということです。
Webサイト改ざん
Webサイトの改ざんは標的型攻撃メール組み合わせでその脅威を発揮します。
Webサイトが改ざんされているものの、一見すると通常のページと変わりはありません。
そのまま信用し、機密情報を入力してしまうのですが、実は全く異なるページであることも多いです。
HTTP時代には表示されているページは正規のページなのに、途中で改ざんされて攻撃者に情報を盗まれる被害も多発していたことも事実です。
標的型攻撃の流れ
標的型攻撃の流れについて確認しておくことも必要です。
この流れを知っておくことで事前に対策を行うことも可能ですし、発覚した場合はどの段階まで進んでいたのかもわかりますので、流れについては必ず覚えておきましょう。
1.事前準備と侵入
まずは事前準備として、絞り込んだターゲットの情報を集めます。
これは、ダークウェブに露呈しているものやホームページの情報、取引先のネットワークやシュレッダーゴミ、盗聴など様々です。
この情報をもとにして標的型メールなどを作成し、侵入するための糸口となるバックドアを作ります。
セキュリティ対策ではこの段階でどこまで攻撃を予防できるかが勝負になります。
2.端末制御
この段階でいよいよ攻撃者が侵入してきます。
バックドア、つまりは侵入するための裏口を作られてしまっているので、ほとんどのファイアウォールは機能しません。
従来の無差別攻撃であればファイアウォールでほとんどの攻撃はシャットアウトできていましたが、標的型攻撃についてはそれらを掻い潜って侵入してくるということを覚えておきましょう。
侵入してきた攻撃者は自由にその端末を操作することができるので、社内の機密情報を見ることが可能になるのです。
3.情報探索
社内のパソコンは1台制御できると、そのパソコン内部の資料だけではなく共有ファイルを見ることが可能になります。
そこでどのような機密情報があるのかを確認し、情報のターゲットを定めていくのです。
また、現在ある資料だけではなく履歴も閲覧できることから、行動パターンや仕事の進捗も把握することができるので、この時点でかなりの情報を攻撃者は得ることになります。
4.情報の収集と入手
いよいよここで情報が抜き取られます。
攻撃者は自分が侵入していることを悟られないようにということはもちろんですが、もし発見されても少しでも発見を遅らせようとします。
バックグラウンドでの情報収取を行っても、CPUやメモリのリソースは上がることから、本来のパソコン使用者がなるべくパソコンを使用していない時間帯を狙い、情報を抜き取っていくのです。
標的型攻撃の事例
次に実際どのような攻撃があったのかを具体的にご紹介していきます。
ここで紹介するのは大企業や団体ですが、先にご紹介したようにこれらの組織は取り扱う情報も最重要機密情報なのでセキュリティ対策にはかなりの力を入れています。
それでも抜き取られてしまったという観点で捉えてください。
Google(オペレーション・オーロラ)
2010年の「オペレーション・オーロラ」は標的型攻撃のプロジェクト名であり、世界規模の標的型攻撃でした。被害に遭った企業の中には、最初に攻撃に遭ったと公表したGoogleが含まれています。
Internet Explorerがブラウザーの主流だった当時の状況を悪用、その脆弱性を狙い不正プログラムを実行、被害を拡大させる手法で被害を拡大させています。脆弱性についてはゼロデイ攻撃が活用されており、セキュリティホールとして防がれる前に被害が発生してしまいました。
Googleアカウントが盗まれるという被害が出ており、Googleサービスが以前より重要になっている現在発生したら被害がより甚大になりそうな雰囲気があります。Googleといった世界的なIT企業でも、標的型攻撃を防ぎきれないケースがあるという事例でもあります。
日本年金機構の情報漏えい
国内では日本年金機構の職員が、標的型攻撃メールの被害に遭ったことが有名事例です。年金基金制度の見直しを騙るメール内容であったため不正メールだと気づかず、感染を引き起こしてしまったと見られています。
ITリテラシーが高ければ、個人情報が125万件以上流出してしまうような甚大な被害につながらなかったでしょう。従業員のセキュリティスキル向上が標的型攻撃に有効だと強く認知させられる事例です。
標的型攻撃の具体的な対策方法
対策が難しい標的型攻撃ですが、具体的にどのような対策方法があるのかを見ていきます。
被害が大きい標的型攻撃ですので、できる限りのことを十分に行いましょう。
個人(ユーザー)レベルでの対策
パソコンに侵入されにくくするという点では、まずはOSやソフトウェアのバージョンを最新にしましょう。
アップデートすると脆弱性の対策が行われるので、必須のセキュリティ対策となります。
また、パソコンやシステムの侵入をされにくくするために2段階認証や突破されにくいパスワードポリシの導入も必須となります。
そして、個人のセキュリティ意識を向上させることによって、標的型メールに気を付ける等も行うことができるのです。
企業(管理部門)レベルでの対策
管理部門においては、従業員への教育の機会を増やすことは必須の条件となります。
また、セキュリティツールの導入も標的型攻撃に対策できる内容のツールが必要となります。
代表的なものは振る舞い検知ツールの導入です。
さらにはログを管理し、怪しい形跡がないのかも確認できるようにしましょう。
また、万が一攻撃を受けた際の対応を明確にし、それに沿った訓練を年に一度は行うと良いですね。
先進的な対策技術と実践
攻撃が進化するのと並行して、対策技術も進化しています。
メールに添付されたファイルやURLを仮想空間で開いて安全か確かめるサンドボックスや、AIによる振る舞い検知も普及しています。
これらの機能を積極的に活用し、セキュリティに強いネットワークとシステムを強化していくことが重要なのです。
標的型攻撃を理解し、最適な対策と予防を
標的型攻撃への対応策は、従来のネットワークやツールの強化はもちろんのこと、標的とされる社員教育は必須となります。
また、ランサムウェアなどのサイバー攻撃も猛威を振るっており、対策の必要性が迫られています。
いずれのサイバー攻撃も、セキュリティ対策などを強化するよりも、社員教育を行いITリテラシーを向上することが一番のセキュリティ対策なのです。
セキュリティ対策は日々進化しており専門的な知識も必要となることから、もし自社での対応に不安を感じた際にはIT業務、セキュリティ対策のプロフェッショナルであるITボランチへご相談ください。