標的型攻撃というサイバー攻撃を、ビジネスシーンで聞いたことはありませんか?
国内では以前日本年金機構の個人情報流出事件が大々的にニュースで流れましたが、この事件も標的型攻撃に該当します。他にも「Yahoo!JAPAN」といった有名な企業、団体が被害に遭っており、標的型攻撃は知名度を上げました。
標的型攻撃は有名な企業だけが狙われるサイバー攻撃ではありません。中小企業だとしても対策をしなければ、標的にされて社内や取引先の個人情報が流出するといった被害が発生するリスクがあります。
今回は標的型攻撃がなぜセキュリティの脅威なのかを解説するとともに、中小企業でもターゲットになる理由、またどのような対策をすればセキュリティ上安心できるのかを解説していきます。
Contents
標的型攻撃とは?無差別型サイバー攻撃との違い
標的型攻撃とはインターネット上で行われるサイバー攻撃の代表的手法です。ITに関する啓もうを行っている「IPA(情報処理推進機構)」では、最新のサイバー攻撃を調査して10大脅威としてまとめています。
2021年度には組織部門において、
1位:ランサムウェア
2位:標的型攻撃
3位:ニューノーマルな業務を狙った攻撃
といったように、標的型攻撃が2位にランクインしています。ちなみに標的型攻撃は、コロナ禍以前から脅威としてIPAで取り上げられているのもポイントです。
標的型攻撃が問題になったのは、ニューノーマルな業務を狙った攻撃、といった手法よりずっと前のことです。それにもかかわらずいまだに脅威として危険視されているのにはいくつか理由があります。
無差別型攻撃との違いは、まず入念な準備を行うかどうかです。
無差別型攻撃では、セキュリティホールが見つかったらすぐ手当たり次第に攻撃する、といった特性があります。これに対して標的型攻撃では事前にどの企業を狙うのか調査を行い、怪しまれないタッチポイント(Webサイトやメールなど)を設定してマルウェアを感染させるコードを埋め込みます。そしてWebサイトやメールを見た企業関係者の機器へ入り込み、悪さを働くプログラムを実行するのがポイントです。
また精度についても違いがあります。無差別攻撃は攻撃手法次第ではすぐに気づかれ、対策されてしまうケースもあります。しかし標的型攻撃では、ターゲットになった企業が意識しない内にマルウェアへ感染してしまい情報を漏洩させるリスクがあります。怪しまれないように下準備を行う利点がここで活かされているわけです。
参考:情報セキュリティ10大脅威 2021
標的型攻撃の目的!中小企業も狙われる可能性あり
標的型攻撃では、例として個人情報を盗むために行われます。理由はさまざまですが、
・単なる嫌がらせ
・機密情報を盗んで悪用する
・情報を人質に金銭を要求する
といった目的が考えられるでしょう。
標的型攻撃は今まで大企業や政府関連機関などをターゲットに行われてきました。ただしこういったターゲットへ攻撃する手法が増えた結果、大企業や政府関連機関も対策を行いセキュリティを強化しています。いまだに意図的な行為や社内のミスなどによる情報漏洩はありますが、技術的な面では標的型攻撃が難しくなっています。
ただし中小企業であれば話は別です。
・予算やリソースが少ない
・そもそもITリテラシーに関して油断している事項も多い
といったケースに当てはまることが少なくない中小企業は、格好の標的型攻撃の獲物です。ですから現在ではWebメディアなどが、中小企業でも標的型攻撃は起こりうると注意喚起を行っています。
事例としてはたとえば、IPAが組織部門の2021年度セキュリティ脅威で4位に挙げた、「サプライチェーンの脆弱性を悪用した攻撃」との組み合わせがあります。サプライチェーンとはエンドユーザーへ製品を提供する際のプロセスを鎖にたとえた言葉です。大企業のサプライチェーンには、企業に資材を卸しているといった関係性がある場合中小企業も含まれています。そして中小企業は、大企業よりセキュリティが弱いケースも多いです。
このような理由から、大企業のサプライチェーンの弱点としてまず中小企業システムを攻撃、その後情報を搾取して大企業へも攻撃を開始する手法が行われるようになっています。ちなみに大企業と取引していようとしていまいと、攻撃するだけの情報価値があるようであれば標的になる可能性は十分あるでしょう。最悪の場合大企業より体力のない中小企業は、標的型攻撃で致命的なダメージをビジネス上追ってしまうリスクもあります。
企業の規模に関係なく、標的型攻撃は組織として対策すべきサイバー攻撃です。
感染方法や攻撃に使うコンテンツが異なる!標的型攻撃の手法とは
標的型攻撃には、
・長期間潜伏して被害を拡大させる潜伏型
・ターゲットになるデータを短時間で盗むことに特化した速攻型
の2つの感染方法があります。
潜伏型では徐々にデータを盗む分展開に時間が掛かりますが、被害がどんどん大きくなる特徴があります。また速攻型は機器のデータ処理が遅くなりやすい分、あっという間に情報が抜かれてしまう危険があるでしょう。どちらの方法も危険なことには変わりありません。
どのコンテンツを利用して攻撃を行うかで種類が分かれるのも特徴です。
標的型攻撃メール
標的へ業務関係のメールを送付、必要な情報だと認知させることでデータを開かせて感染を実行する手法です。メール内容はターゲット向けにカスタマイズされており、文面だけでは気付かないケースが多いのもポイントになっています。てにおはがおかしい、といった違和感のある、明らかに感染目的で作られたようなメールとはわけが違います。
取引先関係者などを装い巧妙にプログラムを開かせようとするのも危険視される点です。相手は事前に下調べを済ませているためそつがありません。セキュリティリテラシーが低いと簡単に罠へ掛かってしまうことになります。
水飲み場攻撃
水飲み場とはWebサイトを指しています。企業や団体関係者が閲覧して情報をよく確認しているWebサイトへ、不正プログラムを組み込んで感染を誘います。
いつも利用しているから安心と思って油断していると、読み込むだけで不正プログラムが広がってしまう可能性があるので危険です。またターゲットとなるWebサイト運営者がセキュリティ対策を怠っていると、簡単に実行できてしまう特性もあります。
標的型攻撃の流れ
標的型攻撃では、次のように社内システムをウイルス感染させて攻撃を行います。
1.ターゲットへ情報を見せて不正プログラムを実行する
まずはターゲットとなる企業や団体へ、メールやWebサイトなどで情報を見せます。そして
・添付ファイルをクリックする
・Webサイトを読み込み終わる
といったトリガーによって不正プログラムがインストールされて攻撃された人の機器へ入り込みます。この段階で気付かずにウイルスの侵入を許してしまうと、後の対策が難しくなってしまうので危険です。
2.情報を盗む準備を行う
次に情報を盗む準備を行います。準備として代表的なのが、「バックドア」の構築です。
バックドアとは裏口としてマルウェアを水面下でインストールできるよう、不正な環境を構築するためのプログラムを指します。「トロイの木馬」が有名です。
バックドアができてしまうとウイルス対策ソフトウェアでも感知できない可能性があり、気付かないうちにマルウェアが増加していく原因にもなります。そして攻撃者のホストコンピューターと接続、遠隔で操作できるようになってしまうのもポイントです。
3.盗むターゲットとなる情報の探索を行う
バックドアができたら、次は実際に盗むターゲットになる情報をシステム内から探索していきます。機密情報といった重要なデータをピンポイントで盗まれてしまうのは、この探索段階があるからです。
無差別にデータを襲っても情報が膨大な場合、盗むのに時間が掛かりますし被害も小さいまま攻撃が終わってしまう可能性があります。標的型攻撃は盗む内容まで選別するという点でいやらしい攻撃です。
4.攻撃を行いデータが搾取される
最後には実際に攻撃を開始して、必要なデータを搾取する段階へ移行します。情報を抜き取る専用プログラムが作動し、ターゲットとなったデータが外部に漏洩してしまいます。
攻撃に気付かないと、いつまでもデータを盗まれ続ける事態が起きてしまうかもしれません。そのためもし攻撃を受けても最小限に被害を防ぐ対策も必要でしょう。
Googleまで標的に!?標的型攻撃の被害例
国内・国外では、次のような標的型攻撃の被害が発生しています。いずれも規模が大きくIT業界以外でも話題になりました。
オペレーション・オーロラ
2010年の「オペレーション・オーロラ」は標的型攻撃のプロジェクト名であり、世界規模の標的型攻撃でした。被害に遭った企業の中には、最初に攻撃に遭ったと公表したGoogleが含まれています。
Internet Explorerがブラウザーの主流だった当時の状況を悪用、その脆弱性を狙い不正プログラムを実行、被害を拡大させる手法で被害を拡大させています。脆弱性についてはゼロデイ攻撃が活用されており、セキュリティホールとして防がれる前に被害が発生してしまいました。
Googleアカウントが盗まれるという被害が出ており、Googleサービスが以前より重要になっている現在発生したら被害がより甚大になりそうな雰囲気があります。Googleといった世界的なIT企業でも、標的型攻撃を防ぎきれないケースがあるという事例でもあります。
日本年金機構
国内では日本年金機構の職員が、標的型攻撃メールの被害に遭ったことが有名事例です。年金基金制度の見直しを騙るメール内容であったため不正メールだと気づかず、感染を引き起こしてしまったと見られています。
ITリテラシーが高ければ、個人情報が125万件以上流出してしまうような甚大な被害につながらなかったでしょう。従業員のセキュリティスキル向上が標的型攻撃に有効だと強く認知させられる事例です。
ITリテラシー向上も重要!標的型攻撃の対策方法
標的型攻撃を技術面だけで対策するには限界があります。社内での啓蒙といった方法でITリテラシーを確保することも重要です。
OS・ソフトウェアを更新して常に脆弱性をなくす
OS・またパソコン内のソフトウェアなどに脆弱性が残っていると、感染拡大の温床になります。ですからセキュリティサポートが切れたソフトウェアリソースは使わないという対策は当たり前にして、その上でOS・ソフトウェアを最新にする工夫が必要です。
従業員一人一人にルール付けるだけでは漏れが起こるかもしれません。正確に更新するためにIT管理が行えるツールで担当者が管理、自動更新設定を行い一括でインストールを行う、といった方法も検討してみましょう。
標的型攻撃対応のソフトウェアやツールを導入する
たとえば無料のウイルス対策ソフトウェアでは、標的型攻撃に完全な対応ができない可能性があります。無料版の分、機能が完ぺきではないためです。そのため
・無料版から有料版へアップグレードする
・有料版のソフトウェアを別途導入する
といった対策でセキュリティをより完璧にしましょう。
標的型攻撃に対応している、どんな機能が有効なのかといったことを詳しく説明してくれているベンダーから購入ができると安心です。たとえば標的型攻撃メールを自動振り分け、フィルタリングで感染を防止するといった機能が有効になります。
またログを監視できる機能があると、不正なアクセスが発生していないかといったチェックが簡単にできます。不正なプログラムが走っていればすぐに検知できるのがメリットです。
標的型攻撃が実際に攻撃を本格化させるのには時間が掛かります。ですからログを確認して定期的に不正行為が行われていないかチェックすることで被害防止につながります。
安易にメールを開かない データ容量などを確認
安易にメールを開いてウイルスを展開してしまうのは、いわば自社へ犯罪者を招き入れてしまうのといっしょです。事前にカギをかけておくといった対策を行っても自分から招き入れて手は意味がないのといっしょで、メール内のファイルを展開してしまうと技術的なセキュリティ対策の意味が薄れてしまいます。
そこでまず、標的型攻撃メールを安易に開かないことが重要です。
・相手の身元情報やメールドメインなどが正しいか、また存在するか確認する
・添付ファイルの拡張子を確認(.exeといったファイルは実行ファイルなので怪しい)
・容量が大き過ぎるメールには気を付ける
といった対策で不用意に標的型攻撃メールによってウイルス感染してしまうリスクを減らせるでしょう。
従業員の訓練・教育を徹底する
標的型攻撃は社内の従業員が気を付けていないと、完ぺきに防げません。ですからITリテラシーを向上させるための訓練および教育は必要です。ITリテラシーを社内で総合的に向上させることで、企業の信頼性向上にもつながるでしょう。
・機器の取り扱い方法
・基本のセキュリティ知識
・実践のウイルス対策訓練
といったセキュリティにかかわる教育・訓練を行い、標的型攻撃のターゲットにされづらい企業を目指してみましょう。
攻撃された場合の対応を策定しておく
標的型攻撃に遭ってしまっても、適切な対策方法を計画、従業員に周知しておけば最悪の事態は免れます。
・標的型攻撃プログラムの遮断手順
・被害に遭遇した機器の取り扱い
・気付いた場合の連絡方法
などを策定しておくことで、パニックを起こさず冷静に被害防止へ向けて対応しやすくなります。
まとめ
今回は標的型攻撃について解説してきました。
標的型攻撃の対策を行うには攻撃目的や攻撃方法といった特徴を理解して、専用のセキュリティツールを導入するといった対策を計画することが重要です。標的型攻撃メールなどのような従業員のヒューマンエラーを狙った攻撃は、ITリテラシーの低い人をターゲットにしています。このため日ごろのIT教育や訓練を徹底して、ITリテラシーの向上を図るのは経営者としても基本的な社内方針になるでしょう。一人一人のIT意識向上が情報窃取から被害を防ぐ有効な武器になります。
被害を出さないためにも人的・技術的両方の側面で対策を検討してみてみましょう。
IT保守・運用代行を依頼できる!ITボランチへぜひ相談を
自社で標的型攻撃への対策を講じるのが難しい場合は、セキュリティ対策やIT業務のアウトソーシングをしているベンダーに相談してみましょう。
自社でIT担当者を育成するよりもスピーディーに、多くの実務経験を行いノウハウを蓄積しているリソースを用意できます。自社IT運用へ限界を感じている場合も、最新IT情報の提供者として外部ベンダーは重要なパートナーになってくれるでしょう。
「ITボランチ」には数百社の保守を行ってきた実績がございます。
・最適な保守業務のご提案
・標的型攻撃、ランサムウェアなどのセキュリティ脅威の対策
などITに関する業務をサポートしております。
無料でご対応させていただきますので、まずはお気軽にご相談下さい。
