最適な標的型攻撃対策とは？従来のセキュリティ対策では限界が・・・！

標的型攻撃の手段

近年、情報セキュリティの分野で話題に取り上げられることが多い「標的型攻撃」と「標的型メール攻撃」。両者には違いがあるのでしょうか。また、「標準型攻撃」の手段とは？まずは標的型攻撃の定義から確認していきます。

標的型攻撃とは？

不特定多数ではなく、特定の組織やグループに対しての攻撃です。事前にインターネットやSNSなどを利用して標的にした組織に関する情報を、入念に調べあげます。そして対象者がついメールを開いてしまうメールタイトルや添付ファイル、URLで悪意のあるサイトへ誘導し、ウイルス感染させる手法です。感染させたPCから遠隔操作することで、対象の組織のサーバへのアクセスを行い、機密情報の窃取などを試みます。

標的型攻撃の種類は？

標的型攻撃の種類として下記のようなサイバー攻撃があげられます。

1.標的型メール攻撃

特定の相手に対して、関係者になりすました偽装メールを送信して不正プログラムを開かせ悪意のあるサイトへ誘導する手法。

2.DoS・DDoS攻撃

Dos・DDos攻撃を行うとして、脅迫することで金銭要求する手法。

3.水飲み場型攻撃

ユーザーがよく閲覧するサイトを、悪意のある攻撃者が改ざんして、不正プログラムをダウンロードさせる手法。

4.Webサイト改ざん

Webサイトへ不正アクセスし、閲覧者にウイルス感染させるプログラムや、パソコンへ侵入するためのバックドアを設置する目的。

5.ランサムウェア

パソコンをロックしたり、特定のファイルを暗号化した上で、解除を条件に身代金を要求する不正プログラム。

改めて標的型攻撃の手段とは？

上記のように標的型攻撃の手段は複数あります。使用される手段はメールが多く、近年ではユーザーが頻繁に閲覧するWebサイトを改ざんし、ウイルス感染させる手法があります。その手口は巧妙でウイルス感染したことに気付かれないように行われます。

標的型攻撃の流れ

それではその標的型攻撃のおおまかな流れはどのようなものでしょうか。

１．計画・立案

標的にした組織がどういったサイトへアクセスする確率が高いか、どういったメールを閲覧するか入念に情報収集を行う。

２．攻撃準備

悪意のあるウェブサイトや、メールに添付する不正プログラムを用意する。

３．初期潜入

メール送信や悪意のあるウェブサイトへ誘導し、ユーザーの端末へウイルス感染させる。

４．攻撃基盤構築

感染したパソコンのIDやパスワード、レジストリ情報などを収集し、攻撃者が遠隔操作できるよう細工を行う。

５．内部調査

ウイルス感染したパソコンを起点に、ファイル共有サービスを利用し、ネットワーク内の諜報範囲を広げ、ファイルサーバなど探し出す。

６．目的遂行

機密情報や個人情報の窃取、ランサムウェアによる暗号化されたファイルの復号化を条件に身代金要求を行う。

標的型攻撃メールの見分け方

見分けがつきにくい標的型攻撃メールの見分けるポイントをあげます。

１．メールの内容

身の覚えのない公共機関からの案内やID・パスワード要求はないか。

２．差出人のメールアドレス

差出人がフリーアドレスを使用していないか。

３．メール本文

不自然な日本語の文章になっていないか。

４．添付ファイル

実行形式ファイル（exe、scr）は添付されていないか。

標的型攻撃への対策

標的型攻撃は、巧妙、かつ継続的に行われるため、「この対策だけ施しておけばよい」というような単純な防御策はありません。一つの対策が突破されたとしても、別の対策で防ぐ、また、組織全体として対策に取り組むなど複数の対策を講じる、いわゆる「多層防御」対策が必要です。ここでは個人といった「従業員向け」と企業の「組織向け」、「運用・管理面」のそれぞれの対策ポイントを明記します。

従業員向けの対策

まずは「従業員一人ひとりのセキュリティ意識の向上」です。

１．不審メールに対する注意力の向上

「怪しいメールアドレスは開かない。」「不自然な内容と思える内容のメールは破棄する。」といったことの周知が有効です。業務に関係のありそうなアンケートや配送関係を装った文面で、送られてくるケースがあるので注意が必要です。

２．ソフトウェアの脆弱性放置の危険性を周知

あらゆるソフトウェアの脆弱性により、攻撃者が遠隔から不正プログラムを実行されるリスクの周知が有効です。WindowsOSや、PDF、Javaといったソフトウェアの更新は特に注意が必要です。サポートの終了したバージョンのソフトを利用するのも控えましょう。

３．オフィスソフトのマクロ機能の危険性を周知

WordやExcelのマクロ機能の悪用により、ユーザーが気付かないところで不正なプログラムをダウンロードしたり、不正な活動が行われることの周知が有効です。マクロ機能を無効にしたり、警告を表示させたりする設定を必要に応じて行うのもよいでしょう。

４．OLE機能の危険性を周知

図形やグラフといったオブジェクトを利用した手法で、アイコンのように表示される画像をクリックしまうことで、不正なOLE オブジェクトが実行されウイルス感染するリスクの周知が有効です。MicrosoftのOffice以外に一太郎でも注意が必要です。

組織による対策

組織による対策には、不審なメールを発見した際の措置や連絡窓口、情報集約の体制など組織の体制づくりが必要です。

１．平素からの従業員への教育と訓練

標的型攻撃メールで使用されそうなメールのサンプルを周知して、万一開いたときの対応を定期的に行いましょう。教育や訓練の一環として擬似的な標的型攻撃メールを意図的に内部から送り、セキュリティ対策の意識向上を図る方法もあります。

２．インシデント発生時の連絡体制の整備

インシデント発生時には、上長や情報システム担当者など、どこの部門へどういった手段で連絡を行うか事前にルールを定めるのも有効です。いち早く注意喚起を促し、同様の被害が拡大するのを防ぐ運用が必要となってきます。

運用・管理面での対策

運用・管理面において、社内のシステム運用・管理者が比較的簡単に実施できる対策としては、次のようなことがあげられます。

１．ソフトウェアの実行を制限

Windowsの機能で、インターネットから取得されたファイルをチェックし、実行ファイルであれば「セキュリティの警告」を表示させる方法があります。ユーザーがファイル実行されるのを不信に思えば、未然にウイルス感染を防げます。

２．保護ビュー機能を利用

Word、Excelといったオフィスソフトの保護ビュー機能が有効です。有効にすることで、マクロやウイルス感染する機能を無効化した状態でファイルを開けます。うっかりファイルを開いてマクロが実行されるリスクを軽減します。

３．PowerShell の実行を制限

PowerShell の実行を制限をすることで、ファイルレスで悪意のある動作をする可能性がある攻撃者を防ぐことができます。PowerShellスクリプトはメモリ上でコードを実行することが可能なため、通常のウイルス対策ソフトでの検知が困難です。

４．通信ログの管理

パソコンが行う通信ログの監視をすることで、いち早く被害に気付き、PCをLANから切り離したり、専門のベンダーへ対処依頼をすることが可能です。バックドアを仕掛けられ、外部へ怪しい通信が行われていないかチェックが必要です。

システム構築による対策

システム運用の観点から多層防御を構築する際、入口対策、内部対策、出口対策という３つの段階に応じて対策を施すのが一般的とされています。

１．入口対策

ファイヤーウォールの構築やウイルス付きメールを阻止する為に、迷惑メールのフィルタリングソフトや実行ファイルそのものを検知するアンチウイルスソフト対策が必要です。セキュリティパッチも迅速にあてる必要があります。

２．内部対策

Webやサーバのログを監視し、異常な通信を定期的にチェックし警告をします。プロキシサーバやActive Directoryのログ監視に対応するシステム構築も有効です。また万一外部に流出しても、閲覧できないようにファイルに暗号化の手段もあります。

３．出口対策

万一ウイルス感染した後の出口対策として、ウイルスによる外部への不正な通信を検知し遮断するシステム構築が有効です。また近年ではサンドボックスやWebアプリケーションファイアウォールといった対策が注目されています。

高度標的型攻撃（APT攻撃）

最近では、高度標的型攻撃（APT攻撃）というキーワードを目にする機会が増えている方もいるかもしれません。それでは、標的型攻撃と高度標的型攻撃（APT攻撃）に違いはあるのでしょうか。

最後に、高度標的型攻撃についても簡単に触れておきます。

高度標的型攻撃（APT攻撃）とは

長期間にわたり、執拗な侵入を試み、組織に悟られないようにゆっくりと乗っ取りを行う攻撃です。「特定の組織あるいはグループを標的とした攻撃」という意味では、標的型攻撃と同じですが、APTは「発展した／高度な（Advanced）」「持続的な／執拗な（Persistent）」「脅威（Threat）」の略語です。

標的型攻撃との主な違い

国家や企業の機密情報を盗むことを目的として、独自ツールや手動で悪意のある行為を行うため標的型攻撃と比べ、攻撃手段は変幻自在で、痕跡を残さないようにします。APT攻撃は「国際政治問題、経済問題、知的財産権問題、安全保障問題、危機管理問題」としても扱われる攻撃であり、その他のサイバー攻撃とは一線を画す重要な問題です。

高度標的型攻撃への対策

高度標的型攻撃に対しては、どのような対策を施せばよいのでしょうか。 基本的には前述の「標的型攻撃への対策」と変わりありません。ポイントは「多層防御」対策であり、その中でも「システム構築による対策」の重要性が増しています。しかし、高度化・巧妙化する高度標的型攻撃に対して、自社だけでその対策を考案・設計するのは容易ではないと予想されます。

まとめ

標的型攻撃の標的は、重要な情報を取り扱う政府機関や特定の大手民間企業だけではありません。本命の標的企業に関する情報収集や攻撃の踏み台として利用するため、一見関係ないような企業までも標的とされる場合もあります。そして、この場合は企業の規模や事業内容に関わらず、その対象となる可能性を秘めています。

日々、高度化・巧妙化する標的型攻撃に対応するには、「多層防御」が欠かせません。また、その対策には、より高度なシステム設計がもはや”必須”であるといっても過言ではありません。 自社だけでの対応が難しい場合、まずは専門家へ相談してはいかがでしょうか。