標的型攻撃の種類を知る。メール攻撃・水飲み場型・潜伏型・速効型

標的型攻撃の種類（手法）とは

計画的に実行される標的型攻撃には、どのような種類（手法）があるのでしょうか。ここでは、「標的型メール」「水飲み場型攻撃」そして、「潜伏型」「速攻型」の攻撃手法について解説していきます。

1．標的型メール攻撃

標的型攻撃は異なる複数の手口を使って、執拗にターゲットとする企業や団体、個人を狙い撃ちします。その最初の攻撃として多く利用されるのが「標的型メール攻撃」です。標的型メール攻撃に使われるのは、見た目がまったく普通のメールです。攻撃者はメールを送る相手をあらかじめ研究し、差出人として不自然のないよう実在の人物を装ったり、メールの件名や添付ファイルの名前を業務内容と関連したものにしたり、細かな工夫を重ねています。

この偽装メールに気づかずに受信者が添付ファイルを開くと、不正プログラムの感染活動が開始します。電子メールの利用者であれば、誰でも不審な添付ファイルを開いてはいけないと教育されていますが、それにもかかわらず受信者が開いてしまうのが、標的型メール攻撃の脅威です。

よくある標的型メールは、ターゲットとなるコンピュータシステムを乗っ取り、外部から操作できるCサーバ（Command and Control server）を構成します。このCサーバを使ったネットワークを介して、目標とする情報が保存されているサーバにたどり着き、情報の流出や破壊活動を開始します。

標的型メールの典型的な攻撃事例

標的型メール攻撃の事例の一つに、2015年に発覚した日本年金機構の個人情報流出事件があります。125万件もの個人情報が流出して、前代未聞の流出事件となりました。

その発端となったのが標的型メール攻撃です。表題が「『厚生年金基金制度の見直しについて（試案）』に関する意見」という圧縮ファイルが添付されており、職員は何の疑問も持たずに、開封してしまいました。開封しても怪しいところは見られず、まったく普通の文書でしたが、実は、開封した段階で感染が始まっていたのです。

出典：日本年金機構「不正アクセスによる情報流出事案に関する調査結果報告について」

この感染が引き金になって、一連の流出騒動に発展しましたが、「だまされても仕方がなかった」と指摘する専門家もいます。それだけ自然で普通のメールでした。他にも国際会議、シンポジウム、選挙、役員人事異動、来訪者情報、社内ウィルス調査などの内容に見せかけた偽装メールや、東日本大震災、金融情勢、国際情勢、外交情報、新型インフルエンザというような注意喚起するような偽装メールが多く見られます。

また、EvilGrabと呼ばれるWord文書に偽造した不正プログラムも発見されていて、手口は巧妙化しています。

標的型メール攻撃への対策

標的型メール攻撃への対策として、標準的な2つの対策を紹介しましょう。

■リアルタイムに監視

一つは、基本ともいうべき必須の対策です。専用のツールを用意して、リアルタイム監視を実施するもので、悪意のあるWebサイトのURLが記載されていないか、マルウェアが添付されていないか、などを監視します。

不審なプログラムを見つけたらサンドボックスのような安全な場所で実行させて、脅威の有無を判定／分析します。特に重要な機密情報を扱っている部門では、受け取り可能なアドレスをあらかじめ登録しておき、それ以外のアドレスのメールを拒否するといった手段も 取り入れています。

■シミュレーションが効果的

もう一つは、セキュリティ教育の中でシミュレーションによる訓練を行うことです。

セキュリティに教育は欠かせませんが、不審な添付メールを開けるなといっても、社員にとっては、何が不審で何が安全なのか、なかなか判断がつきません。

そこで効果的なのが、訓練メールを社員に送りつけて、開けるか開けないかのシミュレーションを行ってみることです。攻撃用として使われているメールはどこかしら不自然なところがあるものですが、そのメールの添付ファイルを開けてよいものかどうか、メールを開く前に確認を求めます。こうした訓練を定期的に繰り返し、不審なメールに対する社員の危機意識を持続させます。

また、この訓練を代行するサービスもあります。

2．水飲み場型攻撃とは

「水飲み場型攻撃」は、比較的新しいタイプの攻撃です。特定の個人、あるいは特定の企業の社員が閲覧するサイトを調べ、そのサイトを改ざんして不正なプログラムを仕込みます。標的となる相手が閲覧するとウィルスが感染する仕組みです。標的型メールを送付して、誘い出す手口もあります。

「水飲み場」とは、サバンナにある泉のことで、肉食獣が泉に集まる草食獣を待ちぶせする行為を連想させることから「水飲み場型攻撃」と名付けられました。巧妙なのは、一般のユーザーが閲覧したときと、ターゲットとなるユーザーが閲覧したときとでは、異なる動きを見せることです。セキュリティ担当者がチェックのためにそのサイトを閲覧しても怪しいところは発見できません。

しかし、ターゲットとなる閲覧者が訪れると、IPアドレスから判別して、攻撃をしかけます。攻撃に成功すると、標的としたシステムを遠隔操作して破壊したり、機密情報を盗み出したりします。サイトに埋め込まれるプログラムは「ゼロデイ脆弱性」を利用するものが多く、まだ対処方法が確立されていません。ゼロデイ脆弱性への攻撃は、検知や対策が困難なこともあって、被害が拡大しています。

典型的な攻撃事例

水飲み場型攻撃の代表的な事例を紹介します。

・Site Exposure Matrices（SEM）

米国労働省の「Site Exposure Matrices（SEM）」のWebサイトでは、米エネルギー省が運営する施設の有害物質情報を提供しています。このサイトが2013年に水飲み場型攻撃に利用されました。労働省のWebサイトに不正なJavaScriptが仕込まれ、Internet Explorer 8のゼロデイ脆弱性を悪用して、閲覧した人をマルウェアである「Poison Ivy」に感染させました。感染が発見された後、マイクロソフトは対策用の修正パッチを提供しています。

この犯人は、政府機関やエネルギー分野で働く職員をおびき寄せて狙っていたとものと推測されています。

・米国メディア関連会社

米国メディア関連会社の自治体向け専用サイトが改ざんされ、閲覧するとマルウェアに感染する状態になっていた事件です。このとき、埋め込まれていた不正プログラムもInternet Explorerのゼロデイ脆弱性を利用していました。これは、特定のパソコンを経由して、接続されている情報システムを遠隔操作しようというもので、その自治体を狙った犯行と推測されています。

水飲み場型攻撃への対策

水飲み場型攻撃はゼロデイ脆弱性を利用しており、対策が極めて困難です。100％防御することは困難でも、被害を最小化する方法はあります。

■パッチ適用の徹底＋α

極めて基本的なことですが、提供されているパッチを確実に適用することが重要です。加えて、アンチウィルス対策、IPS（Intrusion Prevention System：侵入防止システム）、標的型メール攻撃、Webフィルタリングなど、多角的な対策を加えていくことが必要です。Webフィルタリングを利用すると、サイトの怪しい挙動をキャッチして、閲覧を防止することができます。

■監視サービスの利用

社員のサイト閲覧を監視するサービスの提供をしているセキュリティ対策事業者があります。研修を受けたプロフェッショナルが監視するので、高い精度で怪しいサイトの閲覧防止や攻撃を防御することができます。24時間365日の体制で監視するため、リスクを最小限に抑えることができます。

増加傾向にある水飲み場型攻撃ですが、リスクを抑えることは可能です。検討を早期に開始しましょう。

3．潜伏型と速攻型

標的型攻撃における内部攻撃として、、潜伏型と速攻型という2つの種類があります。。潜伏型は企業内のネットワークに長期間潜伏し、機密情報を搾取することを目的としたタイプの標的型攻撃です。

一方で速攻型は、数時間から一日程度で、情報を盗み出します。しかし速攻型は単発での大きな攻撃はあまりみられず、、情報を盗むことを最小限に留め、最終的な機密情報すべて盗むまで、継続的に繰り返していきます。両ケースにおいても企業は標的型攻撃に遭遇していると気付くにくく、知らぬ間に機密情報搾取を許してしまっているケースが少なくありません。

まとめ

標的型攻撃の種類とその対策をご紹介しました。標的型攻撃は非常に巧妙で、一見しても見分けにくいことがおおいです。そのためにまずできることとして、対策ツールの導入をリスクヘッジの観点からお勧めします。

標的型攻撃対策の第一歩として、まずは、標的型メール攻撃に備えましょう。