標的型攻撃とは?
インターネット上のセキュリティリスクの中でも、特に危険性が高いものに「標的型攻撃」があります。標的型攻撃のターゲットになると、さまざまな方法で攻撃されるため、標的型攻撃の知識を得ることもセキュリティの対策になります。
安全に企業経営を行うためには標的型攻撃について知り、従業員の情報リテラシーを高める必要があります。
ここからは標的型攻撃について説明していきます。
サイバー攻撃の1種である標的型攻撃
標的型攻撃は数あるサイバー攻撃の中の1種です。サイバー攻撃とはインターネットなどのネットワークを通してパソコンやシステムのコンピュータ、ネットワーク機器を攻撃し、ダメージを与えたり、保管されている情報を盗み出すことです。
近年ではITの技術が発展し、便利な時代になってきました。情報共有やビジネスに必要な業務もインターネットの環境を利用して、効率化し業務改善ができるようになっています。しかし、便利になる「プラス」の意味で発展するだけでなく、悪用し犯罪に利用する「マイナス」面における発展も、残念ながら進んでいます。
この犯罪に活用できる技術はIT業界の中でも進化が進んでおり、日々新しいサイバー攻撃の方法が生まれています。このサイバー攻撃などの脅威が生まれては、セキュリティ対策ツールを開発している企業が対抗策を考えるとう「イタチごっこ」が長年続いています。
現代では、サイバー攻撃などのネットワークの脅威はセキュリティ会社によって共有され、セキュリティ対策が更新されています。そのため、自分の身を守るためには、サイバー攻撃などの脅威について知り、最新の対策を行い続ける必要があります。
無差別型攻撃との違いは「ターゲットの有無」
ここまでのサイバー攻撃には多くの種類があり、基本的には「セキュリティの穴」(セキュリティホール)を利用した無差別な攻撃です。この無差別なサイバー攻撃に対して標的型攻撃は、明確な「ターゲット」が存在し、はっきりした目的があり攻撃を行います。この標的型攻撃は対策を練られて攻撃されることがほとんどになるため、一般的なセキュリティでは対応ができない場合があります。特に攻撃の方法が決まっているわけではないため、対策が難しい脅威と言えます。
情報漏えいを防止するために知ろう!標的型攻撃の手法とは?
この標的型攻撃は世界全体に広まっており、サイバー攻撃の中でも特に注意が必要な脅威とされています。この標的型攻撃にも複数の手法があるため、その代表的な手法を知っておくことで対策を考えることができます。
ここからは標的型攻撃の手法を説明していきます。
手法1:標的型攻撃メール
最も標的型攻撃の有名な方法が「標的型攻撃メール」です。この標的型メールは日常に潜んでいる脅威になるため、特に注意が必要な攻撃です。この標的型攻撃メールは悪意があるプログラムを仕込んだ添付ファイルやURLをメールと一緒に送り、その脅威となるプログラムを展開することでウイルスや不正プログラムを強制インストール(感染)させます。
この標的型攻撃メールは知らないアドレスから送信されるイメージが強いですが、近年は取引がある企業を装い安全なメールだと思い込ませる方法が増えています。このような偽装をされていることが多くなっているため、特に注意が必要です。
手法2:水飲み場攻撃
比較的新しい標的型攻撃は「水飲み場攻撃」といわれる方法です。この方法はターゲットが日常的に閲覧するWebサイトに不正プログラムを組み込み、ウイルスやマルウェアに感染させる方法です。
この水飲み場攻撃の由来は、水飲み場攻撃とはライオンが行う狩りの手法が由来になっています。ライオンは水飲み場で待ち伏せをし、獲物を狩りを行いその姿に似ていることから「水飲み場攻撃」と言われています。普段利用しているページに脅威が仕込まれているため、高等な技術による攻撃方法になります。
この方法は見分けをつけることが困難であり、標的型攻撃メールと同様に脅威となっています。
手法3:潜伏型と速攻型
標的型攻撃の手法には「潜伏型」と「速攻型」が存在します。
潜伏型の攻撃とは、ウイルスや不正なプログラムが長期間潜伏し、感染したコンピュータで展開され重要な情報などを取得し続けていきます。特徴としては、感染した場所から活動する基盤を徐々に広げていくことができるため、早期発見・早期対応を行わないと被害が大きくなりやすいです。動作は遅いため、重要な情報が漏れるまでに時間がかかりますが、確実に情報は漏れていってしまいます。普段業務を行う画面には表示されないため、見つけることも難しいです。
潜伏型に対して速攻型の脅威も存在します。この速攻型の脅威は、潜伏型とは違い数時間から数日で情報を取得していきます。攻撃範囲は拡大されないものの、狙った情報を的確に短時間で抜き取ってしまいます。この速攻型は当たり外れがあるため、1回だけで攻撃が終わることはなく、数回に分けて継続的に攻撃されることが多いです。
不正プログラムが起動し、情報を抜き取る場合にはコンピュータのリソースを使うため、速攻型の攻撃を受けている場合はパソコンの動作が遅くなる傾向があり、異常を見つけやすいです。しかし、潜伏型の場合はゆっくり進行していくため異常に気付きにくいです。
標的型攻撃の手順
ここまでのように標的型攻撃にはさまざまな方法があり、その特徴を知る必要がありますが、攻撃の方法と同様に攻撃の「段階」を知ることも大切です。標的型攻撃には手順があり、その手順に沿って情報を抜き取るなどの攻撃を仕掛けてきます。セキュリティ対策を行うには標的型攻撃の手順を知ることも重要です。
手順1:初期潜入段階
標的型攻撃の初期段階では、標的型攻撃メールのような方法でターゲットに脅威を送り込み、添付ファイルなどを展開することで不正プログラムが実行されます。初期段階は感染してから、仕組まれたプログラムが動き出すまでの期間を指します。
標的型攻撃メール以外にもパソコンやシステムの脆弱性を狙った攻撃もあり、具体的な被害が出ていなくても、ウイルスなどが感染し潜伏している段階も含まれます。
手順2:攻撃基盤構築段階
攻撃基盤構築段階は、具体的に情報を盗んだり攻撃を仕掛ける側の「目的」を達成できるような環境を構築する期間になります。通常の標的型攻撃は攻撃を仕掛けているときも、水面下で活動しており、正体が明るみにならないように「バックドア(裏口)」環境を構築します。このバックドアが構築されると、パソコンを操作している表側では何も変化がないため、攻撃を受けていることにも気づきにくいです。
潜入した不正プログラムには、このバックドア型不正プログラムが仕込まれており、ターゲットのパソコン・システムなどのコンピュータに感染していきます。この不正プログラムがコンピュータの裏側で攻撃を仕掛けている側のサーバと通信を行い、新しい攻撃を行うウイルスなどのプログラムを感染した端末に送り込みます。
手順3:システム調査段階
標的型攻撃の恐ろしいことは抜き取る情報も狙い撃ちすることです。一般的なウイルスであれば無作為にデータを盗んでいきますが、標的型攻撃の場合は、侵入した不正プログラムがネットワーク内を検索し、ターゲットとなる情報の保存場所を特定します。このように標的型攻撃の仕組みは適切なステップを踏んでより確実に狙った情報を奪っていきます。
システム調査段階は、ターゲットとなる情報が存在している場所の特定までを指します。
手順4:攻撃最終目的の遂行段階
標的型攻撃の最終段階は、実際の攻撃に移行します。ターゲットとなる情報の場所が見つかれば、そこに情報を抜き取るプログラムを送り込み、実行します。このプログラムが実行されれば、狙いとなりデータを盗み取ることが可能です。ここまでのステップを、潜伏型であれば時間をかけておこない、速攻型であれば短時間で実行可能です。
また、ここまでの手順で紹介したようにウイルスのようなプログラムは複数存在します。まず大元となる不正プログラムが存在し、その中にバックドア型のプログラム・システム内を調査するプログラム・攻撃を行い情報を盗み出すプログラムが含まれます。
つまり、このような複数のプログラムが詰まっている不正プログラムは容量が大きくなる傾向があります。メールに添付されているファイルの容量が不自然に大きい場合は危険なため、特に注意する必要があります。
標的型攻撃による過去の被害とは?
標的型攻撃は特に大きな企業でセキュリティを万全に行ったとしても、被害遭うケースもあります。具体的に標的型攻撃に対策を行うためには、過去にどのような事例があったか知ることが参考になるため有効です。
ここからは標的型攻撃による過去の被害を紹介していきます。
過去の被害1:Google
近年の大規模な標的型攻撃の例で最も大きなインパクトがあった事例は「オーロラ作戦:Operation Aurora」です。この標的型攻撃は2010年ごろに起きたInternet Explorerの脆弱性を利用したサイバー攻撃であり、全世界の企業が標的になりました。このような脆弱性を狙った攻撃を「ゼロデイ攻撃」といい、パソコンなどにインストールされているソフトウェアの脆弱性(セキュリティホール)を狙った攻撃を意味します。
オーロラ作戦では、Windowsのパソコンに標準で搭載されているInternet Explorerの脆弱性を狙った攻撃であるため、世界中で被害が出ました。このゼロデイ攻撃は短時間の攻撃がしやすく対策を打ちにくいため、セキュリティの弱点になります。
オーロラ作戦では中国のハッカー集団が、このゼロデイ攻撃を世界的に有名な30社の企業に対して行い、被害に遭った企業の中でGoogleが最初に公表をしました。
このときにGoogleは、標的型攻撃により大量のGoogleアカウントが盗まれました。また、このときの標的型攻撃が、「APT攻撃(Advanced Persistent Threat)」という「高度で継続的な脅威」ものであり、被害が非常に拡大したとされています。
参考:「オーロラ作戦(Operation Aurora」と呼ばれるこのサイバー攻撃
過去の被害2:イラン
標的型攻撃の特殊な例としてイランの原子力施設を狙った標的型攻撃の事例も存在します。この事例の特殊なポイントはインターネットに接続していない端末がターゲットになったことです。この標的型攻撃は、何者かによって不正なプログラムが仕組まれたUSBメモリを介し、プログラムが感染し、産業用の制御システムに対して攻撃が行われました、攻撃が実行されたことにより、制御システムを乗っ取られてしまい、稼働していたシステムが全てストップし大打撃を与えました。
参考:イランの原子力施設を狙った攻撃の発生
過去の被害3:日本年金機構
最近起きた国内の標的型攻撃の事件といえば「日本年金機構の情報漏えい」をイメージする人も少なくありません。2015年に日本年金機構をターゲットにした標的型攻撃が行われ、年金加入者の個人情報が流出する事件が発生しました。このとき情報漏えいした、個人情報の件数は125万件にもなり、氏名・生年月日・住所・基礎年金番号が流出してしまいました。
この事件のポイントは巧妙な標的型攻撃メールが使われたことでいあり、日本年金機構の職員宛てに届いたメールに不正プログラムが仕込まれていました。このときのメールの件名は「厚生年金基金制度の見直しについて」というものであったため、メールを信用してしまい被害が拡大したと見られています。このように信用できるようなメールでも危険な可能性があるため注意が必要です。
参考:標的型攻撃により日本年金機構から
個人情報が流出
標的型攻撃の予防対策とは?
ここまで紹介してきたように標的型攻撃はサイバー攻撃の中でも特に厄介な存在であるため、日頃から注意する必要があります。標的型攻撃の脅威から社内の重要なデータを守るためには、しっかりと予防対策を行う必要があります。
ここからは標的型攻撃の予防対策を説明していきます。
管理体制を強化しヒューマンエラーを減らす
標的型攻撃の一番の狙い目は「セキュリティの意識が低い人」です。標的型攻撃メールを開封し、不正プログラムの侵入を許してしまうことが、大きな原因となっています。また、セキュリティソフトを過信し過ぎることで、不正プログラムを展開してしまうミスを起こしております。このような人為的なミス(ヒューマンエラー)を減らすためには、管理体制を強化する必要があります。
基本的な対策ですが、非常に重要であり、社内ルールを明確に決めることが大切です。セキュリティの教育だけでは不確定なため、防ぎきることは難しいですが、不審なメールや容量が不自然なメールを開かないように気をつけるだけでも効果はあります。
OS・ソフトウェアを最新の状態にする
どれだけセキュリティソフトなどを入れてセキュリティ対策を行っていても、使用しているパソコンやシステムにセキュリティホール(脆弱性)があれば、簡単に不正プログラムの侵入を許してしまいます。そのため、脆弱性をなくすために、常にOS・ソフトウェアを最新の状態にすることが必要です。
また、従業員数が多いと管理が大変になるためIT資産ツールを活用して管理することも有効です。
ログの収集監視で攻撃を検出する
不正なプログラムの侵入にいち早く気づくためには、ログ管理を行い監視する体制を整えることが重要です。ログ管理システムを活用することで、リアルタイムにログを収集することが可能です。この収集したログをシステムを活用して監視することで、不正なプログラムの活動を早期発見できます。
標的型攻撃の不正なプログラムが実際に攻撃を開始するには、時間がかかるためログを監視することで被害の拡大を防ぐことが可能です。
セキュリティソフト・サービスを導入する
最も一般的な標的型攻撃の対策はセキュリティソフト・サービスを導入することです。ログの監視だけでなく、インターネット上の脅威を防ぐためには強度が高いセキュリティソフトが必要です。標的型攻撃対策のセキュリティソフトを導入することで、悪意のあるメールなどを事前に見分けることも可能になり、危険な通信を防ぐことができます。
サンドボックスを導入する
標的型攻撃専用の対策として有名なツールに「サンドボックス」があります。このサンドボックスを利用することで、安全な環境を構築することが可能です。
ここからはサンドボックスについて説明していきます。
サンドボックスとは?
サンドボックスとは「砂場」を意味する言葉であり、不審なメールの添付ファイルやURLを展開するときに、パソコンや社内システム上で開くのではなく、隔離された安全な空間で実行することにより安全性を確認することができます。サンドボックスは標的型攻撃になるメールを安全な仮想環境で検証することで、中身を確認しつつ安全性を確保できます。
もし、仮に悪意のあるメールで不正なプログラムが仕込まれていたとしても、安全な隔離空間で展開するため社内の環境に影響は出ません。
サンドボックスを導入するメリット
このサンドボックスを導入することで下記の3つのメリットを得ることができます。
・安全に不正なプログラムを確認できる
サンドボックスは仮想空間を作り、その中でメールに添付されたファイルやURLを展開します。社内にITのセキュリティ知識がない人がうっかり悪意があるファイルを展開しても影響がないため、安全性を高めることができます。
・ネットワークに後付けでき導入が簡単
セキュリティツールを導入するときは、既存のネットワークを組み直す必要がある場合もあります。サンドボックスの場合は、既存のネットワークに後付けする形で仮想環境を構築できるため、手軽に導入することが可能です。
・実行した内容を記録
サンドボックスの製品の中には、実行したデータなどを記録できるものがあります。蓄積したデータを分析し、社内で活用することでよりセキュリティの強度を高めることが可能です。また、同様のメールアドレスからのメールをブロックしたり、社内でセキュリティ知識を高める資料にもなります。
まとめ
ここまで紹介してきたように標的型攻撃は企業にとって大きな脅威です。自社も狙われているかもしれないという意識を持ち、適切な対策を行うことが重要です。標的型攻撃は一般的なネット上の脅威よりも防ぐことが難しいため、パソコンなどのIT機器を使う一人ひとりの意識も重要な要素になります。標的型攻撃の一番の対策はどのような方法で攻撃してくるか、どのような被害が出るかなど知識をつけることです。自社に合った標的型攻撃の対策を行い、セキュリティを強化することが大切です。
