KNOWLEDGE - COLUMN ナレッジ - コラム

【ナレッジコラム】標的型攻撃とは?その仕組みと対策方法

サイバー攻撃のなかでも「標的型攻撃」は、手口の巧妙さや複雑さ、被害件数において、特にやっかいで深刻な攻撃といえます。ここでは、情報処理推進機構(IPA)が公開している「情報セキュリティ10大脅威」において、2016年から2020年まで5年連続で最大の脅威としているこの攻撃とその対策方法を解説します。

標的型攻撃とは

標的型攻撃とはどんなもの?

サイバー攻撃にはさまざまな種類がありますが、なかでも「標的型攻撃」はやっかいな攻撃で「標的型サイバー攻撃」とも呼ばれます。この攻撃は不特定多数に対して行われるものではなく、特定の組織や人間といった「ターゲット」に向けて行われる点が大きな特徴で、サイバーセキュリティ対策推進会議が「高度サイバー攻撃」の一種と定義し警戒を強めています。海外ではこの手口を「Targeted attack」と呼び、特に長期的に潜伏して行われる攻撃を「APT攻撃(Advanced Persistent Threat)」と呼んでいます。

標的型攻撃のターゲットと目的

先に述べたように、不特定多数に対する無差別の攻撃ではなく、特定の攻撃対象=ターゲットに向けた攻撃です。そのターゲットは企業や政府機関、公共サービス機関といったものから個人まで、現在までに多くの被害をもたらしています。

標的型攻撃が目的とするのは情報の不正入手です。例えば企業や組織がもつ知的財産を不正に入手し、技術的な利益を得たり、それを売って金銭を得るといったものや、企業や組織、個人などから情報を不正に入手し、脅迫を行って金銭を得る、活動を止めさせる、さらには長期的に通信を盗聴するといったものまでさまざまです。

標的型攻撃の攻撃方法

標的型攻撃は情報を盗むために長期的に行われますが、その攻撃は少しずつかつ長期的に潜伏するため、実際に情報の流出といった被害がでるまで気がつきにくいという特徴があります。ここでは標的型攻撃の攻撃方法を紹介します。

メールによる攻撃

マルウェアといった不正なプログラム電子メールを組織内の人間に送り、攻撃のきっかけを作ります。組織内の業務連絡メールや、顧客を装いマルウェアを送りつけてくる場合や、当たり障りのない日常会話を行なう場合もあります。これは警戒心を和らげてから、実際にマルウェアを送ったり、後述するウェブサイトによる攻撃などに繋げるためです。

ウェブサイトからの攻撃

悪意のあるウェブサイトを作成し、それをターゲットに閲覧させてマルウェアを送り込む方法で、ブラウザやそのプラグインの脆弱性を悪用し、コンピュータへ感染させます。こうしたサイトに誘導するために、メールやチャットなどでURLを送り、アクセスを促します。

また、直接マルウェアを送り込まない方法もあります。本物そっくりに作られた偽サイトに誘導し、ログインIDやパスワードを不正に入手するものです。例えば普段組織で利用しているポータルサイトの「偽サイト」に誘導し、ログインを試みさせることで、ログインIDなどの情報を入手します。

無線LAN(Wi-Fi)による攻撃

ターゲットが利用する無線LANに細工することで、悪意あるウェブサイトに誘導したり、セキュリティ対策をすり抜けて攻撃を行います。例えば、普段組織内で使用する無線LANアクセスポイントと偽り、悪意のある別なアクセスポイントを作成します。そのアクセスポイントを経由してウェブサイトにアクセスすると、悪意のあるウェブサイトに誘導、マルウェアを仕掛けるといった方法です。また、こうした悪意あるアクセスポイントでの通信を盗聴することで、ログインIDといった情報を入手することもあり、こうした手法は企業内だけではなく、ホテルや空港といった公共の場所でも行われます。

バックドアによる不正アクセス

組織内のコンピュータにマルウェアを感染させることに成功した場合、それが攻撃者のバックドアとなり、不正な通信を行なうことを許してしまいます。具体的にはバックドアを使ったコンピュータの遠隔操作です。

長期的攻撃(APT攻撃)

組織内のコンピュータにバックドアを設置できた攻撃者は、すぐに目的の情報を入手しようとする場合もありますが、長期的な攻撃、いわゆるAPT攻撃に発展させることもあります。

バックドアから他のコンピュータにマルウェアを仕掛けたり、組織のイントラネットを調査する、組織で利用しているネットワークを盗聴するといった攻撃を長期的に行なうのです。APT攻撃となった場合、状況の把握は難しくなり、事態はより深刻なものになるといえます。

標的型攻撃を防ぐ方法

それでは標的型攻撃を防ぐにはどのような対策を行えばよいのでしょうか。ここでは実際の対策方法を問題点とともに紹介します。

セキュリティ対策ソフトの導入

セキュリティ対策ソフト(アンチウイルスソフト)の導入は必須といえますが、標的型攻撃にはこうした対策ソフトだけでは不十分といえます。

標的型攻撃で使われるマルウェアをセキュリティ対策ソフトが検知できないこともあるからです。

セキュリティ対策ソフトは既知のマルウェアを検知、駆除できます。しかし、標的型攻撃では攻撃者がターゲットに特化したマルウェアを作成したり、セキュリティ対策ソフトがまだ対応できていない最新の脆弱性をつく「ゼロデイアタック」が行われることも多いため、検知できないからです。

メールの対策

メールの送受信時にはウイルスチェックフィルターを通すことが重要となりますが、前述のようにフィルターで検知できない場合もあるので過信は禁物です。

また、攻撃者は普通のメールを装っているため、業務に関係のないメールや、見に覚えのないメールは開かないといった基本的な対策も重要です。

無線LAN(Wi-Fi)の対策

業務で利用しているPCやスマートフォンといった機器は、特定の無線LANアクセスポイント以外には接続しないように設定しておきます。もちろん、ホテルや公衆無線LAN、店舗のアクセスポイントの利用は避けるべきです。

OSなどのソフトウェア最新化

WindowsやmacOSはもちろん、スマートフォンやタブレット、ネットワーク機器といった業務で利用している通信機器のOS、ファームウェアを常に最新化し、セキュリティホールを塞いでおきます。

従業員のセキュリティリテラシー教育

不特定多数への攻撃と違い、標的型攻撃は技術的な対策だけで防ぐことは難しい攻撃です。このため、「メールの添付ファイルは開かない」「見に覚えのない不審なメールは開かない」といった基本的な教育と周知が重要です。もちろん、パスワードの漏えいも考慮し、定期的な変更を行なうことも有効な対策です。

なによりも従業員が「私だけは大丈夫」と思わないようなリテラシー教育を行ないましょう。

標的型攻撃に対応する3つの方法

これまで説明したように、標的型攻撃を完全に防ぐことは難しいものです。メールに気をつけていても、実際に業務で使用されているメールを流用するといった攻撃では見分けることはできませんし、セキュリティ対策ソフトでもすべてのマルウェアを検知、駆除することができないからです。

それでは標的型攻撃に対して、これ以上できることはないのでしょうか?ここでは最終的な対策として、3つのポイントを紹介します。

侵入の検知

組織内のシステムに侵入されることを前提に考え、不正アクセスがないかシステムレベルで検知します。また、組織内のコンピュータへ、マルウェアの感染拡大を防ぐことも考慮します。これらは遠隔操作を行なうために使われる通信を検知するほか、組織内で外部からアクセスできる人間や、ネットワークを限定するといった方法で行います。なお、こうした通信を広範囲かつ長期的に監視し、自動で検知できるSIEM(Security Information and Event Management)や、検知から防御を自動化するEDR(Endpoint Detection and Response)の導入も検討しましょう。

情報を持ち出させない

すでに組織内のコンピュータが攻撃者によって遠隔操作されているとしても、きちんとした情報の管理を行なうことで、情報の持ち出しを防げます。

これには重要なデータを格納しているデータベースやストレージへのアクセス権限をきちんと管理し、だれでもアクセスできる状態にしないことです。また、組織内の人間が使うコンピュータに情報を保存せずファイルサーバで管理する、個人的に外部のファイル共有サーバを使用しない、といったことも徹底しましょう。

持ち出された情報への対策

情報が外部に流出してしまっても、その情報の価値をなくす方法もあります。重要なデータ(情報)を暗号化しておくことや、ファイル管理にDRM(Digital Rights Management)を使う方法などがあります。DRMは外部にデータを持ち出されたとしても、同じドメイン内でしか開くことはできないため、攻撃者にとって無価値の情報となる技術です。

標的型攻撃を完全に防ぐことは不可能、基本的な対策をしっかりと

標的型攻撃は不特定多数への攻撃ではなく、特定の個人や組織といった「ターゲット」に仕掛けられるということがわかりました。メールやウェブサイトなどを使ってバックドアを仕掛け、情報を盗み出すという攻撃は、セキュリティ対策ソフトだけでは防げず、人間がどんなに気をつけていても完全に防ぐことはできません。基本的な対策をきちんと行っておくことはもちろんですが、侵入された場合や情報を盗み出されたあとの対策も考慮することが重要といえます。

当サイトの内容、テキスト、画像等の転載・転記・使用する場合は問い合わせよりご連絡下さい。

エバンジェリストによるコラムやセミナー情報、
IDグループからのお知らせなどをメルマガでお届けしています。

メルマガ登録ボタン

関連するナレッジ・コラム

残された攻撃の痕跡を追え! ~初期侵入の痕跡が残るデータソース~

【エバンジェリスト・ボイス】放置するとマルウェア感染のリスクに! IoT機器の定期的な棚卸をお勧めします

【エバンジェリスト・ボイス】そのショッピングサイト大丈夫ですか?詐欺サイトの最新動向