コピー完了

記事TOP

標的型攻撃とは|仕組みや事例、対策 - もし被害にあったら?

最終更新日:
近年のサイバー攻撃の中で、最も脅威とされているのが標的型攻撃です。標的型攻撃の定義や仕組み、事例、対策、攻撃を受けた際の事後対応について解説します。攻撃される前に未然に防ぎましょう。

IPA(情報処理推進機構)が公開した「情報セキュリティ10大脅威 2017」によると、2016、2017年の発表時ともに標的型攻撃が第一位の脅威となっています。いまや標的型攻撃に対しては最優先で取り組むべきセキュリティ対策となっています。

そんな標的型攻撃の概要や仕組み、事例、対策などを解説します。標的型攻撃の具体的なサービスを知りたい方は下の記事を参考にしてください。概要の説明と合わせて確認するとさらに理解が深まるでしょう。

標的型攻撃とは

標的型攻撃とは、特定の標的に対して行われるサイバー攻撃の一つです。かつてサイバー攻撃で多かった個人による愉快犯的な攻撃よりも、組織的な犯行が中心です。主に政府、官公庁、企業といった重要な情報を持つ組織が標的とされやすく、目的を達成するまで執拗に攻撃を仕掛けてくるという特徴もあります。

標的型攻撃の目的

攻撃者は、顧客情報、知的財産などの重要な情報を不正に取得することを目的とするケースが増えています。過去には攻撃対象のシステムを破壊する事件もあったものの、近年は破壊以上に損失の大きな情報漏えいを目的とする事件が散見されます。

標的型攻撃の仕組み

攻撃は、次の4段階を経て遂行されます。複雑な過程を経るため、攻撃の追跡を困難にしています。

標的型攻撃の仕組みは潜入から攻撃の4段階

1. 潜入

標的型メールが送信され、受信者により添付された不正プログラム実行されます。または、不正プログラムを含むUSBメモリが持ち込まれる場合もあります。インターネットに公開するサーバーがあれば、ぜい弱性を利用した攻撃による侵入も考えられます。

なかでも特徴的なメールによる攻撃とサイト改ざんによる攻撃について詳しく解説します。

メールに不正プログラムを添付

攻撃者は、関係者や関連業者を装うことで標的ユーザを信用させ、添付された不正プログラムを開かせます。標的となる組織の事業内容や取引関係など、事前に調査した上で巧妙なメールを作成しているため、ユーザは業務に関係のあるものだと思ってメールを開き、不正プログラムからマルウェアに感染してしまうのです。

よく利用するサイトの改ざん

攻撃者は、特定の攻撃対象組織からの閲覧者に限ってウイルス感染させるようにウェブサイトを改ざんします。ユーザにとっては、いつも訪れるウェブサイトなので、特に気をつけることなくウイルス感染の被害に遭ってしまいます。このようなユーザに気づかれないようにマルウェアをダウンロードさせる行為は、ドライブ・バイ・ダウンロードと呼ばれます。

2. 攻撃基盤構築

バックドア型不正プログラム※が標的内端末へ感染します。次に、バックドア型不正プログラムは外部サーバーと通信を行い、内部活動を行う新たなウイルスがダウンロードされます。これにより、次のシステム調査段階に進む準備が完了します。

バックドア型不正プログラムとはPCを外部からユーザに気づかれないように操作するための裏口を作ることを目的としたプログラムです。このプログラムに感染すると知らず知らずのうちにPCが操られ続けなかなかそれに気づけません。

3. システム調査段階

内部活動を行うウイルスによってネットワーク内の情報を探索することにより、情報の存在箇所が特定されます。これにより、攻撃者は最終的に目的を遂行するためにはどのような手段をとるべきかが明らかとなります。

4. 攻撃

攻撃専用のウイルスのダウンロードが実行され、重要情報の収集、収集した重要情報の外部入手といった攻撃を遂行します。

標的型攻撃の事例

過去に発生した標的型攻撃の事例2つを紹介します。

グーグルやヤフー

2010年1月前後、Internet Explorerのぜい弱性を利用し、ユーザのコンピュータを乗っ取り、遠隔操作によって特定企業のシステムに侵入することにより、スパイ行為や知的財産の窃取などを行う攻撃が発生しました。グーグルやヤフーなど30社を超える企業のウェブサイトが攻撃対象となりました。グーグルにおいては、同社にとって最も重要な情報資産であるGmailアカウントが窃取されました。

イランの原子力施設

2009、2010年にUSBメモリを介して感染し、インターネットに接続していない産業用制御システムに対する攻撃が発生しました。イランのウラン濃縮用遠心分離機が標的となり、それを制御しているシステムが乗っ取られ、稼働していた遠心分離機すべてが稼働できなくなりました。2012年6月1日にニューヨーク・タイムズは、Stuxnetはアメリカ国家安全保障局(NSA)とイスラエル軍の情報機関がイラン攻撃用に作成したマルウェアだと報じました。このようなことから、Stuxnetは国家間サイバー戦争に使われたマルウェアという見方がされています。

標的型攻撃の対策

標的型攻撃から重要な資産や情報を守るためには、攻撃が発生する前に取れるべき対策は打っておくことです。企業の人的リソースや予算によってさまざまな策はあるかもしれませんが、ここでは、共通して必要な情報資産の管理とセキュリティ対策について説明します。

管理体制の強化

企業にとって価値の高い情報資産はどこにどれだけあるのか定期的に棚卸し、守るべき対象を明確にします。そして、該当の資産に対してどのようなリスクがあるか分析したうえで、セキュリティポリシー策定とその実行を行います。

また、攻撃は高度な技術を使ったものだけでなく、ソーシャルエンジニアリングといった騙しのテクニックも利用されます。そのため、ユーザ一人ひとりが高いセキュリティ意識を持つことが必要です。合わせて経営者やマネジメント層も、従業員に対するセキュリティ教育や注意喚起を継続して実施しなければなりません。

セキュリティソフトの導入

既知のぜい弱性には、ウイルス・マルウェア対策ソフトなどで対応可能です。ただし、常に最新パターンが適用されているかの監視は不可欠です。また、未知のぜい弱性には対応できないことにも注意しなければなりません。したがって、あらゆる方向からの攻撃を防御できるよう、多層防御をするセキュリティ対策が必要になります。

標的型攻撃対策ツールをお探しの方は、ぜひ次の記事も参考にお読みください。

標的型攻撃の事後対応

標的型攻撃の特徴として、攻撃の目的が達成されるまで攻撃が執拗に継続されるということがあります。このことから、出口、入口部分だけですべてを防ぐのは非常に難しくなってきます。ここでは、攻撃が発生した後どうするべきかという観点で説明します。

侵入検知

システムへの入り口での防御として、ファイアウォールIDS/IPSは有効です。もしシステム内にインターネットにつながるウェブサイトがある場合は、WAF(ウェブアプリケーションファイアウォール)も必要でしょう。これにより、ウェブアプリケーションのぜい弱性を利用した攻撃を検知・遮断します。

被害拡大の防止

直接の被害拡大防止事業に及ぼす影響低減の2つの視点で取り組むことが必要です。

まず、直接の被害拡大防止としては、外部の不審な通信を検知、またはウイルスに感染したコンピュータを特定して、不正な通信を遮断することを最優先で実施します。

たとえば、ウイルス対策ソフトで不正な動作を検知した場合は、即該当コンピュータのネットワークケーブルを取り外すといった対応となります。IDSを導入していれば、不正な通信を検知後にファイアウォールで遮断対応、IPSであれば、自動的に遮断まで実施といったことになります。

次に、事業に及ぼす影響の低減としては、スムーズで確実な対外発表、関係機関への報告が考えられます。このためには、事前に情報資産の棚卸しができていること、訓練により被害が発生した際のシミュレーションを行い、スムーズに対応できる準備ができていることが必要です。

被害状況の確認

被害状況の確認にはログ分析が欠かせません。ネットワーク、サーバーのログと情報資産へのアクセスログを取得し、これらを分析し、全体像を把握します。もし、被害の全容を可視化できるツールが導入されていれば、より全体像の把握がスムーズになるでしょう。

復旧作業

調査結果や影響をふまえ、関係者の事業継続を優先し最短の時間で最低限の機能から復旧させます。あくまで事業継続という観点が第一です。スムーズな復旧ができるためには、日常から訓練することにより、実際に被害が発生した際に迷うことなく復旧作業ができるようにすることが重要です。

標的型攻撃における被害と対策の現状

被害状況

最近の傾向としては、ゼロデイぜい弱性が悪用される、いわゆる「ゼロデイ攻撃」が増えています。ゼロデイとは、ぜい弱性の修正プログラムがリリースされる前ということです。実例としては「Adobe Flash Player」のゼロデイぜい弱性がよく知られています。ゼロデイぜい弱性が複数発覚し、「Adobe Flash Player」を頻繁にアップデートしたことを記憶されている方もいるかもしれません。

もう一つ、最近の傾向としては、アカウント情報の窃取に正規ツールを利用する手口が使われるようになっています。不正プログラムを使わないことで、実行アプリケーションの監視の目をかいくぐろうとする意図が見えます。さらに、ソーシャルエンジニアリングという、ITの技術ではなく、人間の心理や社会の盲点を突いて、機密情報を入手する方法も活発になっています。

対策の現状

トレンドマイクロの2012年調査によると、次の機密情報の漏えい対策は調査対象企業の4割以下にとどまることがわかりました。

  • 重要度の高い情報は端末に保存できないようになっている
  • 情報漏えい対策製品などのデータの送受信をブロックする仕組みを利用して重要な情報の漏えいから守っている
  • メールやリムーバブルメディアなどによる実行ファイルの送受信は禁止している

これらはいずれも、標的型攻撃を防止するために必要な手段です。したがって、この調査では、標的型攻撃に弱い企業が6割以上あるという結果になっているといえます。

標的型攻撃対策に完璧はない

標的型攻撃への対策に完璧はありません。攻撃者には組織の重要な情報を窃取するという明確な目的が存在し、それを達成するためには手段を選ばないためです。また、ソーシャルエンジニアリングという、クラッキングを介さずに情報の穴を探す手段も近年は流行しています。

防止できる対策は必要ですが、不測の事態が起こった際に被害を最小限に抑えるということについても、防止策と同様に準備が必要です。

ボクシルとは

ボクシルとは、「コスト削減」「売上向上」につながる法人向けクラウドサービスを中心に、さまざまなサービスを掲載する日本最大級の法人向けサービス口コミ・比較サイトです。

「何かサービスを導入したいけど、どんなサービスがあるのかわからない。」
「同じようなサービスがあり、どのサービスが優れているのかわからない。」

そんな悩みを解消するのがボクシルです。

マーケティングに問題を抱えている法人企業は、ボクシルを活用することで効率的に見込み顧客を獲得できます!また、リード獲得支援だけでなくタイアップ記事広告の作成などさまざまなニーズにお答えします。

ボクシルボクシルマガジンの2軸を利用することで、掲載企業はリードジェネレーションやリードナーチャリングにおける手間を一挙に解消し、低コスト高効率最小限のリスクでリード獲得ができるようになります。ぜひご登録ください。

また、ボクシルでは掲載しているクラウドサービスの口コミを募集しています。使ったことのあるサービスの口コミを投稿することで、ITサービスの品質向上、利用者の導入判断基準の明確化につながります。ぜひ口コミを投稿してみてください。

ウイルス対策・不正アクセス対策
選び方ガイド
この記事が良かったら、いいね!をしてください!最新情報をお届けします!
御社のサービスを
ボクシルに掲載しませんか?
掲載社数3,000
月間発生リード数30,000件以上
編集部のおすすめ記事
ウイルス対策・不正アクセス対策の最近更新された記事
[PR]急務! LanScopeシリーズでテレワーク環境におけるサイバーセキュリティと業務生産性の両立を実現
ノートン製品が見つからないときの対処法 | Windows 10アップグレード後の不具合
コンピューターウイルスに感染時の症状とは | PC・ブラウザ上でのトラブル
ルートキットの種類とは | 感染経路・特徴・対策は?
マルウェアの駆除方法とは | 専用ソフトで感染をスマートに対処しよう
コンピューターウイルスの感染経路とは?注意すべきポイントまで徹底解説
マルウェア対策を徹底解説!スマートフォン・対策ソフトなど
タブレット対応ウイルス対策セキュリティソフト「AntiVirus Free」12の機能を無料で使い倒す方法
WordPress改ざんチェック | 被害・方法 - あなたのサイトは大丈夫?
コンピューターウイルスとは | 種類・対策・感染経路 - 感染したらどうなる?