{{ message }}
Article square balloon green
2017-07-12

標的型攻撃とは|手法と最近の動向・セキュリティ対策を解説

近年のサイバー攻撃の中で、最も脅威とされているのが標的型攻撃です。その攻撃手法を知ることで、あらためて強固なセキュリティ対策が可能になります。被害実例から最近の動向、標的型攻撃の脅威について解説します。※初回公開日:2017/07/13
Large

IPA(情報処理推進機構)が公開した「情報セキュリティ10大脅威 2017」によると、2016、2017年の発表時ともに標的型攻撃が第一位の脅威となっています。このように、いまや標的型攻撃に対しては最優先で取り組むべきセキュリティ対策となっています。ここでは、標的型攻撃とは何か?について、さらに標的型攻撃の手法、被害件数など最近の動向、情報資産の管理体制やセキュリティソフト導入による予防策まで紹介していきます。

今回の記事では標的型攻撃の概要を説明してまいりますが、具体的なサービスを知りたい方は下の記事を参考にしてください。概要の説明と合わせてご覧になるとさらに理解が深まるでしょう。

標的型攻撃対策ツール22選|様々な攻撃に対応したツールたちを紹介! | ボクシルマガジン
サイバー攻撃の中でもより凶悪で執拗に攻撃してくるのが標的型攻撃です。目的を決めて狙った情報を得るまで攻撃を止めない...

標的型攻撃とは?

標的型攻撃とは、言葉通り特定の標的に対して行われるサイバー攻撃の一つです。かつてサイバー攻撃で多かった個人による愉快犯的な攻撃よりも、組織的な犯行が中心です。

攻撃者は、顧客情報、知的財産などの重要な情報を不正に取得することを目的とすることが増えています。

主に政府、官公庁、企業といった重要な情報を持つ組織が標的とされやすく、目的を達成するまで執拗に攻撃を仕掛けてくるという特徴もあります。

標的型攻撃の手法

代表的な手法

手法(1)メールに不正プログラムを添付して直接送りつける
攻撃者は、関係者や関連業者を装うことで標的ユーザを信用させ、添付された不正プログラムを開かせます。

標的となる組織の事業内容や取引関係など、事前に調査した上で巧妙なメールを作成しているため、ユーザは業務に関係のあるものだと思ってメールを開き、不正プログラムからマルウェアに感染してしまうのです。

手法(2)利用者が普段よく訪れるウェブサイトの改ざん
攻撃者は、特定の攻撃対象組織からの閲覧者に限ってウイルス感染させるようにウェブサイトを改ざんします。

ユーザにとっては、いつも訪れるウェブサイトなので、特に気をつけることなくウイルス感染の被害に遭ってしまいます。このようなユーザに気づかれないようにマルウェアをダウンロードさせる行為は、ドライブ・バイ・ダウンロードと呼ばれます。

攻撃段階

攻撃は、以下の4段階を経て遂行されます。複雑な過程を経るため、攻撃の追跡を困難にしています。

<初期潜入段階>
標的型メールが送信され、受信者により添付された不正プログラム実行されます。または、不正プログラムを含むUSBメモリが持ち込まれる場合もあります。インターネットに公開するサーバがあれば、脆弱性を利用した攻撃による侵入も考えられます。

<攻撃基盤構築段階>
バックドア型不正プログラム※が標的内端末へ感染します。次に、バックドア型不正プログラムは外部サーバと通信を行い、内部活動を行う新たなウイルスがダウンロードされます。これにより、次のシステム調査段階に進む準備が完了します。

バックドア型不正プログラムとはPCを外部からユーザに気づかれないように操作するための裏口を作ることを目的としたプログラムです。このプログラムに感染すると知らず知らずのうちにPCが操られ続けなかなかそれに気づくこともできません。

<システム調査段階>
内部活動を行うウイルスによってネットワーク内の情報を探索することにより、情報の存在箇所が特定されます。これにより、攻撃者は最終的に目的を遂行するためにはどのような手段をとるべきかが明らかとなります。

<攻撃最終目的の遂行段階>
攻撃専用のウイルスのダウンロードが実行され、重要情報の収集、収集した重要情報の外部入手といった攻撃を遂行します。

標的型攻撃の最近の動向

被害状況

最近の傾向としては、ゼロデイ脆弱性が悪用される、いわゆる「ゼロデイ攻撃」が増えています。ゼロデイとは、脆弱性の修正プログラムがリリースされる前ということです。実例としては「Adobe Flash Player」のゼロデイ脆弱性がよく知られています。ゼロデイ脆弱性が複数発覚し、「Adobe Flash Player」を頻繁にアップデートしたことを記憶されている方もいるかもしれません。

もう一つ、最近の傾向としては、アカウント情報の窃取に正規ツールを利用する手口が使われるようになっています。不正プログラムを使わないことで、実行アプリケーションの監視の目をかいくぐろうとする意図が見えます。さらに、ソーシャルエンジニアリングという、ITの技術ではなく、人間の心理や社会の盲点を突いて、機密情報を入手する方法も活発になっています。

次に、過去に発生した標的型攻撃の事例2つを紹介します。

事例1 Google、Yahoo!を狙った攻撃

2010年1月前後、Internet Explorerの脆弱性を利用し、ユーザのコンピュータを乗っ取り、遠隔操作によって特定企業のシステムに侵入することにより、スパイ行為や知的財産の窃取などを行う攻撃が発生しました。Google、Yahoo!など30社を超える企業のウェブサイトが攻撃対象となりました。Googleにおいては、同社にとって最も重要な情報資産であるGmailアカウントが窃取されました。

事例2 イランの原子力施設を狙った攻撃

2009、2010年にUSBメモリを介して感染し、インターネットに接続していない産業用制御システムに対する攻撃が発生しました。イランのウラン濃縮用遠心分離機が標的となり、それを制御しているシステムが乗っ取られ、稼働していた遠心分離機全てが稼働できなくなりました。2012年6月1日にニューヨーク・タイムズは、Stuxnetはアメリカ国家安全保障局(NSA)とイスラエル軍の情報機関がイラン攻撃用に作成したマルウェアだと報じました。このようなことから、Stuxnetは国家間サイバー戦争に使われたマルウェアという見方がされています。

対策の現状

トレンドマイクロの2012年調査によると、以下の機密情報の漏えい対策は調査対象企業の4割以下にとどまることがわかりました。

「重要度の高い情報は端末に保存することができないようになっている」
「情報漏えい対策製品などのデータの送受信をブロックする仕組みを利用して重要な情報の漏えいから守っている」
「メールやリムーバブルメディアなどによる実行ファイルの送受信は禁止している」

これらはいずれも、標的型攻撃を防止するために必要な手段です。したがって、この調査では、標的型攻撃に弱い企業が6割以上あるという結果になっているといえます。

標的型攻撃の予防策

標的型攻撃から重要な資産や情報を守るためには、攻撃が発生する前に取れるべき対策は打っておくことです。企業の人的リソースや予算等によってさまざまな策はあるかもしれませんが、ここでは、共通して必要な情報資産の管理とセキュリティ対策について説明します。

管理体制の強化

企業にとって価値の高い情報資産はどこにどれだけあるのか定期的に棚卸し、守るべき対象を明確にします。そして、該当の資産に対してどのようなリスクがあるか分析した上で、セキュリティポリシー策定とその実行を行います。

また、攻撃は高度な技術を使ったものだけでなく、ソーシャルエンジニアリングといった騙しのテクニックも利用されます。そのため、ユーザ一人ひとりが高いセキュリティ意識を持つことが必要です。合わせて経営者やマネジメント層も、従業員に対するセキュリティ教育や注意喚起を継続して実施しなければなりません。

セキュリティソフトの導入

既知の脆弱性には、ウイルス・マルウェア対策ソフトなどで対応可能です。ただし、常に最新パターンが適用されているかの監視は不可欠です。また、未知の脆弱性には対応できないことにも注意しなければなりません。したがって、あらゆる方向からの攻撃を防御できるよう、多層防御をするセキュリティ対策が必要になります。

標的型攻撃対策ツールをお探しの方は、ぜひ以下の記事も参考にお読みください。

標的型攻撃対策ツール22選|様々な攻撃に対応したツールたちを紹介! | ボクシルマガジン
サイバー攻撃の中でもより凶悪で執拗に攻撃してくるのが標的型攻撃です。目的を決めて狙った情報を得るまで攻撃を止めない...

標的型攻撃の事後対応

標的型攻撃の特徴として、攻撃の目的が達成されるまで攻撃が執拗に継続されるということがあります。このことから、出口、入口部分だけで全てを防ぐのは非常に難しくなってきます。ここでは、攻撃が発生した後どうするべきかという観点で説明します。

侵入検知

システムへの入り口での防御として、ファイアウォールとIDS/IPSは有効です。もしシステム内にインターネットにつながるウェブサイトがある場合は、WAF(ウェブアプリケーションファイアウォール)も必要でしょう。これにより、ウェブアプリケーションの脆弱性を利用した攻撃を検知・遮断します。

被害拡大の防止

直接の被害拡大防止事業に及ぼす影響低減の2つの視点で取り組むことが必要です。

まず、直接の被害拡大防止としては、外部の不審な通信を検知、またはウイルス等に感染したコンピュータを特定して、不正な通信を遮断することを最優先で実施します。

たとえば、ウイルス対策ソフトで不正な動作を検知した場合は、即該当コンピュータのネットワークケーブルを取り外すといった対応となります。IDSを導入していれば、不正な通信を検知後にファイアウォールで遮断対応、IPSであれば、自動的に遮断まで実施といったことになります。

次に、事業に及ぼす影響の低減としては、スムーズで確実な対外発表、関係機関への報告が考えられます。このためには、事前に情報資産の棚卸しができていること、訓練により被害が発生した際のシミュレーションを行い、スムーズに対応できる準備ができていることが必要です。

被害状況の確認

被害状況の確認にはログ分析が欠かせません。ネットワーク、サーバのログと情報資産へのアクセスログを取得し、これらを分析し、全体像を把握します。もし、被害の全容を可視化できるツールが導入されていれば、より全体像の把握がスムーズになるでしょう。

復旧作業

調査結果や影響等をふまえ、関係者の事業継続を優先し最短の時間で最低限の機能から復旧させます。あくまで事業継続という観点が第一です。スムーズな復旧ができるためには、日常から訓練することにより、実際に被害が発生した際に迷うことなく復旧作業ができるようにすることが重要です。

標的型攻撃対策に完璧は無い

今までの内容を見てわかるように、標的型攻撃への対策に完璧はありません。

これは、攻撃者には組織の重要な情報を窃取するという明確な目的が存在し、それを達成するためには手段を選ばないということのためです。ソーシャルエンジニアリングという、ITの技術を使わない手法を利用することも見逃せません。このことが、セキュリティ製品を導入するだけでは防止できないという、対策の困難さを増しています。

したがって、防止できる対策をとることは最低限必要ですが、不測の事態が起こった際に被害を最小限に抑えるということについても、防止策と同様に重きを置いて準備しておくことが必要です。

ボクシルとは

ボクシルでは、「コスト削減」「売上向上」につながる法人向けクラウドサービスを中心に、様々なサービスを掲載する日本最大級の法人向けサービス口コミ・比較サイトです。

「何かサービスを導入したいけど、どんなサービスがあるのか分からない。」
「同じようなサービスがあり、どのサービスが優れているのか分からない。」

そんな悩みを解消するのがボクシルです。

また、マーケティングに問題を抱えている法人企業様はボクシルを活用することで、効率的に見込み顧客を獲得することができます!また、リード獲得支援だけでなくタイアップ記事広告の作成など様々なニーズにお答えします。

ボクシルボクシルマガジンの2軸を利用することで、掲載企業はリードジェネレーションやリードナーチャリングにおける手間を一挙に解消し、低コスト高効率最小限のリスクでリード獲得ができるようになります。ぜひご登録ください。

Article like finger
この記事が良かったら、いいね!をしてください!最新情報をお届けします!
新着情報やお得な情報をメールでお届けします!
{{ message }}
ご登録ありがとうございました!
御社のサービスを
ボクシルに掲載しませんか?
月間100万PV
掲載社数1,000
商談発生10,000件以上
あなたにオススメの記事
編集部からのオススメ