標的型攻撃とは?被害事例や対策を解説

  • 投稿日:2021 - 7 - 30
  • 更新日:2021 - 8 - 12
  •   

ユーザーのデバイスに不利益をもたらすマルウェアにはさまざまな種類があり、進化を続けています。ここではマルウェア対策を講じるうえで知っておくべき、マルウェアの種類や特徴などについて解説します。

標的型攻撃とは?

標的型攻撃とは、サイバー攻撃の一種です。金銭的利益や嫌がらせを目的として、企業や団体から個人情報等を盗み出します。一般のサイバー攻撃との違いは、「ターゲット」が定められている点です。標的型攻撃の特徴について、以下にまとめます。

標的型攻撃はサイバー攻撃の手法

標的型攻撃は、狙いを定めた企業や団体に対して行われるサイバー攻撃のこと。情報を盗み出すための手口は、年々巧妙化・多様化しています。攻撃の対象が決まっており、目的達成まで執拗に攻撃が繰り返される点が特徴といえます。

最初にメディアで報道された標的型攻撃は2009年11月、石油・天然ガスなどのエネルギー関連企業や製薬会社へのものでした。その後も、Googleといった大企業への攻撃や、フランス財務省への攻撃、日本総務省への攻撃など多くの事例が報告されています。

従来はメール添付によるウイルス攻撃が一般的でしたが、正規のウェブサイトを改ざんしそこを訪れたターゲットにマルウェア感染をさせる「水飲み場型攻撃」や、ソフトウェアを配布するサーバーに不正侵入し、正規のソフトウェアをマルウェア化してターゲットにダウンロードさせるなど、手法は年々複雑になっています。

標的型攻撃の目的・無差別型攻撃との違い

標的型攻撃は、ターゲットの持つ「重要情報」の入手を目的に行われます。重要情報を入手し、嫌がらせをすることや、金銭的利益を得るのが標的型攻撃の目的です。

無差別型の攻撃ではセキュリティホールを利用して行われますが、標的型攻撃はあらかじめターゲットが決まっているため、攻撃者は入念な対策を練り攻撃を実施します。

取引先を装ったメールにウイルスを仕込む手口や、水飲み場攻撃のように正規のウェブサイトを改ざんする手法は、見分けることが難しく、その点も標的型攻撃の脅威といえます。

標的型攻撃には、「速攻型」と「潜伏型」の2種類があります。速攻型は狙った情報に対し短時間で攻撃をしかけ盗み取ります。数回に分け、攻撃が継続的に続くこともあります。攻撃を受けているとコンピューターの動作が遅くなるため、比較的異常に気付きやすいです。

一方で「潜伏型」の場合は感染場所を徐々に広げ重要情報に到達します。OSの機能の一部であるように成りすますステルス性の攻撃なので、早期発見・早期対応が被害を最小限に抑えるカギとなります。

 

 

 

 

標的型攻撃の手順

標的型攻撃は、入念な計画をもとに段階的にはじまります。

まず発生するのが、初期侵入です。攻撃者は、ターゲットに所属するユーザーを標的とし、「標的型攻撃メール」「ウェブサイトの水飲み場型攻撃」「ソフトウェアの不正更新」などによって、初期侵入を試みます。

これによりターゲットの端末が1台でも感染すれば、攻撃者はそれを踏み台に組織内の端末に感染を広げ、管理者権限を獲得する権限昇格を狙います。

情報を盗み出す際は、対象に気づかれないよう複雑なパスワードを設定したり、ファイルを細切れにしたうえで盗み出したりするものもあります。

標的型攻撃の脅威は、攻撃を受けたターゲットが攻撃者に侵入されていると気づきにくい点です。初期侵入でも、不正メールや改ざんされたウェブサイトは、見た目に不審な点はなく、一般的なウイルス対策ソフトでの検知も難しくなっています。攻撃者は「バックドア」と呼ばれる裏口から組織のネットワークをコントロールします。

情報を盗み出したあと、ウイルスを消去し痕跡を消し去ってしまうため、攻撃を受けたことにすぐに気づかないケースもあります。

標的型攻撃による被害事例

標的型攻撃を受けたターゲットと被害の事例をみてみましょう。

機密情報を狙ったオペレーション・オーロラ

2009年12月から2010年1月にかけ、Googleの中国向けサイトを含む30社を超える企業に対してなされた標的型攻撃です。

オペレーション・オーロラでは、ターゲットのユーザーに対してメールやインスタントメッセージを送付。信頼できるソースからの連絡に擬態しており、リンク先をクリックするとInternet Explorerの脆弱性を悪用したコードが実行されるようになっていました。

ターゲットの内部ネットワークを乗っ取った攻撃者は、企業のソースコードの構成管理システム(SCM)であるソースコードリポジトリを狙っていたとされています。ソースコードリポジトリとは、エンジニアが作りかけのプログラムを格納する場所です。企業にとっては機密情報であり、非常に貴重な知的財産であるといえます。

こうした機密情報を狙う標的型攻撃は年々高度化しています。2020年6月に発生した国内大手重工メーカーへのサイバー攻撃は、複数の海外拠点を経由した不正アクセスによるものでした。不正アクセスは本来発生しないタイからの通信を発端に、遮断したあともインドネシア、フィリピン、米国と続き、一部の情報が外部に送信された可能性が確認されつつも、痕跡を残さない高度な手口が使われています。

なお、オペレーション・オーロラは、攻撃が多角的で継続性があるため、標的型攻撃の一種であるAPT(Advanced Persistent Threats)攻撃に分類されています。

継続的な攻撃による125万件の個人情報流出

2015年6月1日、日本年金機構は約125万件の個人情報が流出したと発表しました。

この流出は、4回にわたる標的型攻撃によって引き起こされています。5月8日に不審なメールを開封した端末1台が不正プログラムに感染。不審な通信を検知した内閣官房内閣サイバーセキュリティセンターからの通知により端末を特定、LANケーブルの抜線を行いました。

しかし、その後も5月18日~20日にかけて、非公開の個人アドレス宛に不審メールが届き、1台が感染。その後、2時間以内に感染が他の端末に広がり、5月22日までに合計23台の端末が攻撃者のコントロール下に置かれました。

初期侵入で送付された不審メールの件名は、「厚生年金基金制度の見直しについて(試案)に関する意見」や「給付研究委員会オープンセミナーのご案内」など関係者が開封しやすいようにされており、添付ファイルの件名も「給付研究委員会オープンセミナーのご案内.lzh」「厚生年金徴収関係研修資料(150331厚生年金徴収支援G).lzh(16)」と、関連するファイル名に偽装しています。

攻撃者は、東京都にある会社のサーバーを悪用して年金機構の個人情報を盗み出していたことがのちに判明しています。

巧妙なメールにより793万件の個人情報流出

2016年6月、国内大手旅行会社が不正アクセスにより793万件(のちに678万件に訂正)の個人情報が流出したと発表しました。

流出の原因となったのは、グループ会社のパソコンのウイルス感染です。同年3月15日に従業員が取引先を装ったメールを開封。3月19日~24日の間に外部への不信な通信が発生しました。不審な通信が発生したサーバーは個人情報を保有していないものでしたが、3月21日に何者かにより同社内のサーバーにデータファイルが作成削除されており、このファイルに個人情報が含まれていたことが確認されています。

同社では送り主不明のメールは開封しないといった社員教育がなされていましたが、事件の発端となったメールは「ありがちな日本人の苗字+実在する航空会社のドメイン」で構成されており、添付されていたのも「pdfファイル」「北京行きのEチケット」と、判別がきわめて難しいものであったと明らかになっています。

標的型攻撃への対策

一見すると不正とはわからない手口で攻撃を仕掛けてくる標的型攻撃には、どのような対策をとればいいのでしょうか。攻撃の侵入を防ぐ入口と、被害の発生を防ぐ出口の対先にわけて解説します。

入口対策

セキュリティ対策の基本を徹底する

不正なマルウェアの感染やウイルスの侵入を防ぐために、まずしておきたいのがメールのフィルタリングやファイアウォールなどの基本のセキュリティ対策です。一般的なウイルス対策ソフトでは、未知のマルウェアや標的型攻撃で使われるウイルスを検知するのは難しいと言われますが、これらのセキュリティ対策の基本を怠らずにおきましょう。

OSを最新状態に保つ

オペレーション・オーロラのように、ソフトウェアの脆弱性を利用する攻撃もあります。そのため、使用するOSやソフトウェアを常に最新の状態にアップデートすることは、標的型攻撃の脅威を和らげます。脆弱性の公表から修正プログラムの配布までに時間がかかるケースもあります。そのため企業の情報IT部門は、国内外のニュースに日頃からアンテナを張っておく必要があります。

社員への教育

入り口の対策で最も重要といえるのが、社員への教育です。標的型攻撃の手口が日々巧妙化されている以上、技術と人の両面でのセキュリティ対策が必要です。

実行形式のファイルは開かない、不審に思うメールのリンクはクリックしない、心当たりのない送信者のメールは開かないといった基本対策を周知しましょう。社員教育では、実際に標的型攻撃を受けた事例を用いて説明することも効果的です。

出口対策

ログの日常的なチェック

不正な通信や挙動がないか、ネットワーク上のログを日常的にチェックするシステムの導入も、標的型攻撃による被害を防ぎます。不正な挙動をいち早く感知し対応できるため、被害を最小限に抑えることが可能です。

データの暗号化

機密性の高い情報や個人情報は暗号化して保存します。これにより、万が一標的型攻撃で侵入された場合でも、重要な情報を窃取から守ることができます。

攻撃を無効化するサンドボックス

どれだけウイルス対策を施しても、社員教育を徹底させても、対策をすり抜けてしまう脅威が標的型攻撃にはあります。こうした攻撃を無効化できるのがサンドボックス機能を備えたメールソフトなどです。

サンドボックス機能のあるメールソフトでは、メールを安全な仮想空間で展開します。万が一、開封した添付ファイルやリンク先に不正なプログラムが仕込まれていた場合でも、安全な隔離空間で処理されるため社内ネットワークに影響を及ぼしません。

標的型メールの見分け方

標的型攻撃の多くは、メールからスタートします。そのため、どのようなメールが不審なメールであるのか、ポイントを押さえておくことが重要です。

4つの着眼点でメールを見分ける

不審メールであるかどうか、以下の4つのポイントから判断するように心がけます。

  • 件名
  • 送信者
  • メール本文
  • 添付ファイル

件名では、「取材申し込み・講演依頼」「採用に関する問い合わせ」「サービスへのクレーム」など、受け取った人が開封してしまうようなタイトルが付けられています。また、「情報セキュリティに関する注意喚起」「災害情報」など、これまでに届いたことがない、公的機関からのお知らせといったケースもあります。

そして送信者の多くがフリーメールを活用しています。ただし、企業ドメインを利用しているケースもあり、フリーメールではないからといって安心はできません。署名とメールアドレスが異なっている点も、不審メールを見分けるのに役立ちます。

またメール本文では、不自然な日本語の言い回しや単語が見られます。日本語では使用されない漢字、カタカナが含まれている本文には注意が必要です。メールに記載されているURLと、実際に表示されるページのURLが一部異なる場合も、不審メールと判断できます。

不審な添付ファイルの見極めには、メールから直接開かずに、ファイルの詳細を必ず確認します。アイコン上は文書ファイルに見えていても、実際はショートカットであったり、exeファイルにも関わらずOfficeのアイコンに擬態しているケースもあります。

万が一従業員がこうした不審メールを開いてしまった際、どのように対応するべきか情報IT部門でマニュアルを確立し周知しておくことも大切です。

まとめ:標的型サイバー攻撃による被害を未然に防ぐために

標的型攻撃

手口が巧妙化する標的型攻撃へは、日頃の備えが欠かせません。不正ウイルスやマルウェアの侵入手法について、常に従業員が最新の情報を持つことが予防につながります。また、未知のマルウェアや不正なログを検知するような、セキュリティシステムを導入することも重要といえるでしょう。

moconavi(モコナビ)ではメールに添付されているExcelやWordなどのファイルをPDF化することでファイル内のURLやマクロを無効化します。また、メールに記載されたURLやhtmlメールに埋め込まれた不正スクリプトを除去し標的型攻撃から防御します。企業の情報をサイバー攻撃から守るため、ぜひご活用ください。

この記事をシェアする