標的型攻撃とは？被害事例や対策を解説

近年、サイバー攻撃の手口は多様化・巧妙化してきており、なかでも世界的に広がっている「標的型攻撃」には注意が必要です。日本でも標的型攻撃の被害はいくつも報告されており、適切な対策が求められます。

本記事では、標的型攻撃についての概要と対策について解説します。サイバー攻撃が増えるなかで押さえておきたい「ゼロトラストセキュリティ」という考え方についても紹介するので、ぜひ参考にしてください。

標的型攻撃とは、金銭的利益や嫌がらせを目的として企業や団体から個人情報等を盗み出すサイバー攻撃の手法のひとつです。一般的なサイバー攻撃との違いは、不特定多数を対象とした攻撃ではなく、「ターゲット」が明確に定められている点です。標的型攻撃の特徴について、具体的に解説します。

標的型攻撃は、狙いを定めた企業や団体に対して行われるサイバー攻撃のこと。攻撃の対象が決まっており、目的達成まで執拗に攻撃が繰り返される点が特徴です。

最初にメディアで報道された標的型攻撃は2009年11月、石油・天然ガスなどのエネルギー関連企業や製薬会社へのものでした。同年12月にはGoogleの中国向けサイトを含む30社を超える企業に対して、悪意のあるコードが実行されるURLを記載したメールやインスタントメッセージを送付する標的型攻撃が行われました。

日本でも標的型攻撃の被害が報告されていて、2015年に日本年金機構は4回に渡る標的型攻撃で約125万件の個人情報が流出したと発表しました。2016年には、国内大手旅行会社が不正アクセスによって678万件の個人情報を流出させています。

従来はメール添付によるウイルス攻撃が一般的でしたが、正規のウェブサイトを改ざんしそこを訪れたターゲットにマルウェア感染をさせる「水飲み場型攻撃」や、ソフトウェアを配布するサーバーに不正侵入し、正規のソフトウェアをマルウェア化してターゲットにダウンロードさせるなど、手法は年々複雑になっています。

標的型攻撃は、ターゲットのもつ「重要情報」の入手を目的に行われます。重要情報を入手し、嫌がらせや金銭的利益を得るのが標的型攻撃の目的です。

無差別型の攻撃はセキュリティホールを利用して行われますが、標的型攻撃はあらかじめターゲットが決まっているため、攻撃者は入念な対策を練り攻撃を実施します。

取引先を装ったメールにウイルスを仕込む手口や、水飲み場攻撃のように正規のウェブサイトを改ざんする手法は見分けることが難しく、その点も標的型攻撃の脅威といえます。

標的型攻撃には、「速攻型」と「潜伏型」の２種類があり、速攻型は狙った情報に対し、短時間で攻撃をしかけて盗み取ります。数回に分けて攻撃が継続的に続くこともあり、攻撃を受けているとコンピューターの動作が遅くなるため、比較的異常に気付きやすいのが特徴です。

「潜伏型」の場合は感染場所を徐々に広げ、重要情報に到達します。OSの機能の一部であるようになりすますステルス性の攻撃なので、早期発見・早期対応が被害を最小限に抑えるカギとなります。

標的型攻撃は、入念な計画をもとに段階的にはじまります。

まず発生するのが、初期侵入です。攻撃者は、ターゲットに所属するユーザーを標的とし、「標的型攻撃メール」「ウェブサイトの水飲み場型攻撃」「ソフトウェアの不正更新」などによって、初期侵入を試みます。

これによりターゲットの端末が1台でも感染すれば、攻撃者はそれを踏み台に組織内の端末に感染を広げ、管理者権限を獲得する権限昇格を狙います。

情報を盗み出す際は、対象に気づかれないよう複雑なパスワードを設定したり、ファイルを細切れにしたうえで盗み出したりするものもあります。

標的型攻撃の脅威は、攻撃を受けたターゲットが攻撃者に侵入されていると気づきにくい点です。不正メールや改ざんされたウェブサイトは見た目に不審な点はなく、一般的なウイルス対策ソフトでの検知も難しくなっています。攻撃者は「バックドア」と呼ばれる裏口から組織のネットワークをコントロールします。

情報を盗み出したあと、ウイルスを消去し痕跡を消し去ってしまうため、攻撃を受けたことにすぐに気づかないケースもあります。

標的型攻撃の多くはメールとその添付ファイルが大半を占めています。そのため、どのようなメールが不審なメールであるのか見分けるポイントを押さえておくことが重要です。

数年前までは不審メールであるかどうかについては、以下の４つのポイントが判断に有効でした。

• 件名
• 送信者
• メール本文
• 添付ファイル

一昔前の標的型攻撃メールの特徴としては、件名では「取材申し込み・講演依頼」「採用に関する問い合わせ」「サービスへのクレーム」など、受け取った人が思わず開封してしまうようなタイトルが付けられていました。「情報セキュリティに関する注意喚起」「災害情報」など、公的機関からのお知らせを装ったケースや送信者の多くはフリーメールで、署名と送信者のメールアドレスが異なっている場合などのケースが不審なメールである可能性が高いと判断できました。

ところが最近では、別の標的型攻撃で盗まれた企業ドメインのメールアドレスから実在する方の氏名を利用するなどのサプライチェーン全体を狙ったケースも出てきており、手口も巧妙化され、全てのメールとその添付ファイルに注意する必要があります。

また、過去の標的型攻撃メールでは、本文に不自然な日本語の言い回しや単語が見られる場合や日本語では使用されない漢字、カタカナが含まれているケースもあり、違和感を感じやすかったですが、最近ではフォントが日本では使われていないものなど、軽微な変化しかなく、不審メールの判断が難しくなってきています。

添付ファイルにおいても、一昔前であれば、文書ファイルのアイコンが表示されていても、実際はショートカットであったり、exeファイルにも関わらずOfficeのアイコンに擬態させていたりするケースなど注意深く見れば見分けがつくものも多かったですが、最近ではOfficeファイルやPDFのScriptやマクロを使ったケースもあり、判別が複雑化してきています。

万が一従業員がこうした不審メールを開いてしまった際、どのように対応するべきか情報IT部門でマニュアルを確立し周知しておくことも大切です。

一見すると不正とはわからない手口で攻撃を仕掛けてくる標的型攻撃には、どのような対策をとればいいのでしょうか。ここでは、標的型攻撃への対策を5つ紹介します。

標的型攻撃の多くは、メールを使って攻撃を仕掛けてきます。マルウェアを仕込んだファイルを添付したり、悪意のあるコードが実行されるWebサイトのURLを記載したりしたメールを送り、巧妙にファイルやリンクを開かせようと誘導します。

そのため、不審なメールの添付ファイルやリンクを開かないのが、標的型攻撃への対策の基本です。「標的型メールの見分け方」で解説したポイントをチェックし、少しでも不審に感じる部分がある場合は、絶対に添付ファイルやリンクを開かないようにしましょう。

ソフトウェアの脆弱性を利用した攻撃手法もあるため、使用するOSやソフトウェアのバージョンを常に最新の状態に保っておくことも重要です。例えば、メールに記載されたURLをクリックすると古くはInternet Explorerや最近ではChromeなどのブラウザの脆弱性を悪用したコードが実行されるようになっていました。

そのため、脆弱性が確認されているバージョンのOSやソフトウェアを使い続けるのは危険です。新しいバージョンや脆弱性対応の修正パッチがリリースされたら、すぐにインストールするようにしてください。

標的型攻撃の手口が日々巧妙化しているなか、社員一人ひとりのセキュリティ意識を高めることも重要です。「心当たりのない送信者からのメールは開かない」「不審なメールのリンクはクリックしない」「実行形式のファイルは開かない」など、基本的な対策を周知して徹底させなければなりません。

標的型攻撃の実際の事例を紹介するなど、「標的型攻撃を防げなかったらどうなるのか」をイメージさせることも効果的です。たった１台でも端末への侵入を許してしまうと、そこを踏み台に被害が広がるため、社員一人ひとりが標的型攻撃への対策を理解しておく必要があります。

エンドポイントセキュリティは、パソコンやスマートフォンなどネットワークの末端に位置する端末にセキュリティ対策を施すことです。標的型攻撃は従業員のパソコンをマルウェアに感染させるなどしてネットワークへの侵入を図るため、エンドポイントセキュリティにも取り組む必要があります。

【関連記事】

エンドポイントセキュリティとは？注目される最新のセキュリティ対策を解説

https://moconavi.jp/blog/2021/07/5970/

企業のネットワークにおいてセキュリティの重要性が叫ばれるなか、注目されているのが「エンドポイントセキュリティ」という考え方です。ここではエンドポイントセキュリティの概要や、求められる背景、具体的なセキュリティ対策について解説します。

ゼロトラストセキュリティとは「すべての通信を信用しない」という考えに基づくセキュリティ対策で、社内外を問わずすべてのアクセスを検証しチェックすることで安全性を担保します。「すべてのアクセスが危険」という前提で対策を行うため、標的型攻撃され社内ネットワークに侵入されたとしても、被害を最小限に抑えられます。

ただし、ゼロトラストセキュリティでも解決できない問題も存在する点に注意が必要です。詳しくは後述の「ゼロトラストセキュリティで解決できない残された課題」で解説しています。

【関連記事】

ゼロトラストセキュリティとは？あなたは誤解しているかも。歴史から紐解く正しい...

https://moconavi.jp/blog/2021/02/5555/

ITセキュリティの分野で「ゼロトラスト」という言葉を耳にするようになりました。ゼロトラストは近年のセキュリティインシデントの傾向やテレワーク拡大の流れの中で無視できない考え方です。この記事では、ゼロトラストの意味や仕組み、メリットやデメリット、有効な製品について解説していきます。

ゼロトラストの考え方に基づくセキュリティ対策には、具体的に以下のようなものが挙げられます。

• 監視・封鎖・リカバリー
• 認証強化
• 社内プロキシとグローバルのSWGによる制御
• ウイルススキャンの導入

それぞれのセキュリティ対策の内容と、ゼロトラストセキュリティでも解決できない課題を紹介します。

ゼロトラストセキュリティでは、すべての端末の常時監視やSIEMによるアクセスログや通信の監視など、最小のアクセス単位で、すべての安全性の検証を行います。不審な通信はブロックし、マルウェアを検出した場合は駆除するなど、監視で発見した脅威のリカバリーまで行えるセキュリティ製品の導入が求められます。

社内外のすべての通信にリスクがあると捉えるため、認証強化もゼロトラストのセキュリティ対策のひとつです。基本のIDとパスワードによる認証だけでなく、複数の要素を組み合わせる多要素認証や、前回の認証を記憶させずにアクセスのたびに認証を行うなど、不正アクセスを防ぐための仕組みを活用します。

認証されていない端末のアクセスをブロックしたり、端末が不審なURLやIPアドレスに接続するのを防いだりするために、社内プロキシやグローバルのSWGによる制御を行います。これらは正常な通信もすべて監視・検証を実施し、標的型攻撃のような外部からの攻撃への対策だけでなく、社員の不注意や不正によるセキュリティ事故の防止にも役立ちます。

端末のマルウェア対策として、ウイルススキャンの導入も必要です。「いつマルウェアに感染してもおかしくない」という前提で、端末に侵入するマルウェアを検知・隔離するEPPや、端末を常時監視してマルウェアの駆除を行うEDRなどを使ってマルウェアの侵入を防ぎます。

ここまで紹介したようなゼロトラストセキュリティの対策を実施しても、解決できない課題があります。

ゼロトラストはすべての通信を監視・検証することが前提のため、導入にはコストがかかります。それに加え、例えば運用の難易度が高いと言われるEDRは、コストをかけて導入しても誤検知等も多く、運用体制を整えられなければ設備投資に対する十分な成果が得られない可能性もあります。

また、ゼロトラストセキュリティは社内ネットワークと社外のインターネット環境を区別せず、平等に脅威があるとする考え方ですが、実際には社内ネットワークとリモート環境でバラバラのポリシーを設けている企業も多いでしょう。ゼロトラストセキュリティの導入には、ポリシーの見直しから始めなければなりません。

そのほか、ウイルススキャンを導入した場合でも、巧妙化したマルウェアなどは実行される可能性があり、完全にリスクをゼロにすることは困難です。

手口が巧妙化する標的型攻撃に対しては、日頃の備えが欠かせません。不正ウイルスやマルウェアの侵入手法について、常に従業員が最新の情報をもつことが予防につながります。また、未知のマルウェアや不正なログを検知するようなセキュリティシステムを導入することも重要といえるでしょう。

moconavi（モコナビ）は、ゼロトラストの概念に基づくセキュリティ対策を施したテレワークソリューションです。

端末にデータを保存させないためエンドポイントからの情報流出を防ぎ、スクリプトの除去やURLリンクの無効化など標的型攻撃対策にも有効です。moconaviアプリを使えば、社内ネットワーク内でも外部のインターネットでもすべてSWG経由のアクセスとなり、社内でもリモートでも同じポリシーで運用できます。

本記事で紹介したゼロトラストセキュリティで解決できない課題もカバーできるソリューション「moconavi」を、ぜひご活用ください。