標的型攻撃とは

標的型攻撃の特徴

まずは、標的型攻撃の特徴を確認していきましょう。

標的型攻撃の種類と手口

それでは、標的型攻撃の種類や、その手口を見ていきましょう。

標的型攻撃メール

標的型攻撃の種類の中でもっとも多い攻撃方法がメールによる攻撃です。社内のメンバーや取引先を装ってメールを送信するので、受信者は信頼性のあるメールだと判断してしまい、なんの疑いもなく添付ファイルをダウンロードして開いたり、URLをクリックしたりしてしまいます。メールに記載されているドメインなども一見すると違和感のない作りになっています。

組織内部のだれか一人でも引っかかってしまうと、組織内のネットワークにマルウェアなどのウイルスが広がってしまいます。潜伏期間などを設定されたウイルスもあるため、すぐには発見できずに感染が広がってから攻撃に気づくというパターンがほとんどでしょう。

水飲み場攻撃

水飲み場攻撃とは、標的の企業や団体がよく閲覧するWebサイトを改ざんして、アクセスした際にウイルスが読み込まれるように罠を張る手口です。

特定の端末がアクセスした場合にのみウイルスをダウンロードするように改ざんされているため、サイト運営者もほとんどの場合改ざんされたことに気づきにくく、標的となった企業組織や団体がアクセスしたときにだけ発動する仕掛けなので、事前に発見することはほぼ不可能だといえます。

標的型攻撃の事例を紹介

ここでは、実際に標的型攻撃の被害実例をみていきましょう。

標的型攻撃メールの事例：Windows標準機能で遠隔操作

巧妙に業務メールを装い添付資料としてマルウェアが送付された事例です。

普段、迷惑メールは文面を確認すればすぐに“それ”とわかるかもしれませんが、標的型攻撃メールは普段業務でやり取りするメール内容に近い文面でした。そのため、なんの疑いもなく添付されている資料をダウンロードしてしまったのです。

その際に感染したマルウェアは、Windowsの標準機能である遠隔操作を利用して業務サーバーなどにアクセス。サーバーもマルウェアに感染したことで、攻撃者はサーバーへのアクセスが可能になり機密情報を盗みました。組織の職員は複数のサーバーで同じID／パスワードを使いまわしていたため、複数のサーバーに侵入され被害も拡大してしまったのです。

ランサムウェアの事例：身代金の要求

海外の医療機関が身代金を要求するランサムウェアの被害に遭った事例です。

まずPCがランサムウェアに感染して、PC内のファイルを暗号化されたことで業務不能に陥りました。電子カルテや処方箋などの医療に必要な業務システムの閲覧やファイル実行ができなくなったのです。この医療機関は、暗号化を解除するために、攻撃者に約200万円相当を支払い、暗号化を解除してもらいました。

このような事例の中には、身代金を支払っても暗号化を解除せず、金銭だけを騙し取る類の攻撃がほとんどですので、万が一ランサムウェアに感染して身代金を要求された場合でも、安易に身代金を支払うことのないよう注意しましょう。

標的型攻撃に対抗するためのセキュリティ対策

それでは、標的型攻撃に対抗するためのセキュリティにはどのようなものがあるのでしょうか。単一の方法では防ぎにくい標的型攻撃には多層的な対策が有効です。

技術的な対策

入口対策

入口対策は、インターネットから社内のネットワークへ入る部分、つまりゲートウェイなどにセキュリティを施すセキュリティ対策を指します。入口対策をしておくことで、インターネットを介した攻撃やウイルスの検知などに有効です。

近年、テレワークなどで外部から社内のLANに接続することも多くなりましたが、その際にもゲートウェイでアクセス制御を行って不正侵入を防御することが重要です。具体的な対策としては、ファイアウォールやアンチウイルスゲートウェイなどを設置して、内部へのアクセスを最小限に制御することが有効手段だといえます。

出口対策

出口対策は、社内LANからインターネットへの接続をコントロールするものです。例えば、標的型メール攻撃に遭ってしまった場合、URLをクリックしてもそのサイトに接続させない、あるいは接続してしまった場合でもだれがどこに接続したかを追跡できるといった対策です。

具体的には、サンドボックス型のセキュリティで、マルウェアや実行ファイルなどを仮想環境で実行させるなど、実環境で実行する前に動作を確認する手段があります。サンドボックス内での実行結果をみることで、攻撃か否かを判別することに役立ちます。

また、入口対策と出口対策に適用したいのが「ゼロトラストセキュリティ」です。これは社内外を区別せず「どのようなアクセスも信用しない」というポリシーのもとで行うセキュリティの概念です。

ゼロトラストセキュリティについては、「ネットワークシステムの在り方を見直す！ゼロトラスト時代の到来とそのセキュリティソリューション」でも詳しく解説していますので参考にしてください。

従業員教育よる対策

メールに記載されているリンクをクリックしない

標的型攻撃の中でもスタンダードな手法である標的型攻撃メールには、「リンクをクリックしない」ことがもっとも有効です。基本的には、だれからのメールであろうと添付されているファイルやリンクを実行しないことが対策ですので、これを従業員教育によって徹底することが大切だといえます。

しかし、同僚や取引先を装ったメールには警戒心が低くなります。その対策として基本的には「exeファイル」ならばファイルを開かないこと、記載されているURLを直接開くのではなく「自分で検索して」アクセスすることなどを心がけるように教育するとよいでしょう。

セキュリティに対するリテラシー教育を実施する

標的型攻撃を含め、現在どのような脅威が世間で広がっていて、どのような手法で攻撃されるのかを定期的に周知して、従業員のセキュリティに対するリテラシーを向上させていくことも有効です。

特に、標的型攻撃は明確な目的を持って自社を攻撃してきますので、大きな損失につながることを従業員みんなが意識できるレベルで教育を行いましょう。

インシデントに対する準備

ログの収集とインシデントへの対応

IT管理者としては、いつ何が起こったのかを、いつでも把握できるように、ログの収集をしておくことが重要です。不審な動きがあればアラートを出すなど、できる限り早く気づき、迅速な対応ができるように準備しておきましょう。

実害を受けたときの対応を標準化しておく

標的型攻撃のすべてを未然に防ぐことは非常に難しいということを前提としての対策が必要です。ログからインシデントに気づいたら迅速に対処するための対応策を標準化しておくとよいでしょう。

実害を受けた際には、できる限り被害を抑えるために、ウイルスに感染したPCを隔離したり、LANから切り離したりするなどの対策を素早く行えるように、日頃から対策をマニュアル化しておくことも有効な対応策です。

実害が出た場合に、どのように感染や被害を食い止めるのかといった手順をわかりやすくまとめ、いつでも実施できるように周知しておきましょう。

万が一標的型攻撃に遭ってしまったら

標的型攻撃は、多層的な対策をしていても完全に防御することが難しいサイバー攻撃です。もちろん、想定できる限りの対策を行うことは必要ですが、万が一標的型攻撃を受けてしまった場合には何をしたらよいのかをしっかりと意識しておかなければなりません。

IPA（情報処理推進機構）が示している確認事項を把握しておきましょう。

1. いつ届いたメールか
2. 送信者の組織名やメールアドレスと送信者への確認の結果
3. 使用しているセキュリティ対策ソフトやハードウェア（パソコン、メールサーバー、ウェブプロキシ、ファイアウォール）と検知状況、ウイルス名
4. メールの件名、添付ファイル名、本文
5. 同じメールが何人に届き、何人が添付ファイルを実行したか
6. メールに記載のリンクや、添付ファイルを開いた場合、どのような状態になったか（注意：まだ開いていない場合は開かないでください）
7. なんらかの被害が生じたか
8. 感染したパソコンのオペレーティングシステムとアプリケーション（Java JRE、Adobe Reader、Flash Player等）のバージョンと、アップデート状況（常に最新を保っているか）
9. eml形式やmsg形式でのメール検体情報提供可否
10. 不正接続先等インディケーターの情報共有可否
11. 提供情報について（情報提供者に関わる情報を匿名化して）統計値や調査への利用可否
12. 標的型攻撃メールに使われたマルウェアのセキュリティ対策ソフトベンダ等への提供の可否について

引用元）IPA：J-CRAT／標的型サイバー攻撃特別相談窓口

上記の情報をまとめておき、以下の「標的型サイバー攻撃特別相談窓口」へ連絡してください。

まとめ：標準型攻撃を想定したセキュリティ対策を

標的型攻撃とは、企業や組織の情報搾取などの明確な目的を持ったサイバー攻撃です。その手口は巧妙で、攻撃にすら気づくことができないことも多いため、その被害は拡大してしまいます。標的型攻撃には、従来からの境界型セキュリティに加え、多層的なセキュリティを施す必要があります。技術的なセキュリティ対策はもちろん、ITサービスを利用するすべての従業員もセキュリティを意識しておかなければなりません。万が一標的型攻撃を受けてしまった場合の対処方法についても事前に対策しておくことが大切です。