悪意をもってPCやサーバーに攻撃を加えるサイバー攻撃には、さまざまな手段と目的があります。近年特に増えているとされているのが、特定の企業への攻撃を目的とした標的型攻撃です。
今回は、標的型攻撃の概要や具体的な事例、標的型攻撃に遭わないための対策についてご紹介します。
ページコンテンツ
標的型攻撃とは?
標的型攻撃は、サイバー攻撃のうち、特定の企業などを対象としたものを指します。広く被害をもたらすようなサイバー攻撃とは異なり、被害の件数は少ないですが、ターゲットとなった企業は深刻な被害を受けることもある点が特徴です。
システムの隙を突いて広い範囲に被害をもたらすタイプのマルウェアとは違い、標的型攻撃ではターゲットの企業のPCやサーバーに入り込むために人の心の隙を突いたような攻撃が行われます。代表的なのが標的型攻撃メールで、安全な企業を装ってマルウェアを仕込んだメールを送り、開くことで感染させます。手口は巧妙化しており、有名な企業の名前を使って安心させたり、納品データや請求書データなどを装ったりとさまざまな手でPCに入り込もうとします。
標的型攻撃には企業から情報を盗む、PCの一部あるいは全ての操作を乗っ取るなどの目的があり、簡単には感染が分からないように潜伏することも多くあります。そのため、普段から標的型攻撃のターゲットにされることを想定し、攻撃を受けないように対策することが大切です。
標的型攻撃の被害事例3選
ここでは、標的型攻撃の実態を具体的に把握できるよう、実際に起きた被害事例を3つご紹介します。
標的型攻撃メールから顧客情報を盗まれた事例
この事例では、社員が各種情報にアクセスするための情報を管理する認証サーバーやデータベースサーバーのセキュリティ対策が十分でなかったことで、その隙を突かれて情報を盗まれました。
攻撃者は複数の社員に業務連絡を装ったメールを送信。そのうち数人の社員がメールに添付されているファイルを開きました。このファイルにはマルウェアが仕込まれており、開いた社員のPCに感染。マルウェアは攻撃者と不正な通信を行い、攻撃者は感染したPCを遠隔操作できるようになります。
ここで攻撃者は分かりやすい乗っ取りなどを行うのではなく、感染を知らせないように数ヶ月間こっそり活動。ネットワーク経由で他の社員のPCに侵入するなどして、顧客管理システムをターゲットに据えます。そして攻撃者は認証サーバーに不正にアクセスして顧客管理システムの高い権限のIDとパスワードを盗み取り、顧客管理システムに侵入して情報を取得し、PCを遠隔操作して攻撃者のPCへ送信しました。
もし不正アクセスの監視が十分に行われていれば、正規の手順とは違う方法でサーバーにアクセスされた段階で発見できていた可能性があります。
攻撃の踏み台にされた事例
攻撃者が、ある会社員のPCを乗っ取り、遠隔操作にて全く別のPCにマルウェアを感染させ、ネットバンキングから不正送金を行った事例です。この事例では、攻撃者は自分たちの存在を隠すために会社員のPCを攻撃の踏み台にしています。
最初の手口は上記の事例と同じで、標的型攻撃メールを会社員のPCに送信し、そのメールを開くことでマルウェアを感染させます。このPCはマルウェアによって遠隔操作され、全く別の会社の社長のPCから情報を盗み出す踏み台に使われました。攻撃者は会社員のPC経由でネットバンクのIDと暗証番号を盗み出し、攻撃者の把握する口座へ100万円を不正に送金しました。
バックドアからランサムウェアを実行された事例
PCのファイルを暗号化して使用できなくし、ファイルを元に戻す代わりに身代金を請求する「ランサムウェア」による被害の事例です。ランサムウェアはここ数年で被害が増加しているマルウェアの一種で、暗号化されたファイルを元に戻すために多くの企業が攻撃者へ身代金を支払っています。この事例ではさらに、ランサムウェアを実行される前にPCにバックドアが仕込まれていたことが分かっています。
ランサムウェアは不特定多数を狙ったサイバー攻撃であることが多いですが、この事例では身代金請求のディスプレイ表示にその企業の名前が記されており、その企業を狙い撃ちしたものであると考えられています。そしてランサムウェアは標的型攻撃メールなどからPCに侵入したのではなく、あらかじめ仕込まれていたバックドア経由で実行されたことが分かりました。
バックドアとは、PC内部に作られた抜け道のようなもので、一度作られるとPCのセキュリティをすり抜けてさまざまな攻撃を受けてしまうことになります。この事例では結局、ランサムウェアの前にバックドアを仕込むための攻撃があったことまでは分かりましたが、具体的にいつどのように仕込まれたのかが判明していません。
標的型攻撃の被害に遭わないための5つの対策
上記にご紹介したような巧妙な標的型攻撃に遭わないためには、以下にご紹介する適切な対策を取ることが大切です。
怪しいメールは開かない意識
標的型攻撃はメールを経由して行われることが多く、怪しいメールや見に覚えのないメールは開かない、添付ファイルを安易に開かないという意識が重要です。しかし標的型攻撃の手法は巧妙化しており、普段から完璧に気をつけることは難しいと言えます。企業は、社員に十分に周知するとともに、定期的にセキュリティの勉強会を開いたり標的型攻撃メールを模したメールを送って抜き打ちテストを行ったりなどの対策を講じておくとよいでしょう。
セキュリティ対策ソフトの導入
セキュリティ対策ソフトの導入は、標的型攻撃の対策としては必須だと言えます。メールのウイルスチェックやPC内部のスキャン、PCから外部へ送信される情報のスキャンなどのさまざまな機能が利用できるため、ある程度の被害を防ぐことができます。なお、セキュリティ対策ソフトを導入すれば全ての攻撃を防げるわけではありません。
セキュリティ対策の見直し
セキュリティ対策ソフトの導入だけでなく、セキュリティ対策を全体的に見直しましょう。PC自体に施す対策としては、万が一マルウェアが感染したときにその対処を行うEDRと呼ばれるセキュリティサービスを導入するなど、多層的な防御を行うことが大切です。企業としては、社員のセキュリティ意識の向上に努める、セキュリティ対策チームとその他の部署の連携を強めるなどの見直しが有効です。
ゼロデイ攻撃への備え
標的型攻撃の中でも特に防御が難しいのが、発見されたばかりの脆弱性を突かれる「ゼロデイ攻撃」です。全てのソフトウェアにはサイバー攻撃に対して弱点となる脆弱性が潜んでいる可能性があり、発見され次第そのソフトウェアのベンダーが修正を行いますが、その間に攻撃者に脆弱性を利用されてしまうと強固なセキュリティもすり抜けてしまう可能性があります。
セキュリティ担当者は脆弱性に関する情報に常にアンテナを張り、修正内容が公開されたらすぐさま全社のPCに適用させることが大切です。
重要データのバックアップ
上記の事例にて登場したランサムウェアの対策として有効なのが、重要データのバックアップです。データのバックアップを常に取っていれば、ファイルを暗号化されたりPCの操作を乗っ取られたりしても、そのPCを破棄することで事なきを得られる可能性もあります。マルウェア対策としてだけでなく、事故によるデータ紛失を防ぐためにもバックアップは重要です。
手遅れになる前に十分な対策を
標的型攻撃は不特定多数を狙ったサイバー攻撃に比べ、明確な目的をもって狙われていることから防ぐことが困難です。だからこそ手遅れになる前に十分な対策を施し、被害を受ける可能性をできるだけ減らすことが大切です。
マルウェアが動いても「感染させない」。
不正な動作をすべてシャットアウトする新型セキュリティ「AppGuard」については、下記よりご覧いただけます。