標的型攻撃とは、明確な目的を持って特定の標的(ターゲット)に対して仕掛けられるサイバー攻撃です。標的型攻撃の手口は巧妙であり、サイバー攻撃の中でも特に対策が難しいとされています。
本記事では、「標的型攻撃」の仕組みや被害の種類、押さえておきたい対策方法まで詳しくご紹介します。
ページコンテンツ
標的型攻撃の概要
まずは標的型攻撃の定義と目的についてご紹介します。
標的型攻撃とは
標的型攻撃とは、「明確な目的を持って特定のターゲット」に仕掛けるサイバー攻撃のことです。日本では、サイバーセキュリティ対策推進会議によって「高度サイバー攻撃」の一種として定義され、海外ではAPT(Advanced Persistent Threat「高度で持続的な脅威」)と呼ばれています。従来は府省庁や大手企業が中心に狙われてきましたが、近年は地方公共団体や中小企業もそのターゲットになっています。
標的型攻撃の目的と特徴
標的型攻撃の主な目的は、攻撃対象への嫌がらせや、盗み出した情報によって金銭的利益を追求することです。攻撃目標となる企業・団体が保有している知的財産を盗み出すことで、経済的な被害を与えます。また、知的財産の侵害は、顧客の個人情報をはじめとする企業にとって致命的な情報の流出のため、企業の存続を揺るがしかねません。
こうした損失を与える標的型攻撃は、「長期間にわたり計画的に実行される」、「何度も執拗に攻撃される」といった特徴があります。被害拡大のリスクがあるため、適切な対策が必要です。
標的型攻撃と無差別型攻撃の違い
標的型攻撃と対照的なサイバー攻撃として分類されるのが、無差別攻撃です。無差別型攻撃とは、不特定多数を対象にしたサイバー攻撃です。特定のターゲットを持たないため、事前の調査などは行わず、手当たり次第ウイルスを送りつけます。
一方で、標的型攻撃は特定の企業や団体を狙って仕掛けられ、執拗に繰り返されることが多い点が特徴です。
明確な目的を持っているため、長い期間にわたり、段階を踏んで侵入するケースが多いです。このような特徴から、標的にされても気付きにくい点が問題です。気付かないうちに情報の搾取が進行し、重大な被害を受けてしまう恐れがあります。
標的型攻撃の手口
ここからは、標的型攻撃の代表的な手口をご紹介します。
標的型メール攻撃
標的型攻撃の手口として、主に用いられているのが「電子メール」です。関係者になりすましたメールを従業員に送付し、文書ファイルなどに偽装したウイルスを開かせることでパソコンを乗っ取ります。そこから、社内ネットワークへの侵入を行い、製品情報や顧客リストなどの機密情報を盗み出します。
知らないアドレスから送られてくるのであれば見分けがつきやすいですが、近年では実在する取引先企業を装うなど、送信元アドレス、件名、メール本文が巧妙に偽装されるケースが増えています。本物そっくりに送られてくるため、メールを開封する際には特に注意が必要です。
ゼロデイ攻撃
ゼロデイ攻撃は、セキュリティホール(脆弱性)が発見されてから、その情報公開や対策が講じられる前にそのセキュリティホールを狙う攻撃手法です。脆弱性への対処法が構築される前に行われるため未然に防ぐことが難しく、攻撃に気付きにくい点が大きな特徴です。
ゼロデイ攻撃は「0日目=ゼロデイ」を狙った攻撃全般を指しているため、特定の攻撃手法はありません。
ゼロデイ攻撃については、以下の記事で詳しく解説しています。
速攻型と潜伏型
標的型攻撃は、ウイルス感染後の振る舞いから「速攻型」と「潜伏型」の二つの手法にも分類できます。
「速攻型攻撃」では、数時間から数日という短期間で特定の情報を取得します。この攻撃は範囲を広げずに効率的に行われるものの、成功率にはばらつきがあり、複数回に分けて継続的に攻撃される傾向があります。コンピュータのリソースを消費するため、パソコンの動作の遅れを通じて発見されることが多く、異常に気付きやすいです。
一方「潜伏型攻撃」では、ウイルスや不正プログラムが長期間コンピュータ内に隠れて活動し、徐々に重要な情報を収集します。このタイプの攻撃は早期発見が難しく、その結果として被害が時間をかけて拡大します。また、通常の業務画面には表示されないため、発見が困難です。
標的型攻撃の実行手順
それでは次に、標的型攻撃が実行される手順について解説します。一般的に、標的型攻撃は以下のようなステップを経て行われるとされています。
実行手順①:事前調査
攻撃者はターゲットとなる企業や団体に関する情報を収集し、最も効果的な攻撃方法を分析します。
この情報収集には、その企業の業務内容や取引先、使用システムやOSなどの技術的な情報の他、従業員の個人情報(ITリテラシー、職種、交友関係など)も含まれます。これらの情報は、攻撃のためにターゲットを特定する際にソーシャルエンジニアリングという手法を使って明らかにされます。
ソーシャルエンジニアリングとは…
インターネットや情報通信技術を使わずに、パスワードなどの重要情報を得る方法。この手法では、人間の心理的な隙や行動のミスを利用して、企業の不正アクセスに必要な情報を収集します。
実行手順②:初期侵入
メールやWebを通じてマルウェアを送り込み、攻撃を開始します。特に標的型メールを利用するケースが増えています。
実行手順③:攻撃基盤の構築
感染させた端末にバックドアを設置し、遠隔操作が可能な状態を構築します。この時点では多くのユーザーは異常に気付きません。
実行手順④:内部侵入・システム調査
侵入後、端末内で情報収集を進め、IDやパスワードを窃取して他の端末にも侵入します。このように侵入領域を拡大しながら、さらなる情報収集を行います。
通常のウイルスはランダムにデータを収集しますが、標的型攻撃の場合は侵入したプログラムがネットワーク内を検索し、特定の情報を標的にして盗み出す特性があります。
実行手順⑤:機密情報の抜き取り
遠隔操作で機密情報を抜き取り、外部に送信します。
情報を抜き取った後の振る舞いは、先述の通り速攻型と潜伏型に分かれます。速攻型の場合は侵入・感染後すぐに短期間で情報の抜き取りが実行されます。一方、潜伏型の場合は長期間にわたって潜伏しながら情報を抜き取ります。
実行手順⑥:証拠隠滅・継続的な犯行
攻撃計画に基づいて目標を達成した後、証拠を隠滅します。検知されることを防ぐため、ログ情報の書き換えや、使用したマルウェア、ツールの破棄などサイバー攻撃の痕跡を消去します。なお、攻撃者にさらなる利益がある場合、作成したバックドアを使用して再度侵入します。
こうした複数のステップを通じて、標的型攻撃は計画的かつ巧妙に実行され、攻撃の痕跡も最小限に抑えられていることが一般的です。
それでは、実際に標的型攻撃を受けるとどのような被害に遭うのでしょうか。次章では、標的型攻撃による近年の被害事例をご紹介します。
標的型攻撃の被害事例
脆弱性対策情報に基づいた標的型攻撃
2022年10月、IPAおよび一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)が、大手IT企業のグループウェアの脆弱性に対する情報を公開しました。
当該企業が受けた攻撃はセキュリティの脆弱性を突いた標的型攻撃で、脆弱性対策を講じていないシステムが攻撃の対象となりました。結果として、情報の漏えいやデータの改ざん、ウイルス感染などの被害が生じたことが判明しています。
標的型攻撃メールによる某国立大学への標的型攻撃
2023年10月、国内の某国立大学は標的型攻撃によって学内情報が流出したことを発表しました。
具体的には、PCが標的型攻撃メールによってマルウェアに感染し、2,409人の学教職員などの個人情報が漏洩しました。漏洩情報には他大学の学生データなども含まれており、対応として情報セキュリティ対策を強化し、再発防止に向けて全構成員にPC管理と個人情報保護の注意喚起を徹底する方針を示しています。
標的型攻撃への対策方法
標的型攻撃から情報を守るためには、日々の対策が欠かせません。標的型攻撃の予防対策方法をご紹介します。
①不審なメール・ソフトを開かない
標的型攻撃ではフィルターを通過するケースも多いため、従業員一人ひとりが高いセキュリティ意識を持ち、怪しいメールや添付ファイルは開かないことを徹底することが重要です。例えば、標的型攻撃には拡張子が「.exe」の実行形式が散見されます。
また、標的型攻撃で最も多い侵入経路は電子メールです。そのため、メールの送受信に対しては必ずウイルスチェックのフィルターを通すことが大切です。日々の業務に対して社内のセキュリティ意識を高め、メールの適切な取り扱い方を徹底していきましょう。
②OS・ソフトウェアを最新の状態に保つ
不正プログラムは、使用している端末やソフトウェアの脆弱性を突いて侵入することもあります。そのため、脆弱性を解消するために、OSやソフトウェアは常に最新のプログラムを適用しましょう。
なお、ソフトウェアの開発元が脆弱性を認識してから修正パッチを配布するまでの間にはタイムラグがあり、この間は未解決の脆弱性を突く「ゼロデイ攻撃」が実行されます。修正パッチが配布されたら即時にインストールすることはもちろん、開発元や関連機関が発表する一時対策を実施するなど、攻撃に対して常に警戒することが重要です。
③日常的にログを管理する
ネットワークやシステムに対する全てのアクティビティを記録し、定期的にチェック・管理することが重要です。ログの取得は、侵入検知や、侵入発覚後の被害の特定、原因追及に不可欠な情報源です。そのため、日常的にログを収集・分析し、標的型攻撃による異変を検出できる体制を整えましょう。
④従業員への注意喚起・教育を徹底する
従業員に対してセキュリティ教育を行うことで、標的型攻撃の回避につながります。社内のデバイスの取扱い方法やセキュリティに関する知識を始め、実際に標的型攻撃の的になった対処法を考える実践的な内容が有効です。擬似的に作成した標的型攻撃のメールを送信し、従業員がどのように対応するか確認する方法もあります。
⑤セキュリティ対策製品の導入・見直し
セキュリティ対策ソフトの導入・見直しも、標的型攻撃への必須の対策です。メールのウイルスチェックやPC内部のスキャン、PCから外部へ送信される情報のスキャンなどのさまざまな機能が利用できるため、ある程度の被害を防ぐことができます。
しかし、セキュリティ対策ソフトを導入すれば全ての攻撃を防げるわけではありません。近年は従来のセキュリティ対策ソフトでは検知できない標的型攻撃が増加しており、従来のセキュリティ対策ソフトだけでは不十分です。そのため、従来のセキュリティ対策に加え、エンドポイントまで侵入された場合のセキュリティ対策が必須です。侵入されても感染させない仕組みをもったセキュリティ対策ソフトの導入を検討しましょう。
以上が標的型攻撃を未然に防ぐ対策ですが、エンドポイントセキュリティによって多層的なセキュリティ対策を行っていたとしても、標的型攻撃を完全に防御することは困難です。では、もしも、被害に遭ってしまった場合はどのように対応すればよいのでしょうか。次章では、標的型攻撃を受け、情報漏えいやデータの改ざんなどが行われた場合に企業が取るべき対応をご紹介します。
標的型攻撃の被害に遭った場合の対応
個人情報保護法では、企業の責務として、情報漏えい時の報告義務が課されています。そのため個人情報の漏えい、紛失、または不正なアクセスが発生した場合、企業はそれに従って該当する行政機関に速やかに報告する必要があります。この報告には、漏えいの詳細、原因、影響範囲、再発防止策などの情報が含まれ、期日内に報告しなければなりません。
非常時には流出した情報や攻撃を受けた端末の特定、関係各所や自社サービス利用者への周知など確認すべき点が多いため、外部の専門機関に協力を要請することも有効です。
具体的な手順や詳細な規定については、法律文や専門のガイドライン、関連する行政機関の公式Webサイトでの確認をご確認ください。
なお、このような万が一の被害に遭った場合に迅速に対応できるように、予め緊急時のガイドラインを定めて社内に周知しておきましょう。
標的型攻撃対策を強化する「AppGuard」
標的型攻撃は長期間にわたる計画に沿って実行されるため、多くの機密情報を扱う企業にとって大きな脅威になります。有効なセキュリティ対策としては、その場しのぎになりかねない特定の対策ではなく、包括的な方法を選ぶことが大切です。ここで紹介してきた情報をもとに、セキュリティ環境の見直しを行いましょう。
大興電子通信では、高度は標的型攻撃によるPCのマルウェア感染を遮断する、ゼロラスト型エンドポイントセキュリティAppGuard(アップガード) を提供しています。
AppGuardは従来のセキュリティ対策ソフトとは仕組みが異なり、PC内のアプリケーションそれぞれの「動き」を監視することで、通常の操作を妨げることなく不正な動作だけをブロックすることが可能です。興味がある方は下記より詳細をご確認ください。
![組織の情報セキュリティを強くするための対策のポイント](https://www.daikodenshi.jp/daiko-plus/wp-content/uploads/2023/09/11【セキュリティ】組織の情報セキュリティを強くするための対策のポイント.png")
