目 次
・標的型攻撃とは
・国内企業でも被害事例が
・事前に周到な準備を行う特徴がある
・標的型攻撃メールは見分けることがむずかしい
・標的型攻撃対策の課題
・事前防御力を上げることで感染を防ぐ対策を
Written by 阿部 欽一
キットフックの屋号で活動するフリーライター。社内報編集、Webコンテンツ制作会社等を経て2008年より現職。情報セキュリティをテーマにした企業のオウンドメディア編集、制作等を担当するほか、エンタープライズITから中小企業のIT導入、デジタルマーケティングまで幅広い分野で記事執筆を手がけている。
関連資料標的型攻撃メールの開封状況を分析!あらゆるデータを取り込み、分析をスマートに。
「LANSCOPE x Splunk カタログ」
企業や組織が保有する重要情報を標的にした「標的型攻撃」は、2015年に起きた大規模な情報漏えい事案によって大きく注目され、企業における代表的なサイバー攻撃の脅威として認識されています。その一方で、よく標的型攻撃の対策では「怪しいメールは開かない」と言われますが、手口が洗練され、巧妙化し「何が怪しいメールか」を利用者が見ただけでは分からなくなっています。
そこで、標的型攻撃への対策や利用者の心構えにどんなことが必要かを考えてみたいと思います。
標的型攻撃とは
標的型攻撃は、特定の組織や個人を標的に、カスタマイズされた攻撃のこと。企業などが保有する重要情報を盗み出す目的で計画的かつ継続的に、あらゆる手口を組み合わせて行われ、攻撃を受けた人が気づきにくい特徴があります。
国内では2010年頃より注目を集めはじめました。標的型攻撃にて用いられる攻撃手法の一つである標的型攻撃メールに関して、警察庁が2018年3月に公開した「平成29年中におけるサイバー空間をめぐる脅威の情勢等について」によると、2017(平成29)年に確認された標的型攻撃メールの件数は6027件にのぼり、2016年の4046件に比べ、依然として増加傾向にあります。
これまでのサイバー攻撃は、愉快犯的な目的のものもありましたが、標的型攻撃は金銭的な価値のある重要情報を盗み出す「ビジネス」の側面が強く、企業にとっては直接的な金銭被害だけでなく、事件を契機に失った企業のブランドイメージや信用の低下など、被害が大きくなりやすい特徴があります。
国内企業でも被害事例が
2015年以降、国内企業でも相次いで標的型攻撃の被害事例が報じられ、「今そこにある脅威」として認識されるようになりました。たとえば、2015年には某公的機関で100万件を超える情報漏えい事件がありました。職員のパソコンがマルウエアに感染したことで外部から不正にアクセスさたことがわかっており、マルウエア感染の経路は、職員宛に届いた文面をカスタマイズされた標的型攻撃メールだったと見られています。
また、2016年には国内大手企業が外部から不正アクセスを受け、600万件を超える顧客情報が漏えいする事案が発生しました。グループ会社の職員宛に、取引先を偽装した標的型攻撃メールが届き、職員がこれを開いてマルウエアに感染したことで外部から不正にアクセスされたことが原因でした。
事前に周到な準備を行う特徴がある
一口に標的型攻撃といっても、その攻撃手法にはさまざまなものがありますが、大きな特徴として「一連の攻撃に流れを持っている」点が挙げられます。
攻撃対象の組織を調べつくし、対象にあった攻撃手法を周到に準備し、情報を盗み出すまでの一連の攻撃の流れが標的型攻撃であるということができます。こうした一連の流れは、「サイバーキルチェーン(Cyber Kill Chain)」とも呼ばれます。キルチェーンとはもともと軍事用語で、攻撃の手順を構造化した考え方。サイバーキルチェーンは標的型攻撃における攻撃者の一連の行動を構造化したものです。
(1)偵察
(2)武器化
(3)デリバリー
(4)攻撃(エクスプロイト)
(5)インストール
(6)C&C(遠隔操作)
(7)侵入拡大
(8)目的実行
上記のような攻撃の段階が鎖のように連鎖し、各段階が移行するにつれ、深刻度が増していきます。
標的型攻撃メールは見分けることがむずかしい
標的型攻撃では、実在する取引先の担当者を偽装するなどして、受け取った人が違和感を覚えないようなメールを送ってくるため、外見から怪しいメールだとして見分けることはますます難しくなっています。
警察庁が公開した標的型攻撃の事例では、実際のメールが送付された約10時間後に、当該メールの本文をそのまま引用した標的型メールが送付された事例が公開されています。関係者のパソコンが乗っ取られ、実際に業務でやり取りするメールがそのままコピーされ、標的型攻撃メールに悪用されていたようです。
標的型攻撃対策の課題
こうした特性やリスクにもかかわらず、企業の中には「従来型のアンチウィルスソフトを導入しているので大丈夫」と、対岸の火事と捉える認識があるのも事実です。
特に、メールを受け取る受信者側の対策としては、従業員のメール開封件数や添付ファイルの件数など、自社にどんなメールがどの程度届き、開封やクリックはどうなっているのか、現状が可視化、把握できていないという課題や、攻撃の手口を知り、万が一の感染に備えた訓練が行えていないといった課題があります。
事前防御力を上げることで感染を防ぐ対策を
標的型攻撃は、従業員が利用するパソコンやスマホなどのモバイル機器、サーバーなどのネットワーク機器内にある「情報」が狙われます。そこで重要になるのが、事前防御力を上げることでマルウエアの感染を防ぐことです。
たとえば、上記のようなネットワークに接続された「エンドポイント」に対するセキュリティ対策として、事前防御を可能とする次世代型アンチウィルスソフトを導入することや、Webフィルタリングやメールセキュリティ、データの暗号化やネットワークやシステムに対するアクセス制限などの認証強化といった対策を組み合わせることが有効な場合もあります。
「人」の脆弱性への対応
一方で、ツールを導入するだけでリスクをゼロにできないのも事実。そこで事前防御力を高めるためには従業員に対するセキュリティ教育や訓練も必要です。
たとえば、擬似的な標的型攻撃メールを送信し、従業員や組織の対応力を高める「標的型攻撃メール訓練」なども有効な対策となります。攻撃の手口を知り、不審なメールを受信したときの対応力を高めるだけでなく、企業側としては、実際に攻撃を受けたときにどの程度、標的型攻撃メールを開封、添付ファイルを開封したかを操作ログから可視化できるため、自社のリテラシーに応じたセキュリティ教育といった事前防止につなげるPDCAサイクルを確立する効果が期待できます。
