標的型攻撃とは? 最新手口の傾向と対策について解説
標的型攻撃は、情報セキュリティ対策推進会議に、「高度サイバー攻撃」に含まれる手法と定義されており、現在最も深刻なサイバー攻撃の一つとされています。 手法の多くは「標的型メール」で、ソーシャルエンジニアリングなどの手法を使い、ターゲットの情報を徹底的に集めた上で巧妙な攻撃を仕掛けるため、セキュリティソフトで検知されない、またはターゲットが見抜けずにウィルスに感染してしまう事例が多く挙げられています。 本記事では、標的型攻撃の特徴や対策について解説いたします。
目次
標的型攻撃とは?
標的型攻撃とは、「明確な目的をもとに、特定のターゲットを狙ったサイバー攻撃」のことを指します。 特定の組織・団体から機密情報の詐取、重要データのクラッキングなどを目的とし、まずスパムメールやウェブサイトなどを踏み台に、対象が利用するデバイスを感染させ侵入、組織の機密情報の詐取、さらにはそこに紐付いた関連会社の情報や個人のIDパスワードを盗み、それを元に別の端末・ネットワークに攻撃を仕掛けるなど、被害が深刻になりやすいです。
また、標的となる企業のネットワークに侵入できるまで継続的に攻撃を仕掛ける標的型攻撃を、英語で「APT攻撃(Advanced Persistent Threat)」、「持続的標的型攻撃」と呼びます。
ターゲットが明確であるため、用意周到で巧妙な手法で侵入を試みます。
IPAが調査している「情報セキュリティ10大脅威 2020」の法人の部門では、標的型攻撃による機密情報の窃取が1位となっており、2018、2019年に引き続き3年連続首位となっています。
近年は、添付ファイル付きのメールを送り、開封させて感染させる手法から、対象となるユーザーが日頃利用するWebサイトを特定し、そのサイトを改ざんした上で攻撃する「水飲み場攻撃」に変化しています。
標的型攻撃の最新手口
近年は、標的型攻撃で利用されるマルウェアもより高度化しています。 例えば、一見は正常に見えるが、バックグラウンドで作動しているマルウェアなど、セキュリティソフトをすり抜けるものも多く見受けられます。
近年だと、2020年1月22日にUnited States Computer Emergency Readiness Team (US-CERT)が警告したマルウェア「EMOTET(エモテット)」による標的型攻撃が記憶に新しいです。 「EMOTET(エモテット)」は、2014年に確認されたマルウェアで、このマルウェア自体は感染・拡散の足がかりとなるものであり、単体でサイバー攻撃を行うことはまれです。
Emotetの仕組みを説明すると、詐取した情報から、それらしいメール文章を作り上げ、ターゲットに対し、偽造のメール文章を作成します。 ターゲットは、添付されたファイルをダウンロード、またはコンテンツを起動させるときに表示される警告を解除した時に、Emotetが自動的にダウンロードされてしまいます。 Emotetに感染すると、その端末のIDやパスワード、機密情報が流出し、踏み台にされ、また別の端末への攻撃が開始されます。
このように、スパムメールの文面も年々、巧妙で、見抜きにくい水準にまで到達しています。 スパムメールを見抜くスキルを高めることには限界があり、万が一、スパムメールを開いてしまったらどう対処するのが正しいのかを啓蒙していくことが重要でしょう。
標的型攻撃の特徴
従来のブルートフォースアタック(総当たり攻撃)のような不特定多数に向けた攻撃ではなく、特定の企業または企業の中の〇〇職など、明確にターゲットを定めていることが最大の特徴です。 攻撃する前には、ソーシャルエンジニアリングを活用し、ターゲットのことを入念に調べ上げ、徹底的に情報を収集します。企業情報ではなく、企業で働く個人のSNSやアカウントといった私的情報から人間関係などをあぶり出し、攻撃で使えそうな材料を探し出します。
ターゲットが明確な分、攻撃もターゲットにカスタマイズされた、非常に高度で巧妙な物が多く、表面上は正常動作を行っているようにみえるマルウェアを仕込んだり、一般のメールと見分けのつかないスパムメールを送りつけます。
そのため、従来のセキュリティソフトをすり抜けたり、検知ができないケースが多いとされています。
標的型攻撃の手順
標的型攻撃は、大きく以下の5つの手順によって行われます。
情報収集
ターゲットの企業・団体について入念な下調べを行います。 業務内容や資本金といった基本情報に限らず、取引先、社内で使っているサーバー、システム、OSなどの情報を調べ、ソーシャルエンジニアリングの手法を用いながら、そこで働く社員の個人情報(ITリテラシー、職種、交友関係など)を明らかにしていき、ターゲットをロックオンします。
侵入・マルウェア感染
フィッシングメールやWebサイトなど、さまざまな手を使って、標的にマルウェアを感染させようと試みます。 標的に合わせた多様なサイバー攻撃が水面下で行われるため、非常に検知が困難になります。
初期活動
侵入が成功したら、ターゲットが持っている情報を抜き取る、または新たな行動を開始するため、外部サーバー(C&Cサーバー)との通信を開始します。 最初に侵入した端末は、次のより高い機密情報を持つ権限の高い端末へ侵入するために、踏み台にされます。
他のコンピューターへの侵入開始
重要な機密情報にアクセスするため、対象の端末にアクセスできる経路を探り、タイミングを見計らいます。 また、サイバー攻撃が検知されないよう、長い時間をかけて情報を少しずつ抜き取っていきます。
痕跡の消去
少しずつ集めた情報を外部サーバ(C&Cサーバ)を通じて外部へ送信。その後、検知されることを防ぐため、ログ情報の書き換え、使用したマルウェアやツールの破棄などサイバー攻撃の痕跡を消去します。
標的型攻撃の侵入経路
標的型攻撃の侵入経路で最も多いのがメールですが、それ以外にもWebサイトやUSBメモリといった経路で侵入するパターンもあります。
メール
最も標的型攻撃で多いのが、メールです。 前述したように、あたかも取引先や同僚、上司などになりすまし、添付ファイルを開かせようとするなど、非常に巧妙で気づくのが難しいという特徴があります。 標的型メール攻撃については、後ほど解説します。
Webサイト
ブラウザやOSの脆弱性を利用し、Webサイトを閲覧するターゲットに水面下でウィルスを仕込み感染させる「ドライブバイダウンロード(DBD)」、当選キャンペーンやサイトメンテナンスといった口実を理由に、悪性サイトに誘導する「フィッシングサイト攻撃」などがあります。
USBメモリ
例えば、自分の持ち物ではないUSBメモリ、会社内に落ちていたUSBを不用意に差し、感染するといったケースが考えられます。
USBは、マルウェアの媒介となり、さまざまなパソコンに感染させることが容易で、マルウェア対策機能が実装されているUSBメモリを購入するなどの対策が必要です。
標的型攻撃メールとは?
標的型攻撃メールとは、特定の企業(組織)や個人をターゲットに、機密情報や知的財産、ID・パスワードといった秘匿情報を詐取する攻撃手法のこと。 ツールなどで一括で送付する迷惑メールと違い、ターゲット宛てにダイレクトに送るメールのため、セキュリティチェックをすり抜けて、受信者にまで到達してしまうのが特徴です。
標的型攻撃メールの見分け方
標的型攻撃メールは、いくつかのポイントに留意しておけば、見分けることが可能です。
100%とは言いませんが、おおよその不審なメールを検知できると思います。
ポイントは、大きく以下の3つです。
メールの本文
日本語の言い回しが不自然であったり、日本語ではまず使われない簡体字や旧字体、または不自然な間隔でスペースが空いている、文字化けしている場合も注意が必要です。 また、署名に存在しない組織名・電話番号、間違っている場合も、不審メールの可能性がきわめて高いです。
添付ファイル
添付ファイルの形式にも注目しましょう。 とくに、実行ファイル(.exe)が添付されている場合は、危険なメールである可能性がきわめて高いです。 警察庁の調査によれば、添付されたファイルの種類別にみると、2014年には、97%が圧縮ファイル(zip、lzh、rar)だったのに対し、2018年には、32%が圧縮ファイル(zip、lzh、rar)、48%が実行ファイル(.exe)、エクセルが20%となっており、ファイル形式も多様になってきています。
参照:平成30年におけるサイバー空間をめぐる脅威の情勢等について|警察庁
また、二重拡張子にし、パッと見ただけでは気づかないケースもあります。 これは、端末側でファイルの拡張子を表示させる設定にすることで、見抜けます。 このほか、ファイル名が無意味な英数字の文字列、テンプレートのような汎用性のある名前のファイルも、注意をした方がよいでしょう。
メールアドレス
YahooやGoogle、MSNといったフリーメールアドレスの場合は、警戒をしましょう。 フリーアドレスは簡単に作成ができ、悪用されることが多いためです。 独立行政法人 情報処理推進機構(IPA)が2015年11月〜2016年3月にかけて137件の攻撃メールを対象に行った調査によると、標的型攻撃メールのアドレスの割合は、フリーメールが157件で48%、企業メールが112件で34%となっており、フリーメールが約半数以上を占めている事が分かります。
これだけで確証が持てない場合は、ヘッダー情報をチェックしましょう。 ヘッダー情報には転送履歴や送信元「Return-Path」などの情報を確認できます。 もし、転送回数が異様に多い、送信元のメールアドレスが英数字のランダムな文字列の場合は、なりすましを疑った方がよいでしょう。
標的型攻撃の被害事例
標的型攻撃は、世界中で被害が後を絶ちません。多くの事例では、サイバー攻撃の被害発覚から、初動までの時間が空いていたケースが多いです。
標的型攻撃を防ぐ対策
標的型攻撃から身を守るためには、どのような対策をとればよいのでしょうか? 何度も解説しているように、巧妙で複雑な攻撃が行われるため、100%防ぎ切るのはほぼ不可能といえるでしょう。 大切なのは、被害にあったら何をすべきかを各自が把握することです。
被害にあったらまずすべきこと
被害が発覚した場合、まず以下のことを早急に行いましょう。
CSIRTは、「Computer Security Incident Response Team」の略で、マルウェア感染、DoS攻撃、情報流出といったコンピューターに関する重大インシデントに対応する部署のことを指します。 サイバー攻撃の被害が増加する中で、設置する民間企業も増えてきています。
被害を未然に防ぐための対策
従来のセキュリティ対策では、入口対策を中心に語られていましたが、サイバー攻撃はより巧妙かつ複雑になり、従来のセキュリティソフトでは守りきれなくなっているのが現状です。 出口対策と内部対策などを組み合わせた多層防御がセキュリティ対策の主流になっています。
入口対策
外部からの不正アクセスを防ぐ「ファイヤーウォール」、攻撃されることを前提に設計された仮想環境である「サンドボックス」などがここに当てはまります。
出口対策
出口対策は、万が一入り口を突破され、マルウェアに感染したときに機密情報などの重要なデータを持ち出されない、または自社の端末を他の攻撃の踏み台にされないための対策を指します。 ログ管理などを行い、攻撃者の行動を分析、不正な通信を検知したら、外部サーバー(C&Cサーバー)に機密情報を送信するのを防ぐといった方法が主な出口対策となります。
内部対策
内部対策と出口対策はやや似通った部分がありますが、主にバックアップやファイルの暗号化、操作ログ管理、サーバ上のファイル操作ログ管理などが当てはまります。 ログ監視を行うことで、社内に潜む攻撃者の活動抑止にもつながります。
従業員の教育
これだけ、堅牢なセキュリティ対策をしても、サイバー攻撃が狙うスキはヒューマンエラーです。 つまり、従業員の教育が必要になります。 標的型攻撃の一般的な手法は「なりすましメール」です。 従業員が通常のメールと見分けられるよう、訓練メールというサービスを提供している企業もあります。
こういったサービスを利用するほか、セキュリティマニュアルの整備、正しい端末の扱い方、クラウドサービスの利用方法の啓蒙など、従業員がセキュリティに対する自覚を持って業務にあたれるよう、定期的に教育していくことが求められます。
まとめ
「今、標的型攻撃をされていない」と安心するのは非常に危険です。 標的型攻撃に気づかず、すでに感染しており、水面下で情報が抜き取られている可能性もあります。
今何も起こっていないから、ではなく、「いずれ起こりうる危険」に備え、これまで紹介した対策を実行していきましょう。