サイバー攻撃の手口が年々高度化する中、標的型攻撃は企業や組織を狙う脅威として大きな危険性があります。
標的型攻撃は、特定の組織に狙いを定めターゲットに合わせた高度な手口を用いるため、気付かれにくく長期に渡って甚大な被害が生じることもあります。
本記事では、標的型攻撃の脅威と特徴、実際の事例を解説するとともに、実践的な対策方法について、わかりやすく解説します。
標的型攻撃とは、特定の企業や組織を狙った攻撃のことを指します。
一般的なサイバー攻撃と異なり、標的型攻撃は徹底した事前調査に基づき、ピンポイントで標的を特定し、そこに合わせた手口を用いるのが特徴です。
標的型攻撃の目的は、情報窃取やシステム破壊、サービス停止などさまざまです。
・情報窃取
企業や組織から機密情報や重要なデータを盗み出すことを目的とします。
これには、企業の機密情報や顧客データ、個人の銀行情報などが含まれます。
・システム破壊
組織のシステムを破壊し、業務の停止や混乱を引き起こすことが目的のこともあります。
これにより、組織に混乱や損失をもたらします。
・サービス停止
攻撃者は特定のサービスやシステムを停止させることで、組織に対する影響を最大化しようとします。
これには、ウェブサイトのダウンやネットワークの遮断が含まれます。
標的型攻撃では、ターゲットとする組織に関する詳細な情報を、あらゆる手段を講じて徹底的に収集します。
SNSでの書き込みや公開情報の収集、関係者へのなりすまし、内部関係者への接触など、さまざまな方法で情報を入手します。そして収集した情報をもとに、標的組織に最適化された高度な攻撃手口が用いられます。
具体的な攻撃手口としては、以下のようなものが典型的です。
・標的とする組織の取引先や協力会社、役員や関係者になりすまし、マルウェアを添付したメールを送付する。
・ターゲット内部のネットワークに潜り込み、マルウェアを稼働させ、バックドア通信ができるようにする。
・外部の攻撃者と通信を行い、内部の脆弱性を探索し、それを踏み台にデータを窃取したり、さらなるマルウェアの展開を行う。
このように、標的型攻撃では高度な偽装や不正プログラムが使用されるため、一般的なサイバー攻撃対策では防ぎきれない脅威があります。
一度攻撃に成功すれば、機密データの窃取、重要システムの乗っ取り、ランサムウェア感染などの甚大な被害が生じます。高度な手口と深刻な被害がもたらされる点が、標的型攻撃の大きな脅威なのです。
事前の調査に時間をかけたうえで攻撃を仕掛けてくることから、一度潜入されてしまうと長期間気付かれにくいのが、標的型攻撃の特徴といえます。
2点の事例を通して確認しましょう。
2023年11月、宇宙航空研究開発機構(JAXA)がサイバー攻撃を受け、不正アクセスされていたことが報道されました。
不正アクセスの対象となったのは、一般業務用のサーバーであり、研究開発などの機密情報は漏洩していないことがわかっていますが、JAXAは過去にもサイバー攻撃を受けていることから、 ネットワークを切り離したうえで十分な調査を行いました。
なお、不正アクセスは2023年夏から行われており、2023年秋頃に警察より連絡を受けるまで、JAXAは不正アクセスの事実に気づいていなかったようです。
このように、標的型攻撃は密かに侵入を試み、長期に渡って情報窃取を狙うため、継続的に監視・検知を行う必要があります。
2023年10月、東京大学は教員が使用していたPCがマルウェア感染し、PCに入っていた機密情報(教職員や学生等の個人情報や過去の試験問題等計4,341件)が流出した可能性があることを発表しました。
これは、1年以上前にその教員が標的型攻撃のメールを受け取ったことに起因するものと考えられています。
該当の教員が、実在の担当者を装った講演依頼のメールを受け取り、日程調整のやりとりをしている中でメール内のURLをクリックしたことで、マルウェアに感染したとのこと。
そのときは、講演が中止になった旨の連絡があり、被害に気づくことができなかったようです。
標的型攻撃は高度な手口が用いられるため、単一の対策では不十分です。
組織を標的型攻撃から守るには、以下のようなさまざまな側面から多層的な対策を講じる必要があります。
まずは、エンドポイント(PCやサーバー)への対策が最も重要となります。
アンチウイルスソフトを導入し、既知のマルウェアの検知と除去を行うことは基本です。
さらにEDR(Endpoint Detection and Response)を導入することで、エンドポイントにおける詳細な監視と、高度な対応が可能になります。EDRではマルウェアの動作を追跡・分析し、速やかに対処できるのが大きなメリットです。
標的型攻撃では、なりすましメールを使った踏み台攻撃から始まることがほとんどです。
そのため、SPF(Sender Policy Framework)やDMARC(Domain-based Message Authentication, Reporting & Conformance)によるメール送信元の認証をしっかり行い、不正メールをブロックすることが重要です。
さらに、メール本文やURLのリスク判定、サンドボックス解析による動的解析を組み合わせることで、より高度な不審メールの自動検知とブロッキングが実現できます。
標的型攻撃では、外部の攻撃者との通信を行うため、ネットワークを守るための対策も大切です。
従来のファイアウォールでは高度な脅威を捉えきれないため、次世代ファイアウォール(NGFW)の導入も検討しましょう。次世代ファイアウォールでは、アプリケーションレベルまで通信内容を可視化・分析し、不審な通信をブロックできます。
さらにIPS(Intrusion Prevention System)やIDS(Intrusion Detection System)と連携することで、既知の不正プログラムはもちろん、未知のマルウェアの振る舞いも検知し、防御が可能になります。
ソフトウェアの脆弱性を狙った攻撃に備え、OSやアプリケーションに関する最新のパッチを常に適用し続けることも不可欠です。また、重要な機密データについては暗号化を行い、アクセス権限を適切に管理しましょう。
加えて、ID/パスワードといった知識情報だけでなく、所持情報や生体情報を組み合わせた多要素認証の導入も、内部からの不正アクセスリスクを低減するのに有効です。
技術的な対策に加え、人的側面からの対策も徹底する必要があります。
標的型攻撃の手口や最新の事例、対策の重要性について、社員一人ひとりに対する定期的な教育と意識啓発を行うことで、人為的なミスによるリスクを大幅に低減できます。
万が一、標的型攻撃に遭った場合の対応体制も、十分に整備しておかなければなりません。
発生時の初動対応、原因の特定、被害の拡大防止、システムの復旧作業など、一連の流れを事前に確認しておき、役割分担や連絡体制なども明確にしておきましょう。定期的な模擬訓練を行い、実効性を高めることも欠かせません。
このように、エンドポイント、メール、ネットワーク、運用面での対策を組み合わせ、さらに人的側面とインシデント対応体制を加えた多層的な対策が、標的型攻撃に備えるための実践的な対策といえます。
標的型攻撃は高度で複数の手口が組み合わされることが多く、一度被害に遭うと甚大な被害が生じます。侵入を防ぐための対策だけでなく、侵入されてしまったあとに被害を拡大しないための対策も重要です。
単一の対策では防ぎきれないため、多面的な対策に取り組み、標的型攻撃から組織を守りましょう。
