2021.12.24

ビジネス

標的型攻撃とは?基本的な仕組みや手法、被害事例、対策法をチェック!

近年、PCやネットワーク機器の脆弱性を狙ってマルウェアを侵入させる標的型攻撃が、巧妙かつ高度化してきています。重要な情報を保有する企業においては、標的型攻撃の回避や被害の拡大を防ぐために、ますはその基本な仕組みを理解し、適切な対策を講じることが重要です。

そこで今回は、標的型攻撃の基本的な仕組みや手法、被害事例からその対策法についてまで詳しく解説していきます。

標的型攻撃とは?

 

標的型攻撃とは、事前にターゲットを定めた上で企業や団体に対して、嫌がらせや金銭的利益を目的に個人・機密情報を盗み出そうとする悪徳な手口のサイバー攻撃です。

一口にサイバー攻撃といっても、標的型攻撃には他のサイバー攻撃とは異なる大きな特徴があります。その基本的な特徴や、「無差別攻撃型」と呼ばれる手法との違いなどを詳しく見ていきましょう。

標的型攻撃は「サイバー攻撃」にあたる

標的型攻撃は、数多くあるサイバー攻撃の一種となります。一般的なサイバー攻撃は、特定のターゲットが定められてないことに対し、標的型攻撃はあらかじめ攻撃のターゲットが決っており、目標に到達するまで執拗に攻撃を繰り返すのが特徴です。
具体的には、インターネットを通してPCやネットワーク機器などを攻撃して危害を加えたり、内部に保存された重要な情報を盗み出すといったケースがほとんどです。

また標的型攻撃は、長期間にかけて段階を踏み侵入を試みることから、標的にされても気づきにくい点が大きな特徴です。いつの間にか情報の搾取が進み、気付いた頃には重大な被害を被ってしまうといったリスクがあるのが標的型攻撃の非常に恐ろしい点と言えるでしょう。

標的型攻撃の目的と無差別型攻撃との違いについて

ここからは、標的型攻撃と無差別型攻撃の特徴や、それぞれの攻撃の違いについてみていきましょう。

  • 標的型攻撃
    特定のターゲットに狙いを定めた上で、マルウェアの感染や不正アクセスなどを行い「重要情報」の搾取を目的に行われる攻撃
  • 無差別型攻撃
    無差別型攻撃は、Webサイトやメールを通して、不特定多数の人へマルウェアを感染させるばらまき型の攻撃

標的型攻撃と無差別型攻撃の大きな違いは、ターゲットが決まっているか否かということです。
無差別型攻撃は、無差別にマルウェアをばらまくため、アンチウイルスやファイアウォールなど代表的なセキュリティ対策で事足りていました。
しかし、標的型攻撃には、入口対策から出口対策までを想定したセキュリティの多層防御が重要となります。

標的型攻撃の手法

 

つぎに標的型攻撃とは、どのような手法で行われているのでしょうか。ここでは、標的型攻撃に用いられる一般的な手法をご紹介します。

標的型攻撃は潜伏型と速攻型の2種類

標的型攻撃は、おもに「潜伏型」と「速攻型」の2種類に分類されます。

潜伏型

潜伏型では、PCへマルウェアや不正プログラムが長期間にわたり潜伏することで、端末内部の情報を盗み続けていきます。感染スポットから徐々に活動基盤を拡大していくため、早く標的型攻撃を発見し、対応しなければ被害が大きくなるリスクがあります。ただし、動作が遅く情報が漏えいするまでにはやや時間がかかるという特徴があります。

速攻型

速攻型の標的型攻撃は、潜伏型とは打って変わって、数時間から数日程度で素早く情報を盗むことが可能です。攻撃範囲を広げることはできませんが、ターゲットの情報を短時間で的確に取得できる特徴があるので対策には素早さが求められます。なお、この速攻型は当たり外れがあることから、1回の攻撃に限らず数回に分けて繰り返し攻撃されるケースも多いのが特徴です。

メールによる標的型攻撃

「標的型攻撃メール」は、もっとも代表的な方法です。普段利用するメールに潜入しており、気付きにくいため注意が必要です。
攻撃者は、メール内に不正プログラムを仕込んだ添付ファイルやURLを添えてメールを送信します。受信者側がメールを開封後プログラムを展開することで、ウイルス感染や不正プログラムを強制的にインストールさせる手法となります。

メールによる標的型攻撃は、最近では知人や職場の社員を装い安全なメールだと信用させる方法が増えてきており、偽装をされていることが多くなっているため、知っている人からの連絡であっても注意してメールを扱うことが大切です。

Webサイトの水飲み場型攻撃

標的型攻撃の手法の中でも「水飲み場攻撃」は比較的新しい手法となります。もともと、水飲み場攻撃とは、ライオンが狩りを行う際に、水飲み場で獲物を待ち伏せし、狩りを行っていた姿に似ていることからこのように名づけられました。

水飲み場型攻撃の方法は、ターゲットが普段利用するWebサイトに不正プログラムを仕込み、マルウェアなどに感染させる標的型攻撃となります。この方法は見分けることが非常に難しく、標的型攻撃メールと同じくらい注意が必要な攻撃となります。

標的型攻撃の手順

 

標的型攻撃は、先ほどご紹介したようなさまざまな手法がありますが、その攻撃方法と同様にその手順を知っておくことも重要です。おもに以下の4つ手順を踏んで標的型攻撃は行われます。

手順1.初期潜入

初期段階においては、サイバー攻撃者が「標的型攻撃メール」「ソフトウェアの不正更新」「Webサイトの水飲み場型攻撃」などの手法により、企業のセキュリティ対策を突破してシステムへ潜入を試みます。潜伏後、マルウェアなどが感染してからプログラムが動き出すまでの期間が初期段階となります。
なお、具体的な被害が表面に出ていなくても、マルウェアなどが感染し内部に潜伏している状態も初期潜入段階に含まれます。

手順2.バックドア(裏口)環境の構築

次の段階では、攻撃基盤の構築として、バックドア(裏口)と言われるシステムに侵入しやすなるよう別の入口を設けます。
そのあと、サイバー攻撃者がマルウェアに指令出せるよう外部C&Cサーバと通信し、ウイルスのダウンロードや動作を指示したり、拡張機能の追加などを実行していきます。

標的型攻撃は、バックドア(裏口)が設置されて外部C&Cサーバにより、攻撃の基盤を着実に構築するため、現時点ではほぼマルウェアを発見することは困難と言えます。

手順3.ターゲットとなる情報保存場所の特定

攻撃基盤の構築が終えたあとは、攻撃者が狙う情報の存在箇所を特定するために、システム調査段階へ移行し、時間をかけて何度も調査を行います。
一般的なウイルスは、情報の保存場所・内容にこだわらず、無作為にデータを盗み取りますが、標的型攻撃の場合では、ネットワークの内部不正プログラムを検索し、標的となる情報の保存場所を発見します。

このように標的型攻撃は、抜き取る情報も狙い撃ちしてくることや、段階を踏んで確実にターゲットとなる情報を盗んでいくことが恐ろしい点と言えます。

手順4.攻撃の実行

最終段階では、サイバー攻撃が実行されます。ターゲットとなる情報の保存を発見したら、そこへ不正プログラムを送り込み、確実に情報を抜き取っていきます。その後は、それらをもとに次のサイバー攻撃に向けて再び新たな目標を設定します。
なお、ここまでの手順を「潜伏型」であれば長時間かけて実行し、「速攻型」であれば短時間ですばやく実行することが可能となります。

標的型攻撃を防御し、より強固なセキュリティ対策を実現したい方は、以下の記事もぜひチェックしてみてください。
≫エンドポイントセキュリティ、EDRって?重要性やマルウェアへの対策ポイントとは

標的型攻撃の実際の被害事例

ここでは、実際に標的型攻撃の被害に合った3つの事例をご紹介していきます。

Googleへの「オペレーション・オーロラ」

標的型攻撃の被害事例の中でもとくに有名なのが、2009年12月から2010年1月にかけて起きた「オーロラ作戦(オペレーション・オーロラ)」です。
おもにWindowsPC標準装備されているInternet Explorerの脆弱性を利用し、Googleの中国向けのWebサイトを含む、世界30社以上の企業が標的となりました。
なおGoogleでは、被害に遭った企業の中でも最初に公表しており、大量のGoogleアカウントが盗まれるといった被害を受けたとしています。

このような脆弱性を利用した攻撃をゼロデイ攻撃と呼び、PCにインストールしているソフトウェアのセキュリティホール(脆弱性)を狙った攻撃となります。
なお、ゼロデイ攻撃は、短時間で攻撃でき、被害に遭った場合に対策を講じづらく非常に厄介な手法です。

日本年金機構における125万件の個人情報流出

国内の被害事例の中でも、記憶に新しい事例といえば「日本年金機構における個人情報流出」でしょう。
この流出は、2015年6月1日に日本年金機構を狙った標的型攻撃が行われ、年金加入者125万件の個人情報が流出するという事件が起きました。なお、日本年金機構への標的型攻撃は、巧妙な標的型攻撃のメールが使用され、日本年金機構の職員宛てに受信したメールに不正プログラムが仕込まれていたことが、この事件の大きなポイントです。

メールの件名については「厚生年金基金制度の見直しについて」という内容だったため、職員は信用してしまい被害が広がったとされています。

このように、相手を信用させるようなメールを配信し、隙をついて侵入するといった悪徳な手法もあるため十分注意するようにしましょう。

イランの原子力施設を狙った攻撃

標的型攻撃の被害事例として、少し特殊な事例が、イランの原子力施設を狙った標的型攻撃です。なぜ特殊な事例かと言うと、インターネットに接続されていないPC端末が標的型攻撃のターゲットとになったことです。

悪意のある何者かにより、不正なプログラムを仕組んだUSBメモリを通して、プログラムに感染させ、原子力施設内の産業用制御システムへ攻撃が実施されました。この標的型攻撃により、制御システムが乗っ取られて稼働中のシステムがダウンしてしまうという被害を与えました。

標的型攻撃の対策法

 

不正とは分からないような手法で攻撃を仕掛けてくる標的型攻撃には、どのような対策を講じていけば良いのでしょうか。ここでは、標的型攻撃の対策法を「入口対策」と「出口対策」に分けてご紹介します。

入口対策

まずは、標的型攻撃の侵入を防ぐ対策として、以下の方法が挙げられます。

不審なメールを開かない

基本的なことになりますが、従業員全員に対して以下のような不審なメールは開かないことを徹底させることが大切です。

  • メール内に記載されている不審に思うURLはクリックしない
  • 実行形式のファイルは開かない
  • 宛先不明なメールは開かない

OSやソフトウェアは常に最新の状態に保つ

ソフトウェアの脆弱性を狙った攻撃を防止するためには、セキュリティホール(情報セキュリティ上の欠陥)がないように、従業員が使用しているOSやソフトウェアを常に最新の状態に保っておくようにしましょう。こうすることで、標的型攻撃の脅威を緩和することができます。
また、企業の情報システム部門では、日頃から国内外のニュースの情報を収集しておくことも大切です。

従業員教育の徹底

標的型攻撃の入口対策として、従業員の教育を徹底することは最も重要です。
さきほどもお伝えしたような「不審なメールは開かない」など、基本対策を従業員へ周知することで1人1人が意識して行動するようになります。
とくに社員教育を行う際は、標的型攻撃の恐ろしさを実感できるよう実際の被害事例などを用いて説明することでより効果が高まります。

セキュリティ対策ツールの導入

標的型攻撃の対策の基本は、セキュリティ対策を強化することが最も重要です。すでに一般的なセキュリティソフトを導入している企業も多いかと思いますが、攻撃の巧妙化・複雑化により、一般的に使用されているセキュリティ対策ソフトだけでは心もとない状況になってきています。このような状況を打開するには「エンドポイントセキュリティ」が効果的な対策です。

エンドポイントセキュリティは、デスクトップやモバイルデバイスなどのエンドポイントの対象となる機器やそこに保存された情報を、マルウェアなどの攻撃から保護することができ、ネットワーク上のエンドポイントを保護するシステムが組み込まれています
そのため、セキュリティ対策における最初の防御策として、マルウェアなどの猛威に対抗するためには、エンドポイントセキュリティを行うこと重要となるのです。

なお、現在さまざまなエンドポイントセキュリティの製品は登場していますが、より強固なセキュリティ対策を行いたい方には新世代型のセキュリティ製品「AppGuard(アップガード)」がおススメです。
「AppGuard(アップガード)」であれば、侵入した脅威の発症を無害化したり、未知・既知問わずシステムがサイバー攻撃により不規則に起きる動作実行を制限できるような仕組みが構築されています。

「AppGuard」の詳細は、以下の記事でチェックできます!エンドポイントセキュリティ製品をお探しの方はぜひご覧ください。
≫AppGuard(アップガード)の評判ってどうなの?仕組みや特徴、クチコミを解説!

出口対策

入口対策により攻撃を防止できずにウイルスが侵入してしまった場合も、内部から情報が抜き取られる以前に、被害を食い止める出口対策も重要です。

ログ管理・監視

外部からの不審な通信や挙動がないか、ログの監視・管理システムを用いて日常的にチェックすることが重要です。
このような対策により、不審な通信・挙動があった場合でもすばやく検知し、被害を最小限に抑えることができます。

データの暗号化処理

社内の重要な情報や顧客情報などを盗まれないようにするには、データの暗号化が重要す。これにより、万が一標的型攻撃でシステム内部に侵入されたとしても、重要な情報を守ることができます。

サンドボックスの利用

標的型攻撃の対策には「サンドボックス」を利用することも有効です。サンドボックスとは、不審なメールを受信した際に添付されたファイル・URLを展開する際、PCでは展開せず安全な仮想環境で展開することで中身をチェックしつつ安全性を保持することができます。
仮に、不正なプログラムが仕組まれたメールであった場合でも、隔離空間で展開するため、社内のシステム環境に影響しないので安心です。

標的型攻撃からデバイスを守るためにもMDMの導入を

 

標的型攻撃は、一般的なサイバー攻撃よりも防ぐことの難しい猛威であるため、企業では社内ネットワークやシステム環境がいつ攻撃されても対処できるよう適切な対策を講じておく必要があります。
とくに、企業ではPCだけでなくスマートフォンやタブレット端末を業務で使用するケースが多くなってきている中、従業員がアプリを勝手にインストールしてしまったり、外出先での端末の紛失・置き忘れにより、重要な情報が漏えいしてしまうといったリスクも考えられます。

そうした対策の一環として、注目を集めているのが「MDM(モバイルデバイス管理)」と呼ばれるツールです。MDMを導入すると、複数のモバイルデバイスを安全かつ効率的に運用できるだけでなく、遠隔からVPN接続の設定なども一括で実行できたり、アプリの配信や位置情報の取得、OSアップロードへの対応なども一括して行うことができます。また、端末を紛失・置き忘れした場合に、速やかに遠隔からリモートロックして情報漏えいを防ぐ機能もあります。

デバイスのセキュリティ対策を網羅的かつ、効率的に管理・運用していくためにはこうしたMDMの導入も重要なポイントです。もしMDMについて気になるという方や、配信したいアプリケーションやデバイスの機能制限などにも取り組みたいという方がいれば、ぜひお気軽に弊社までお問い合わせ、ご相談ください!

▼弊社のMDM「mobiconnect」の製品カタログや導入事例については、以下でご紹介しております!
≫mobiconnectの詳細はこちら

まとめ

 

今回は、標的型攻撃の基本的な仕組みや手法、被害事例からその対策法を解説してきました。標的型攻撃は、特定のターゲットを定め、段階を踏んで行われるのが特徴なので、それぞれの段階に合わせた対策を講じることがおススメです。

現在、セキュリティ面の強化を検討している企業は、まずは従業員の意識向上を通じて、不審なメールを見抜く対策や、ツール・セキュリティ対策ソフトなどの見直しから始めてみてはいかがでしょうか。また、セキュリティ対策ソフトの導入とあわせて、MDMの導入でより効率的なデバイス管理も実現します。気になる方はぜひ、弊社までお問い合わせくださいね!