「情報セキュリティ10大脅威」とはIPAが毎年、前年に発生した社会的に影響が大きかったと考えられる情報セキュリティ事案から10大脅威を選出してまとめたものです。

そんな情報セキュリティ10大脅威が今年も発表されました。そこで、10大脅威を全10回に分けて一つずつご紹介していきたいと思います。10大脅威には「個人編」と「組織編」があるのですが、今回は「組織編」がテーマです。

第2位　標的型攻撃による機密情報の窃取

概要

標的型攻撃とは、特定の組織の機密情報などを盗むことを目的として、狙った企業の従業者などのPCをウイルス感染させることで、組織内部に潜入する攻撃のことです。

以下で、具体的な攻撃手口についてご紹介します。

1.　メールの添付ファイルやリンク

一般的に「標的型攻撃メール」と呼ばれるものです。

メールの添付ファイルやリンク先にウイルスを仕込み、その添付ファイルを開かせることでウイルス感染させる手口です。本文や件名、添付ファイル名などは業務に関連しそうな内容になっており、また、差出人も実在する組織の名前が利用されることもあります。
皆さんも、宅配便の会社やクレジットカード、銀行を騙った怪しいメールなどを受信したことがあるのではないでしょうか。

また、最初は添付ファイルなどをつけず、やり取りの往復を行って不信感を薄めてから添付ファイルを送ってくるといった手の込んだ手口もあります。

2.　ウェブサイトの改ざん

一般的に「水飲み場攻撃」と呼ばれるものです。

標的とする組織が頻繁に利用するウェブサイトを調査したうえで、そのウェブサイトを改ざんし、標的組織の従業者が改ざんされたウェブサイトにアクセスすることでPCをウイルスに感染させる手口です。

IPアドレスなどから訪問者を判定して、特定の訪問者のみにウイルス感染させるケースも存在するため、攻撃が発覚しづらいこともあります。

3.　不正アクセス

標的型攻撃における不正アクセスは二段階で仕掛けられることがあります。

まず、標的とする組織が利用するクラウドサービスやウェブサーバーの脆弱性を悪用して不正アクセスし、IDやパスワードなどの認証情報などを盗み取ります。
その上で、盗み取った認証情報を悪用して、正規のルートから組織内部のシステムに侵入し、PCやサーバーをウイルスに感染させます。

この場合、正規のルートから本当に存在している従業者になりすましてアクセスされていることから、アクセスログなどを確認しても、どのアクセスが不正なものなのか判別することが難しい可能性があります。

対策

１.　標的型攻撃に関する情報収集及び周知

標的型攻撃メールなどは、宛先や件名、本文など不審な点を見分けるポイントが存在していたり、その時期に多い標的型攻撃メールの内容（○○銀行）などが存在していたりします。そういった標的型攻撃に関する最新情報をキャッチして周知することで標的型攻撃に遭わないような組織づくりを実施していくことが重要です。

2.　セキュリティ対策の導入

標的型攻撃の被害に遭わないためにはセキュリティソフトをはじめとして、ネットワーク監視システムやログ管理ツールなど、様々な対策を実施することが可能です。
組織の予算や現状なども考慮しながら必要な対策を行うようにしましょう。

3.　情報セキュリティ教育

標的型攻撃に関しては、従業者が意識して不審なものに気づくことである程度防ぐことができます。
つまり、従業者の教育が重要になってくるということです。

標的型攻撃メールの見分け方や、拡張子表示設定の有効化(不審なファイルは実行形式が多いため)、被害時の対応手順などを周知しておくことで被害抑制につなげることができます。

まとめ

今回は、「情報セキュリティ10大脅威（組織編）」の第2位をご紹介しました。

現在業務を行う上で、全くメールも利用しないし、webサイトにアクセスすることもないという人はいないと思います。つまり、この脅威はすべての人が対象になる可能性のあるものであり、意識をしておくことが必要なものです。

少しでも、脅威に引っかかってしまうリスクを減らしていきましょう。

次回は、「第1位　ランサムウェアによる被害」をご紹介します。