標的型攻撃とは？その手口や被害、具体的な対策や教育についても解説

標的型攻撃とは、攻撃者が機密情報の詐取など、明確な目的をもって特定の組織や個人を対象に行うサイバー攻撃です。目的が明確で特定のターゲットがあり、組織的に攻撃されることから、被害が大きくなりがちな攻撃とされています。

攻撃者は次から次に新しい手口を使い、攻撃をおこなうことから、完全に制圧することは難しいものの、複数の対策と教育により、悪影響を最小限にすることは可能と考えられます。

手口と被害、さらに対策・教育について、詳しく解説します。

また、LRMでは、企業に寄せられる標的型攻撃メールの事例・サンプルをまとめたpdf資料を無料で配布しています。詳細な解説付きですので、より一層の理解にお役立てください。

標的型攻撃とは

標的型攻撃（英：targeted attack）とは、攻撃者が機密情報の詐取など明確な目的を持って、特定の組織や個人を対象に行うサイバー攻撃です。

価値の高い情報を保有する相手をターゲットと見定めて攻撃するため、無差別なウイルス感染を狙うような手口とは一線を画しています。調査から攻撃まで大がかりな仕組みが必要な計画的サイバー攻撃であり、背後には国家や関連機関が関わる事例もあるといわれています。

攻撃の初期段階はメールを利用することが多く、メールにはソーシャルエンジニアリング的な手法を使ってターゲットの興味をひく内容が記載されます。これを、標的型攻撃メールと言います。メールを受け取ったターゲットを、悪意あるWebサイトへ誘導したり、添付ファイルを開封させることによりマルウェアへ感染させます。

マルウェアに感染すると、感染した端末はネットワーク内部の端末や外部のサーバーに通信を行います。ネットワーク内部の通信では感染の拡大やより重要な情報にアクセスできる端末を探すことが目的とされます。また、外部との通信では抜き取った情報の送信や外部からの遠隔操作を受け付けます。

​マルウェアへ感染した場合には、組織内部の機密情報の詐取、システムやデータの改ざん、破壊などのリスクがあります。

標的型攻撃メールについて詳しく知りたい方は「業務連絡を装ったメールに注意！標的型攻撃メールの概要と対策」もあわせてご覧ください。

標的型攻撃メールの特徴

標的型攻撃メールの特徴は、次のようなものです。

• 送信者名として、実在する信頼できそうな組織名や個人名を詐称
• 受信者の業務に関係の深い話題や、詐称した送信者が扱っていそうな話題
• ウイルス対策ソフトを使っていてもウイルスが検知されない場合が多い
• メールが海外のIPアドレスから発信される場合が多い
• 感染しても、パソコンが重たくなるとか変なメッセージが表示されることは余りない
• 外部の指令サーバ（C&Cサーバ）と通信
• 長期間にわたって標的となる組織に送り続けられる（内容は毎回異なる)

引用：「IPA 標的型攻撃／新しいタイプの攻撃の実態と対策」

標的型攻撃メールではメール受信者が不信感を抱かないように、表記だけでなく、技術的にも多用で高度な「騙しのテクニック」が駆使されています。

標的型攻撃の手口とは

標的型攻撃の代表的な手順は下記のとおりで、4段階の攻撃手順をとります。ターゲットの情報を収集し、マルウェアに感染させ、攻撃を仕掛けるものです。攻撃では、サイバー攻撃として知られている攻撃を用い、複数組み合わせて攻撃を行うことも頻繁に見られます。

標的型攻撃の手口については、「標的型攻撃の手法や手口とは？標的型攻撃の種類も合わせて解説」もご参照ください。

標的型攻撃とマルウェアの違い

標的型攻撃とマルウェアは並べて違いを比べるようなものではなく、攻撃そのものとそのための道具という関係です。

マルウェア（malware）とは、英語のmalicious（マリシャス：悪意のある）とsoftware（ソフトウェア）の2つの単語を組み合わせた造語です。ユーザーに不利益をもたらす悪意のあるプログラムやソフトウェアを総称する言葉として利用されます。

​標的型攻撃はサイバー攻撃の一種です。標的から情報を詐取することなどを目的としており、そのためのツールとしてマルウェアが利用されます。標的型攻撃ではマルウェアに感染した後、さらなるマルウェアへの感染拡大、他端末へのアクセス経路の確保、情報の詐取などが行われます。

標的型攻撃とマルウェアの違いについては、「標的型攻撃によるマルウェア感染とは？意味の違いについても解説」も参照ください。

スパムメール・フィッシングメールとの違い

標的型攻撃メールと同じような言葉として、スパムメールとフィッシングメールといったものがあります。それぞれの違いは、下記のとおりです。

スパムメール

フィッシングメール

先日もセブン＆アイ・ホールディングスのキャッシュレス決済サービス「7pay」が、わずか4日ほどでセキュリティの問題が問われたことがありました。

標的型メールはその名の通り、特定のターゲットをピンポイントで狙い撃ちして送ってきます。
一方で一般的なスパムメールやフィッシングメールは、相手を絞らずに無差別にメールを送ってきます。

標的型攻撃メールの傾向と見分け方

標的型攻撃のメールには傾向がありますので、いくつか典型的な例をご紹介します。

つい開封してしまうような興味を引く件名

送信する側からすれば、標的型攻撃メールは開いてもらわなければ意味がありません。そのため、受信者がつい開いてしまうような件名のメールを送ってきます。

例えば、以下のようなものです。

怪しいメールアドレス

標的型攻撃メールは、大抵の場合なりすました組織、人に寄せたメールアドレスから送られてきます。たとえば「lrm_taro@lrm.jp」という人を騙る場合は、「lrm_taro@lrn.jp」「lrm_taro@gmail.com」といった具合に、似通ったドメインやフリードメインを利用してくることが多いです。

LRMの提供する「セキュリオ」の標的型攻撃メール訓練では、予め10種類以上のドメインが登録されているほか、利用したいドメインを登録することが可能です。

本物を装ったメール文面

標的型攻撃メールの送信者は、利用サービスやお客様、友人知人をなりすまして巧妙なメールを送ってきますが、下記のようなちょっとした違いから標的型メールであると見抜ける場合もあります。

• 普段とは異なる言い回し
  例：お疲れさまです。 → お世話様です。
• 日本語では使用されない漢字の使用
  例：東京オフィス → 东京オフィス
• 微妙にドメインが異なるURL
  例：lrm.jp → lrn.jp
• 表示と実際のURLが異なるリンク （HTMLメールの場合）

怪しい添付ファイル

標的型攻撃メールでは、添付ファイルに注意が必要です。標的型攻撃メールでは、ウイルスを含んだファイルを添付し、受信者にファイルをダウンロード、開封させることを目的とするものが多いとされています。そのため、以下のような怪しいファイルが添付されている場合は注意しましょう。

メールを受信した際は、ぜひ上記のような点に当てはまるものがないか確認してみてください。

とはいえ、届くメールを1通1通念入りに細かくチェックをするのも難しいかと思います。

最低限下記のような3点から違和感がないかチェックしてみることから始めると良いでしょう。

1. 添付ファイルに見慣れない拡張子がないか
2. 文字列に不自然さがないか
3. 本文から添付ファイルがある意味が不明確ではないか

こうした特徴を、サンプルで確認しましょう。

標的型攻撃メールの事例

標的型攻撃メールの事例として有名なものを紹介します。

オペレーションオーロラ

2010年にアメリカで発生した標的型攻撃メールによる大がかりなサイバー攻撃はオペレーションオーロラと名づけられています。

Google、Adobe、Yahoo!をはじめとした30社以上が攻撃を受けたことを報告しています。中国のサイバー犯罪者集団によるものとされ、Googleの中国本土からの撤退などに大きな影響を与えました。

日本年金機構

2015年に日本年金機構は標的型攻撃メールによって攻撃され、125万人分の個人情報が流出したことを報告しています。特定の職員向けに、業務内容を把握したメールが送られてきており、典型的な標的型攻撃メールの事例です。

JTB

2016年6月、旅行業JTBは標的型攻撃メールを発端として、793万人もの個人情報が流出したことを公表しています。パスポート番号も含む情報であり、何よりも対象者数の多さが大きな衝撃となりました。

標的型攻撃メールの事例については、こちらの記事も参照ください。

標的型攻撃で実際に発生した被害

警察庁の資料によると、サイバーインテリジェンス情報共有ネットワークを通じて把握した標的型メール攻撃の件数は平成30年度は6740件、令和二年度上期では3978件が確認されています。

​トレンドマイクロの「法人組織のセキュリティ動向調査 2020年版」によると、セキュリティインシデントが発生した企業では、年間の平均被害額は1億4800万円にのぼりました。調査対象は計1086名の民間企業、官公庁自治体の情報セキュリティ担当者で、調査対象の48.3%が被害があったとしています。

さらにこの調査では、調査対象の78.3%が対象の1年間に何らかのセキュリティインシデントを経験しており、そのうち22.2%が標的型攻撃を受けたという調査回答をしています。

被害額は、セキュリティインシデントが発生した企業のうち49.6％が1000万円未満の被害だった一方で、15.7%では1億円以上の被害が発生しました。最大では10億円を超えて、被害総額の検討がつかないとした企業も16.8%あります。

標的型攻撃メールの被害については、こちらの記事も参照ください。

標的型攻撃の教育はどのように対応すべきか

​標的型攻撃の被害を避けるには、社員、組織、システムの各方面からの対策を同時に進める必要があります。これを実現するためには社内に向けての標的型攻撃に対する教育が必要です。

​教育では、最初に下記の内容の周知が必要となります。

それに加えて、標的型攻撃への教育では、訓練メールを利用したトレーニングを行うことが有効な対策となります。

訓練メールを社員に送付することで、社員のスキルを計測し把握することが可能となります。強化するポイントを見つけ、重点的な学習につなげましょう。

さらに、ウイルスに気づいたときに適切に行動できるのかも見ておく必要があります。訓練メールは感染率0%を目指したり、開封した人をむやみに非難することが目的ではないことに注意が必要です。

​これに加えて座学での標的型攻撃メールについての教育も実施が必要です。標的型攻撃メールはリンクや添付ファイルに特徴があり、判別のコツがあることを周知しましょう。見分けることが困難なメールの存在も伝えておきます。そして、感染に気付けたら速やかに報告することを根付かせます。

標的型攻撃の教育については、「標的型攻撃の教育実施方法とは？メールの見分け方についても解説」も参照ください。

情報セキュリティ教育クラウド「セキュリオ」では「標的型攻撃メール訓練機能」を提供しています。0から自社で訓練用のメールを作成することも可能ですし、デフォルトで数十種類の訓練用メールテンプレートがあるため、すぐに訓練用のメール送信ができます。

送信した訓練メールに引っかかった従業員の数・名前・所属といった情報が確認できますので、該当者には別途教育を行うなどの対応に利用可能です。

標的型攻撃メールを開いてしまったら

標的型攻撃メールを開いてしまった場合の対処は下記の3ステップです。

1.ネットワーク切断

まずは被害拡大を避けるためにネットワークの切断を行います。LANケーブルで接続している場合は端末からケーブルを抜き、Wifiを利用している場合には、接続をOFFにします。

2.情報管理者や情報システム部門に報告する

情報セキュリティ担当者に報告を行い、以降の対処の判断を仰ぎます。自己判断による業務の継続は被害拡大に繋がる恐れがあるため、避けなくてはなりません。

3.データの流出を防ぐ

組織全体のネットワーク切断、関係先への連絡、拡大状況の把握などが以降にとるべき対処です。これは、主に情報セキュリティ担当者による対応となります。また、ケースバイケースで要否が判断されます。

不審なメールを受信した際、急いでパソコンの初期化をする方がいますが、事前に情報セキュリティ管理者などに、初期化して問題ないか確認しましょう。初期化すると感染機器や流出情報の特定が困難になるため、自分の判断で対応するのはよくありません。

担当者は、報告を受けたら当該メールにウイルス感染の仕掛けがあるか調べると共に、同様の攻撃メールが他の人に届いていないか調査し、注意喚起をおこないましょう。
なお、IPA が標的型攻撃を受けた組織に向けて相談窓口を設けていますので、いざというときは相談すると良いでしょう。専門的な知見を持つ相談員が対応してくれます。

標的型攻撃メールを開いてしまった場合の対処については、「標的型攻撃のメールを開いてしまったらどうする？具体的な対応を解説」もあわせてお読みください。

まとめ

標的型攻撃メールについては、特定のターゲットを狙い、財産や重要情報を流出させる明確な目的をもって組織的に攻撃をするものであるため、大きな被害を生じさせがちです。不審なメール・添付ファイルの開封は避け、開いてしまったときには回線の遮断など、適切に対応することが必要です。また、適切な対応を行うには、教育訓練が有効ですので、情報セキュリティ教育クラウド「セキュリオ」で対応を訓練することをおすすめします。