標的型攻撃は、明確な目的のもとに特定のターゲットに向けられた攻撃であるため、巧妙かつ被害が大きくなりがちだと言われています。
特定のターゲットを騙すために、関係者の名前を使う、業務上のやり取りのふりをしてマルウェアを仕込むなどの姑息な手段を使うため防ぐのがかなり難しいものですが、適切な対策と教育により、被害を最小限にすることはできます。
手口と被害、さらに対策・教育について詳しく解説します。
また、LRMでは、企業に寄せられる標的型攻撃メールの事例・サンプルをまとめたPDF資料を無料で配布しています。詳細な解説付きですので、より一層の理解にお役立てください。
標的型攻撃とは
標的型攻撃(英:targeted attack)とは、攻撃者が機密情報の詐取など明確な目的を持って特定の組織や個人を対象に行うサイバー攻撃です。
特定の企業を標的として、その従業員がつい開封やクリックしてしまうように悪意を持って巧妙に作られたメールを標的型攻撃メールと呼び、標的型攻撃の代名詞的存在です。添付ファイルや記載のリンク先にはマルウェアが仕込まれていて、不正アクセスや情報漏えいにつながります。
その他にも、DoS攻撃・DDoS攻撃・水飲み場攻撃といった手法がとられることもあります。
IPAの情報セキュリティ10大脅威にも毎年名を連ね、サイバー攻撃の中でも毎年猛威をふるっている攻撃手法です。(2023年3位、2024年4位)
ランダムに手あたり次第攻撃を仕掛けるサイバー攻撃とは異なり、「価値の高い情報を保有する相手」を最初からターゲティングして攻撃するため、計画的な犯行で、攻撃の仕組みが練られているケースも多く、一目では判断しにくいのが特徴です。
メールを受け取ったターゲットを、悪意あるWebサイトへ誘導したり、添付ファイルを開封させることによりマルウェアへ感染させます。マルウェアに感染すると、感染した端末はネットワーク内部の端末や外部のサーバーに通信を行います。
ネットワーク内部の通信では、感染の拡大やより重要な情報にアクセスできる端末を探すことを目的とし、外部との通信では抜き取った情報の送信や外部からの遠隔操作を受け付けます。
マルウェアへ感染した場合には、組織内部の機密情報の詐取、システムやデータの改ざん、破壊などのリスクがあります。
標的型攻撃メールについて詳しく知りたい方は「業務連絡を装ったメールに注意!標的型攻撃メールの概要と対策」もあわせてご覧ください。
標的型攻撃の手口とは
標的型攻撃の代表的な手順は下記のとおりで、大きく分けて4段階の攻撃手順をとります。ターゲットの情報を収集し、侵入、土壌をならしてから、攻撃を仕掛ける、といった流れです。
ソーシャルエンジニアリング的手法を複数組み合わせて攻撃を行うこともしばしばあります。
- 情報収集のために、メール等でターゲットと接触
- 侵入・マルウェア感染
- 初期活動(情報詐取開始または感染の拡大を意図したアクセス)
- 他のコンピュータへの侵入・被害拡大
- 情報詐取・改ざん・破壊
- 痕跡の消去
- 攻撃
- 標的型攻撃メール
- 水飲み場攻撃
- ゼロデイ攻撃
- Webサイト改ざん
- DoS攻撃・DDoS攻撃
標的型攻撃の手口の詳細については、「標的型攻撃の手法や手口とは?標的型攻撃の種類も合わせて解説」もご覧ください。
標的型攻撃とマルウェアの違い
標的型攻撃とマルウェアは、よく同列に並べられがちですが、明確に違いがあります。
標的型攻撃とマルウェアは、標的型攻撃は「攻撃そのもの」を表しており、マルウェアは標的型攻撃をするために「使用する道具」という関係です。
たとえば、ダーツというゲームとダーツの矢は、いずれも通称「ダーツ」と呼ばれますが、ゲームそのものと、そのゲームで使う道具であるため、明確に違うといえます。
標的型攻撃はサイバー攻撃の一種であり、そのサイバー攻撃に主に用いられ、ユーザーに不利益をもたらす悪意のあるプログラムやソフトウェアを総称する言葉として「マルウェア」が利用されます。
ちなみに、マルウェア(malware)とは、英語のmalicious(マリシャス:悪意のある)とsoftware(ソフトウェア)の2つの単語を組み合わせた造語です。
標的型攻撃とマルウェアの違いについては、「標的型攻撃によるマルウェア感染とは?意味の違いについても解説」も参照ください。
標的型攻撃はどのように対策すべきか
ここまで、標的型攻撃について解説してきました。
では、いったいどのように対処すればよいのでしょうか。
標的型攻撃への対策は「対策を組み合わせること」
標的型攻撃は、機密情報を盗み取ることなどを目的として、特定の個人や組織を狙った攻撃です。
業務関連のメールを装ったウイルス付きメール(標的型攻撃メール)を組織の担当者に送付する手口が知られています。
標的型攻撃は、標的組織向けに巧妙に作り込まれているため、完璧な防御対策を立てることは困難なのが現状です。そのため、万が一に備えて、被害を最小限に抑えるという考え方が必要です。
下記で紹介するような対策を組み合わせて、様々な対策を実施しましょう。
入口対策(攻撃の侵入を防ぐ対策)
入口対策とは、ウイルス付きのメールを入口段階で阻止して情報システムを保護する対策です。一言で言えば、まず、怪しいメールを受信しない・開かないことです。
主な対策として、メールのフィルタリングサービスやウイルス対策ソフトを利用することがあげられます。ですが、ソフトでは検知できないケースも多々あり、最終的にはユーザーの情報セキュリティリテラシー頼みになってしまいます。
そのためルールとして「実行形式(exeなど)の添付ファイルは絶対に開かない」「聞きなじみのない宛名は開かない」「英語で書かれたメールは開かない」のように策定して、組織全体へ共有しましょう。
このように、システム上の対策と同時に、後で述べる従業員の意識向上を通じて、従業員が不審なメールを見抜けることが重要です。
余談ですが、ソフトウェアを最新の状態に保っておくことも、マルウェア対策として重要な割に、忘れたり後回しにしてしまったりされがちです。こちらもあわせてルールに入れておきましょう。
出口対策(侵入後に被害の発生を防ぐ対策)
出口対策とは、インシデント発生時の被害を最小限に食い止める対策です。
例えば、万が一ウイルスに侵入されてしまった際を考えて「重要なデータを暗号化しておく」「その端末に重要なパソコンを置かない」「不審な動きを見つけたらシャットアウトするアプリケーションを導入」などといった、対策があります。
特に、ログを追うことができるアプリケーションを導入しておくと、どこからどのような経路で侵入したのかという、次回以降に生かせる課題を見つけることができるので、対策の強化に役立てられます。
従業員への教育
対策として一番強力なのは、従業員のセキュリティのリテラシーアップです。
標的型攻撃対策としてツール・サービスの導入やルール策定を実施したとき、それを扱う・遵守するのは現場の従業員です。標的型攻撃による被害を防止するためには、メールを受信する従業員への教育は欠かせません。
実際に想定される標的型攻撃のメール文を見せながら、どのように対処すればいいか、もし開封してしまったらどうすればよいか伝えられるような教育が効果的です。
近年では、従業員に擬似的な標的型攻撃メールを送り、教育の効果測定、標的型攻撃への意識向上を図るという「標的型攻撃メール訓練」があります。
弊社でもご提供していますので、まずは無料の資料で料金や機能をご確認ください。
事後対応の教育
標的型攻撃を完全に防ぐことは難しいため、実際に被害を受けた際に被害拡大を防止する方法を教育しましょう。例えば、何らかの異常に気づいた際に組織内でどの部門に連絡するかなどです。
事前事後のシミュレーションについては「事前シミュレーションで脅威に対処 – サイバー訓練の概要と進め方」を参考にしてください。
標的型攻撃の予防対策
不審なメールを開かないようにする
標的型攻撃の対策は不審なメールを開かないようにすることです。標的型攻撃メールを開封すると、不正プログラムの侵入を許してしまうので、大きな原因となっています。
また、ウイルス対策ソフトなどのセキュリティソフトを過信し過ぎることで、不正プログラムを展開してしまうミスを起こしています。
万が一、不審なメールを開かない人為的なミス(ヒューマンエラー)を減らすためには、社内のルールを明確に決めることが大切です。
不審なメールや、容量が不自然に大きいメールを開かないように気をつけましょう。
OS・ソフトウェアを最新の状態にする
脆弱性をなくすためには、常にOS・ソフトウェアを最新の状態にすることが重要です。
セキュリティソフトなどを入れてセキュリティ対策を行っていても、使用しているパソコンやシステムにセキュリティホール(脆弱性)があれば、かんたんに不正プログラムの侵入を許してしまうので、バージョンは最新のものにしておきましょう。
ログの収集監視で攻撃を検出する
標的型攻撃を検出するには、ログ管理システムを活用して、リアルタイムにログを収集して怪しい動きを検出するのが有効です。
標的型攻撃の不正なプログラムが侵入してから攻撃を開始するまでは、ラグがあります。ログ監視で早期に侵入を発見すれば、被害の拡大を防ぐことができるかもしれません。
標的型攻撃の教育はどうするか
誰か一人でも標的型攻撃に引っかかると、被害が一気に拡大してしまいます。
たった一人分でも認証情報が盗み取られてしまえば、それを通じて組織内の機密情報への自由なアクセスを許すことになるためです。
従って、従業員全員に先述の対策を抜けもれなく実施してもらう必要がありますが、
- サイバー攻撃・不正アクセスを他人事だと感じている
- 業務で忙しく、セキュリティ対策に時間を割きたくない
- セキュリティ対策がカルチャーとして浸透していない
といった理由から、なかなか腰が重くなってしまいがちです。まずは、下記をゴールに、従業員教育を進めましょう。
- サイバー攻撃・不正アクセスを自分事だと認識する
- セキュリティ対策を負担感なく実施する
- セキュリティ対策の重要性を深く認識する
具体的には、定期的な教育・トレーニングとアウェアネスのサイクルを繰り返すことです。
まず、定期的なeラーニングや集合研修を通じて従業員に正しい標的型攻撃対策の知識を習得してもらいます。そして、定期的な標的型攻撃メール訓練を通じてサイバー攻撃を自分事だと認識するとともに、適切な対応を実践的に覚えてもらいます。
それに加えて、毎週などの高頻度で情報セキュリティに関する情報提供や小テストを実施して、従業員のセキュリティ意識を持続させます。
LRMの「セキュリオ」では、eラーニング・標的型攻撃メール訓練・セキュリティアウェアネスの3つの機能でこのサイクルを実現します。
教材や訓練メールもかんたん操作で配信できますので、セキュリティ担当者の負担も軽減できます。
まとめ
標的型攻撃について解説しました。
標的型攻撃メールについては、特定のターゲットを狙い、財産や重要情報を流出させる明確な目的をもって組織的に攻撃をするものであるため、大きな被害を生じさせがちです。
不審なメール・添付ファイルの開封は避け、開いてしまったときには回線の遮断など、適切に対応することが求められるので適切な教育訓練が必要です。
