特定の企業、組織をターゲットとして、狙いを定めて行われるサイバー攻撃を標的型攻撃と呼びます。インターネットの活用は現代では必須ですが、そこに潜む脅威ともいえるものです。
標的を絞った攻撃を意味する標的型攻撃ですが、そのための手法や手口は確認されているものだけでも複数の種類があります。
本記事では、標的型攻撃の手法、手口および種類について解説します。
また、近年急速に被害を拡大している標的型攻撃メール対策に向けて、LRMでは、標的型攻撃メールの基礎知識から実際の事例、見破り方/対処法まで現役セキュリティ認証取得コンサルタント監修のもとでまとめた資料を無料で配布しています。
こちらから無料でダウンロードできますので、ぜひご活用ください。
標的型攻撃の定義を振り返る
最初に標的型攻撃の定義について、再度確認をしておきましょう。
標的型攻撃とは、「明確な目的をもとに、特定のターゲットを狙ったサイバー攻撃」のことです。
標的を明確にしない無差別型の攻撃とは一線を画しており、価値ある情報を持ったターゲットに精度の高い攻撃を行うことが特徴となります。
代表的なパターンは、下記が挙げられます。
- 標的型攻撃メールやウェブサイトなどを踏み台に、ターゲットが利用するデバイスをマルウェアなどに感染させる
- マルウェアから収集した情報から、ターゲットのネットワークに侵入し、組織の機密情報の詐取
- 関連会社の情報や個人のIDパスワードを盗み、別の端末・ネットワークに攻撃を仕掛けて被害を拡げていく
標的型攻撃について詳しく知りたい方は「標的型攻撃とは?その手口や被害、具体的な対策や教育についても解説」もご参照ください。
標的型攻撃の手口とは
多く見られる標的型攻撃の手順についてステップごとに説明します。
※Dos・DDos攻撃やWebサイトの改ざんは標的が絞られた攻撃ではあるものの、本項で記載する手口を踏むものではありません。
情報収集
ターゲットの企業・団体について入念な下調べを行います。業務内容や資本金といった基本情報に限らず、取引先、社内で使っているサーバー、システム、OSなどの情報が調べられます。
ソーシャルエンジニアリングの手法を用いながら、そこで働く社員の個人情報(ITリテラシー、職種、交友関係など)を明らかにしていき、ターゲットをロックオンします。
ソーシャルエンジニアリングについては、こちらの記事も参照ください。
侵入・マルウェア感染
収集により得た情報を用いて、対象者に合わせたフィッシングメールやWebサイトなど、さまざまな手を使って、標的にマルウェアを感染させようと試みます。
フィッシングメールの場合、執拗にメール送信が繰り返されたケースが多数報告されています。標的に合わせた多様なサイバー攻撃が水面下で行われるため、非常に検知が困難なことが特徴です。
初期活動
侵入が成功した後の振る舞いは、大きく二つに分岐します。
一つは、すぐにターゲットが持っている情報を抜き取るパターンです。速攻型とも呼ばれており、侵入・感染後にすぐに情報の抜き取りが開始されます。
もう一つは、新たな行動を開始するため、次の端末への侵入を試みるパターンです。最初に侵入した端末は、次のより高い機密情報を持つ権限の高い端末へ侵入するための踏み台にします。踏み台にされた端末から別の端末への侵入およびマルウェアの感染を拡げる挙動をとります。潜伏型とも呼ばれるもので、情報を抜き取るのに十分な侵入先を確保してから抜き取りを行います。
いずれのパターンでも、抜き取った情報や侵入先端末の情報などを送るために、外部サーバー(C&Cサーバー)との通信を開始します。
*C&Cサーバーはコマンド&コントロールサーバーの略で、不正なコマンドを頻繁に感染先に送ることを目的としたサーバーです。
他のコンピューターへの侵入開始
初期活動ののちも、重要な機密情報へのアクセス経路を確保するまで、他端末へのアクセス経路を探し続けます。重要な機密情報を得た場合には、C&Cサーバーと通信を行い、情報を抜き取ります。
サイバー攻撃が検知されないよう、長い時間をかけてひっそりと行動することが特徴的です。情報を一度に大量に抜き取ると検知されやすいため、少しずつ抜き取りを行います。
痕跡の消去
少しずつ集めた情報を外部サーバ(C&Cサーバ)を通じてさらに外部へ送信します。
その後、検知されることを防ぐため、ログ情報の書き換え、使用したマルウェアやツールの破棄などサイバー攻撃の痕跡を消去します。
目立つことをよしとせず、可能であれば検知されないままにしておきます。これまでの攻撃でも、認知されていないものも多数存在すると考えられます。
標的型攻撃の種類
標的型攻撃についても初期の侵入の手口や、攻撃の期間、直接的なターゲットへの攻撃を行う物など様々な種類が存在します。以下では、その分類と内容について記載します。
攻撃の発端
- 標的型メール攻撃
- 標的を定め、関係者を装ったメールを送信し対象者に興味を持たせ、メール本文からのリンクでのWebページへの誘導や添付ファイルを開封することによりマルウェアに感染させる攻撃です。標的型攻撃では、メール送信先の業務や関心ごとをソーシャルエンジニアリングの手法で調べ、リンクや添付ファイルを開かせるよう工夫したメールを送ることが特徴です。
- 水飲み場型攻撃
- 攻撃の対象者が日常的に閲覧するWebサイトを改ざんして不正なプログラムを仕込み、マルウェア感染やネットワーク侵入を試みる攻撃です。攻撃者をライオン、Webサイトを水飲み場に見立て、水飲み場に来た動物を攻撃するライオンの待ち伏せになぞらえています。
- ゼロデイ攻撃
- ゼロデイ攻撃は、ソフトウェアやOSなどの脆弱性(セキュリティーホール)が発見されてから対処策が発見されるまでの間を狙うサイバー攻撃です。標的型メール攻撃や水飲み場攻撃と組み合わせて利用されます。
攻撃の期間による種類
- 潜伏型と速攻型
- 標的型攻撃において、最初のマルウェア感染から即時に情報の抜き取りにかかるものを速攻型、マルウェア感染した端末からさらに高い価値のある情報にアクセスできる端末を探してから情報の抜き取りをおこなうものを潜伏型と呼びます。
ターゲットが明確な攻撃
- DoS・DDoS攻撃
- サービスの妨害や停止を目的としたサイバー攻撃であるDos・DDoS攻撃も、標的を定めて行うことから標的型攻撃の一種とされます。ただし、本記事で触れた手口を利用するものではありません。
- Webサイト改ざん
- Webサイトの改ざんもターゲットを明確にして行われるため、標的型攻撃の一種とされます。Webサイトの改ざんは上記の水飲み場攻撃と組み合わせて利用されるケースもあります。
- スピアフィッシング
-
フィッシング (Phishing) とは実在する組織を騙って、ユーザネーム、パスワード、アカウントID、ATMの暗証番号、クレジットカード番号といった個人情報を詐取することです。電子メールのリンクから偽サイト (フィッシングサイト) に誘導し、そこで個人情報を入力させる手口が一般的に使われています。
このフィッシングと標的型攻撃を組み合わせた攻撃がスピアフィッシングと呼ばれるサイバー攻撃です。ターゲットを特定して誘導し、ターゲットに向けたフィッシングサイトを利用することで精度が高い攻撃となります。
まとめ
標的型攻撃はターゲットを定めて行われる、精度の高いサイバー攻撃です。
ターゲットの情報収集から始まり、標的型攻撃メールや水飲み場攻撃によりマルウェアへの感染を起こし、ターゲットから情報を抜き取ります。検知されないよう長い時間をかけて少しずつ情報を抜き取ることが多く、痕跡の消去までを行う場合もあります。
また、こうした標的型攻撃メールに導入実績1,600社超のセキュリオの標的型攻撃メール訓練で対策しませんか?
