標的型攻撃によるマルウェア感染は、攻撃者がマルウェアの感染を狙って特定の組織や個人を対象に行うことから生じるサイバー攻撃の被害です。
マルウェア感染は、標的型攻撃ではない感染経路からも生じることがありますが、標的型攻撃の場合はより悪質で、予防が困難になりやすい特徴があります。また、被害も大きくなる傾向にありますが、どのように対策したらよいでしょうか。
標的型攻撃によるマルウェア感染の特徴と対策についてまとめてみました。
また、標的型攻撃メールによる被害件数が急速に増加しているマルウェアEmotetについて、LRMでは概要から対策、感染時対応などに至るまであらゆるナレッジを網羅的にまとめた資料を無料で配布しております。
こちらから無料でダウンロードし、ぜひ今後のEmotet対策にお役立てください。
標的型攻撃の内容をおさらい
標的型攻撃(英:targeted attack)とは、攻撃者が機密情報の詐取など明確な目的を持って、特定の組織や個人を対象に行うサイバー攻撃のことです。大量の件数が発生するわけではありませんが、感染すると組織内部の機密情報を盗まれたり、マルウェアへの感染・システムやデータの改ざん・破壊活動といったリスクがあります。その結果、1件当たりの被害が非常に大きい傾向にあります。
標的型攻撃は、しばしば国家や関連機関などが背後にあり、資金力も個人の攻撃者よりも豊富であることがうかがわれます。そして、次のような巧妙な手口で被害を大きくします。
- 感染するマルウェアの多くは外部と通信を行い、組織内部のネットワークへ不正アクセスを行ったり、他端末へ感染を広げ、目的を達成する
- 標的についてあらかじめ入念に調べており、業務内容など環境に合わせたソーシャルエンジニアリング的手法を用いて、目的を達成する
標的型攻撃が大きな被害を出した事案として、米国で「オペレーション・オーロラ(Operation Aurora、オーロラ作戦)」と呼ばれる事件があります。
メール文中にあるURLをクリックすることによりマルウェア感染が拡大したこの事件では、Webブラウザ「Internet Explorer」に存在していた脆弱性を攻撃者が利用したものです。日本でも、通常の業務用のメールを開封したことによる感染などの事例が報告されています。
標的型攻撃の種類とは
標的型攻撃の種類はいくつか異なるものがあります。
特定の標的に対し執拗に攻撃を繰り返すケース「持続的標的型攻撃(APT)」
「持続的標的型攻撃」の場合、使用されるマルウェアが標的のコンピュータやネットワークへ侵入した後、場外部との通信・AI技術などにより、検出されるのを避けながらできるだけ長い間そこにとどまって不正活動を実行し続けようとするという点が特徴的です。
執拗に特定の標的に攻撃を繰り返すあいだ、なかなか事実関係が発覚しにくかったり、技術的な検知もすり抜けている場合が多く見られます。
最初は無害な業務メールでやり取りを行い、信頼関係を築いた上でマルウェアを送る「やり取り型標的型攻撃」
「やり取り型標的型攻撃」では、まず問い合わせ窓口への問いあわせや取引先からの連絡を装って接触し、無害なメールのやり取りを通して担当者安心させます。
ところが担当者が安心感を抱いたところで、攻撃者が不正なメールを送りつけ、受け取った側は添付ファイルを開いてしまい、 コンピューターが被害にあってしまうのです。
標的が普段よく利用するWebサイトを改ざんして不正なコードを仕掛け、マルウェアに感染させる「水飲み場型攻撃」
「水飲み場攻撃」では、標的となる人が普段よく利用するWebサイトを改ざん、マルウェアである不正なコードを仕掛け感染させます。
標的型攻撃を通じたマルウェア感染の流れ
標的型攻撃を通じたマルウェア感染の流れは通常次の3通りのいずれかです。
- 顧客を装ったメール受信 → 標的となる者がが添付ファイル開封 → マルウェア感染
- 取引先を装ったメール受信 → 標的となる者が本文のURLをクリック → 改ざんサイトに誘導 → マルウェア感染
- 特定業界向けのWebサイトなどが改ざんされる → 標的となる者がアクセス → マルウェアに感染
メール受信、Webサイトアクセスの時点では、攻撃者がマルウェアを仕組んでいることには気が付かず、知らない間にマルウェアに感染してしまいます。さらに、感染したパソコンから、他のパソコンやサーバに感染の影響が生じ、被害が拡大していきますので、早期に感染したパソコンを社内ネットワークから隔離するなどの対応をとる必要があります。
同じ組織内の他の者が同様の攻撃を受けたときに気付く・異常な通信をセキュリティツールが検知して発覚する・ログから発覚するといった形で攻撃が発覚しますが、早期に気付くためにも次にご説明するような対策をとる必要があります。
標的型攻撃によるマルウェア感染への対策
標的型攻撃によるマルウェア感染への対策のポイントは、1つだけの対策では間に合うものではなく、いくつもの対策を重ねて施しておく必要があることです。
監視・検知・駆除ないし通信遮断と、すべてのアプローチをとってもなお、攻撃が防げないこともあります。しかし、これらの施策を施すことにより、対応可能な間に発見し、被害を防ぐことができる確率があげられます。
OSやアプリケーションを最新版にして脆弱性をなくす
基本的な対策ですが、OSやアプリケーションを最新版にすることが必要です。
OSやアプリケーションの脆弱性を利用するマルウェアの性質から、脆弱性を極力なくす対策は有効です。
ウイルス対策ソフトを常に最新の状態で利用
ウイルス対策ソフトは、マルウェアの検出・駆除に役立ちます。
検出・駆除には最新パターンによるパターン検知が必要になるので、アップデートし、最新の状態を保つ必要があります。
高機能ファイアウォールによる不正通信の制限
セキュリティ施策を推進するIPA(独立行政法人 情報処理推進機構)も使用を勧めていますが、WAF(Web Application Firewall)には不正通信を検出して遮断できるものがあります。
標的型攻撃に利用されるマルウェアは、外部と通信を行うことにより、ツールによる検出を逃れるようなことができるものさえあり、非常に攻撃の手口が巧妙です。これは従来の検出ツールがパターン認識など、通信「振る舞い」の検出ができないことを利用していますが、異常通信を検出できるWAFであれば早期の検出が可能になり、通信の遮断もしやすくなります。
SEIM(Security Information and Event Management)によるログの監視
SEIMは、ログを多元的に取得・自動的に解析する監視ツールであり、各所に記録されたログを統合・分析するために使われます。SEIMを取り入れると、人の手で膨大なログを解析する必要があったものが、自動化できます。
また、多くのデータの相関関係を自動解析するため、今までよりも異常事態に気づくスピードや確度が上がります。
ユーザー教育(疑似攻撃メールを使った実践的訓練など)
標的型攻撃の特徴に、ユーザーの行動を利用しているという点があります。しばしばソーシャルエンジニアリングの手法を使い、ユーザーを信じ込ませてメールを開封させる・URLをクリックさせることから、被害を広げてしまいます。
疑似攻撃メールを使った訓練は、さまざまなシナリオ・メール文面を設定できるため、ユーザーの対応スキルの測定や、怪しいメールの見分け方など気を付けるべきポイントをユーザーが学ぶことができます。セキュリティベンダーのサービスが手軽に使えるので、訓練に取り組むことををおすすめします。
標的型攻撃とマルウェアの違いとは
最後に、標的型攻撃とマルウェアの意味の違いについて、ご説明しておきます。
マルウェアは、標的型攻撃の手段として多く使われ、目的である標的型攻撃との関係では、マルウェアが攻撃の「手段」です。マルウェア(malware)とは、英語のmalicious(マリシャス:悪意のある)にsoftware(ソフトウェア)の2つの単語が組み合わさった造語、ユーザーのデバイスに不利益をもたらす悪意のあるプログラムやソフトウェアを総称する言葉を意味しています。
ウイルスもマルウェアの一種ですが、マルウェアにはウィルス以外のものも含まれており、より広い概念です。
まとめ
以上、標的型攻撃によるマルウェア感染の特徴と対策についてまとめてみました。
標的型攻撃には、これで絶対に攻撃を予防できる、被害を予防できるという単一の手段はありません。ここでご紹介した対策をとると同時に、すべて対策は最新のものに更新しておくことに留意し、被害を最小限にすることがポイントです。
