明確な標的(ターゲット)を定めて、ターゲットにあわせた攻撃を行ってくる標的型攻撃は現代の企業や組織にとって大きな脅威となるサイバー攻撃です。特に標的型攻撃の場合は、ターゲットの持つ情報の価値も踏まえたうえでの攻撃であり、実際に情報が流出した場合には甚大な被害を受けた事例もあります。
本記事では、その定義のおさらいから、手口、被害事例、標的型攻撃メールの文面やメールを開いてしまった場合の対処方法、そして標的型攻撃に関する教育までをまとめています。セキュリティ対策のヒントとしていただければ幸いです。
また、近年急速に被害を拡大している標的型攻撃メール対策に向けて、LRMでは、標的型攻撃メールの基礎知識から実際の事例、見破り方/対処法まで現役セキュリティ認証取得コンサルタント監修のもとでまとめた資料を無料で配布しています。
こちらから無料でダウンロードできますので、ぜひご活用ください。
標的型攻撃とは
標的型攻撃(英:targeted attack)とは、攻撃者が機密情報の詐取など明確な目的を持って、特定の組織や個人を対象に行うサイバー攻撃です。
価値の高い情報を保有する相手をターゲットと見定めて攻撃するため、無差別なウイルス感染を狙うような手口とは一線を画しています。調査から攻撃まで大がかりな仕組みが必要な計画的サイバー攻撃であり、背後には国家や関連機関が関わる事例もあるといわれています。
攻撃の初期段階はメールを利用することが多く、メールにはソーシャルエンジニアリング的な手法を使ってターゲットの興味をひく内容が記載されます。メールを受け取ったターゲットを、悪意あるWebサイトへ誘導したり、添付ファイルを開封させることによりマルウェアへ感染させます。
マルウェアに感染すると、感染した端末はネットワーク内部の端末や外部のサーバーに通信を行います。ネットワーク内部の通信では感染の拡大やより重要な情報にアクセスできる端末を探すことが目的とされます。また、外部との通信では抜き取った情報の送信や外部からの遠隔操作を受け付けます。
マルウェアへ感染した場合には、組織内部の機密情報の詐取、システムやデータの改ざん、破壊などのリスクがあります。
標的型攻撃の手口とは
標的型攻撃の代表的な手順は下記となります。
- 情報収集
- メール等によるターゲットとの接触
- 侵入・マルウェア感染
- 初期活動(情報詐取開始または感染の拡大を意図したアクセス)
- 他のコンピューターへの侵入、被害の拡大
- 情報の詐取、改ざん、破壊
- 痕跡の消去
また、標的型攻撃の種類としては下記があげられます。
- 標的型メール攻撃
- 水飲み場型攻撃
- ゼロデイ攻撃
- 潜伏型と速攻型
- Webサイト改ざん
- DoS・DDoS攻撃
標的型攻撃の手口については、こちらの記事も参照ください。
標的型攻撃とマルウェアの違い
標的型攻撃とマルウェアは並べて違いを比べるようなものではなく、攻撃そのものとそのための道具という関係です。
マルウェア(malware)とは、英語のmalicious(マリシャス:悪意のある)とsoftware(ソフトウェア)の2つの単語を組み合わせた造語です。ユーザーに不利益をもたらす悪意のあるプログラムやソフトウェアを総称する言葉として利用されます。
標的型攻撃はサイバー攻撃の一種です。標的から情報を詐取することなどを目的としており、そのためのツールとしてマルウェアが利用されます。標的型攻撃ではマルウェアに感染した後、さらなるマルウェアへの感染拡大、他端末へのアクセス経路の確保、情報の詐取などが行われます。
標的型攻撃とマルウェアの違いについては、こちらの記事も参照ください。
標的型攻撃メールの事例
標的型攻撃メールの事例として有名なものを紹介します。
オペレーションオーロラ
2010年にアメリカで発生した標的型攻撃メールによる大がかりなサイバー攻撃はオペレーションオーロラと名づけられています。
Google、Adobe、Yahoo!をはじめとした30社以上が攻撃を受けたことを報告しています。中国のサイバー犯罪者集団によるものとされ、Googleの中国本土からの撤退などに大きな影響を与えました。
日本年金機構
2015年に日本年金機構は標的型攻撃メールによって攻撃され、125万人分の個人情報が流出したことを報告しています。特定の職員向けに、業務内容を把握したメールが送られてきており、典型的な標的型攻撃メールの事例です。
JTB
2016年6月、旅行業JTBは標的型攻撃メールを発端として、793万人もの個人情報が流出したことを公表しています。パスポート番号も含む情報であり、何よりも対象者数の多さが大きな衝撃となりました。
標的型攻撃メールの事例については、こちらの記事も参照ください。
標的型攻撃で実際に発生した被害
警察庁の資料によると、サイバーインテリジェンス情報共有ネットワークを通じて把握した標的型メール攻撃の件数は平成30年度は6740件、令和二年度上期では3978件が確認されています。
トレンドマイクロの「法人組織のセキュリティ動向調査 2020年版」によると、セキュリティインシデントが発生した企業では、年間の平均被害額は1億4800万円にのぼりました。調査対象は計1086名の民間企業、官公庁自治体の情報セキュリティ担当者で、調査対象の48.3%が被害があったとしています。
さらにこの調査では、調査対象の78.3%が対象の1年間に何らかのセキュリティインシデントを経験しており、そのうち22.2%が標的型攻撃を受けたという調査回答をしています。
被害額は、セキュリティインシデントが発生した企業のうち49.6%が1000万円未満の被害だった一方で、15.7%では1億円以上の被害が発生しました。最大では10億円を超えて、被害総額の検討がつかないとした企業も16.8%あります。
標的型攻撃メールの被害については、こちらの記事も参照ください。
標的型攻撃の教育はどのように対応すべきか
標的型攻撃の被害を避けるには、社員、組織、システムの各方面からの対策を同時に進める必要があります。これを実現するためには社内に向けての標的型攻撃に対する教育が必要です。
教育では、最初に下記の内容の周知が必要となります。
- 標的型攻撃は、従来の単純な被害をもたらすウイルスとは、リスクの種類や傾向が大きく異なる
- 標的型攻撃ではメールのリンクや添付ファイルの開封にも注意が必要
- 感染が発生した時はパソコンを隔離し、感染パソコンへの対処を行う
それに加えて、標的型攻撃への教育では、訓練メールを利用したトレーニングを行うことが有効な対策となります。
訓練メールを社員に送付することで、社員のスキルを計測し把握することが可能となります。強化するポイントを見つけ、重点的な学習につなげましょう。
さらに、ウイルスに気づいたときに適切に行動できるのかも見ておく必要があります。訓練メールは感染率0%を目指したり、開封した人をむやみに非難することが目的ではないことに注意が必要です。
これに加えて座学での標的型攻撃メールについての教育も実施が必要です。標的型攻撃メールはリンクや添付ファイルに特徴があり、判別のコツがあることを周知しましょう。見分けることが困難なメールの存在も伝えておきます。そして、感染に気付けたら速やかに報告することを根付かせます。
標的型攻撃の教育については、こちらの記事も参照ください。
情報セキュリティ教育クラウド「セキュリオ」では「標的型攻撃メール訓練機能」を提供しています。0から自社で訓練用のメールを作成することも可能ですし、デフォルトで数十種類の訓練用メールテンプレートがあるため、すぐに訓練用のメール送信ができます。
送信した訓練メールに引っかかった従業員の数・名前・所属といった情報が確認できますので、該当者には別途教育を行うなどの対応に利用可能です。
「セキュリオ」は、株式会社LRMによるクラウド型情報セキュリティ教育ツールです。
eラーニングや情報資産台帳管理、インシデント管理、標的型攻撃メール訓練機能などの機能が、低価格かつクラウドによる簡易な導入で利用できます。
詳しくはこちらを参照ください。
標的型攻撃メールを開いてしまったら
標的型攻撃メールを開いてしまった場合の対処は下記の3ステップです。
- ネットワーク切断
- 情報管理者や情報システム部門に報告する
- データの流出を防ぐ
1.ネットワーク切断
まずは被害拡大を避けるためにネットワークの切断を行います。LANケーブルで接続している場合は端末からケーブルを抜き、Wifiを利用している場合には、接続をOFFにします。
2.情報管理者や情報システム部門に報告する
情報セキュリティ担当者に報告を行い、以降の対処の判断を仰ぎます。自己判断による業務の継続は被害拡大に繋がる恐れがあるため、避けなくてはなりません。
3.データの流出を防ぐ
組織全体のネットワーク切断、関係先への連絡、拡大状況の把握などが以降にとるべき対処です。これは、主に情報セキュリティ担当者による対応となります。また、ケースバイケースで要否が判断されます。
標的型攻撃メールを開いてしまった場合の対処については、こちらの記事も参照ください。
まとめ
標的型攻撃は企業や組織にとって大きな脅威です。まずはその存在や手口、メールの特徴などを周知し、発生時のルールを定めることが必要となります。さらには、標的型攻撃メールを模した訓練メールにより従業員他のトレーニングを行うことも重要な備えとなります。
