一般社団法人JPCERTコーディネーションセンターに寄せられたセキュリティインシデントの報告によると、第2四半期(2016年7月~9月)のインシデント件数は合計2,801件と、前四半期3,791件から大幅な減少を見せています。
また、合計件数のうち標的型攻撃が占める割合はフィッシングサイトやWebサイト改ざん、マルウェアサイトに比べて少なく、一見して標的型攻撃リスクが減少したのではという印象を受けてしまうでしょう。
しかし、標的型攻撃の性質を考慮すると、プロフェッショナルなハッカーが企業の機密情報を緻密に搾取するため、企業にとって甚大な被害を被る可能性があります。
セキュリティ事故の78%が自社では気付かないという調査結果からも企業は大きな課題に直面しており標的型攻撃に対する防御は必須と言っても過言ではありません。
今回はこの標的型攻撃の手法の一つ、標的型攻撃メールに焦点を当て、最新動向や対策について解説いたします。
標的型攻撃メールとは
従来、メールを介したマルウェア感染や社内システムへの不正アクセスといったサイバー攻撃とは、不特定多数のユーザーに対し実行されるのが一般的でした。いわゆる無差別攻撃を繰り返すことで、攻撃者は統計的な確率の中に成功の可能性を見出していました。
一方、標的型攻撃メールとは、あらかじめ企業や組織の特定のターゲットを絞った上で、身辺調査などを行い攻撃実行に移ります。
メール内容は、よくあるスパムメールのようなものではなく、業務上の関係者や顧客、あるいは公的機関からの通知などを装っているため一見して不正行為を目的としたメールとは気付かないものです。そのメールには自然にクリックしたくなるようなリンクや添付文書が含まれており、ユーザーはいつの間にか不正プログラムを展開してしまいます。
この標的型攻撃メールの閲覧によって受信したパソコンがマルウェアに感染します。感染したパソコンは、外部ネットワークへの接続口を開いたり、感染したパソコンから情報収集し外部に送信します。また、それだけにとどまらず、感染したパソコンから社内システムへと侵食し、組織内の情報収集の踏み台とされる場合もあります。いづれにしても企業は重要な機密情報を奪われる危険性があるのです。
従来の標的型攻撃メール
実際に、標的型攻撃メールが国内で大々的に報道されたのは2005年10月頃ですが、以降数年間に渡り目立った報道はありませんでした。しかし、2011年9月に発生した三菱重工を狙った標的型攻撃メール事件を皮切りに、ここ数年で大企業や公的機関を標的にした被害が急増しています。 10年以上前から脅威である標的型攻撃メールですが、従来は“不正プログラムが組み込まれたもの”と比較的気付きやすい傾向にありました。例えば以下のような特徴が該当します。
- GmailやYahoo!などのフリーメールを使用している
- 日本語に翻訳ツールを使用したような不自然さがある
- 簡体字など日本語では使用されない漢字が紛れている
- 実行形式ファイル( exe、scr、cplなど)を添付している
- IDやパスワードなど個人情報の入力を要求している
こうした特徴を持つ標的型攻撃メールは不正行為が目的だと気付きやすく、エンドポイントで被害を未然に防ぐことができました。
最新の標的型攻撃メール動向
標的型攻撃メールは現在、巧妙化・高度化が進み、従来のようにメール内容を確認しただけでは気が付くことは非常に困難な状況にあります。
例えば2016年6月に発表された某旅行会社による情報漏えい事件ですが、受信した標的型攻撃メールのドメインは実在する取引先会社のものであり、「見分けることは難しいものであった」と公表時に報告しています。
また、近年では単に関係者を装うだけではなく、ターゲットの趣味趣向を調査した上で、興味を引くような文言で巧みにクリックを誘導してきます。
添付ファイルやURLを偽装するばかりでなく、中にはフリーメールアドレスという従来の標的型攻撃メールの特徴を逆手に取り、“就職活動生を装った”手法まで存在します。 このように、標的型攻撃メールの手法が非常に巧妙化・高度化している状況下で、専門性の高いセキュリティ対策が必要になってきています。
一般的な対策
ここでは標的型攻撃メールに対する一般的な対策をご紹介します。
意識的な対策に頼らずファイル、URL解析で事前にブロックする
前述したように標的型攻撃メールは巧妙化されてきており、「怪しいメールは開かないように」という意識改善だけでは脅威を防ぐことは不可能になってきています。また、日々大量にビジネスメールを受信する従業員に対し、すべてのメールに警戒心を持って対処することは、労働生産性の低下を引き起こしかねません。
従ってメールに添付されたファイルやURL解析を行う入り口対策を実施する必要があります。特に昨今の標的型攻撃メールでは偽装された暗号化圧縮ファイル(zip、rarなど)が多用されているので、ファイル種類を問わず解析を行う製品が求められるでしょう。
社内システム、ネットワークへの侵入を想定したモニタリング
日々新手のマルウェアや攻撃技術が誕生している昨今のサイバー攻撃に対し、100%のセキュリティは残念ながら存在しません。
このため入口対策で攻撃を防ぎ切れないことを想定し、社内システムやネットワークをモニタリングすることで“不審な動き”を検知する必要があります。
シグネチャベースのセキュリティ製品では対応できない“ゼロデイ攻撃”の検知及び防御
ゼロデイ攻撃とはシステムセキュリティ上の脆弱性が発見されてから、ベンダーによるセキュリティパッチが適用されるまでのタイムラグを狙った攻撃であり、標的型攻撃の常套手段として使用されています。
このゼロデイ攻撃に対し、“既知の脅威”の検知を中心としたシグネチャベースのセキュリティ製品では対応が難しく、マルウェア感染や内部への侵入を許してしまう原因にもなります。
従って、従来のセキュリティ製品では対応しきれない“未知の攻撃”に対する耐性を持つ製品が必要です。
まとめ
いかがでしょうか?サイバー攻撃、普段業務で何気なく使用している環境に対してもアプローチしてきます。各自の感覚に頼った対応や手動による対策では、もはやサイバー攻撃を防ぐことは難しくなっています。
会社全体によるルールや制度の取り決めや、セキュリティツールを正しく選択肢、日々の運用に使用していく必要性が高まっています。トリップワイヤでは、今後も皆様のセキュリティ対策に役立つ情報を提供してまいります。
