近年のサイバー攻撃は、不特定多数を狙った愉快犯だけでなく、ターゲットを絞って攻撃を行う標的型攻撃が深刻化しています。
標的型攻撃とは、特定の企業や組織に特化して重要な機密情報の搾取を目的にする攻撃の総称です。「標的型サイバー攻撃」「APT攻撃」などと言われる場合もあります。
今回は年々深刻化している標的型攻撃について、基本的な知識を整理しつつ、今取るべき対策についてご紹介いたします。
標的型攻撃とは?
サイバー攻撃と言えばDDoS攻撃やSQLインジェクションといったものが有名です。これらは攻撃手法がそのまま名称になっているのに対し、標的型攻撃は“特定の攻撃手法を指すものではありません”
従来の不特定多数を狙った攻撃ではなく、ターゲットを絞り綿密に計画を立てた上で行われるサイバー攻撃の総称を “標的型攻撃”と呼びます。
標的型攻撃は、その目標を達成するためにあらゆる手段や方法を用いて長期的に継続して行われるため、企業や組織においては大きな脅威となりうるのです。
代表的な攻撃手法として「標的型メール」および「水飲み場攻撃」が挙げられます。具体的にご紹介します。
標的型メール
標的型メールは、ターゲットに対し取引先などの関係者を偽装したメールを送信します。その標的ユーザーがそのメールを信用し、添付されたファイルを開く(実行する)ことで、コンピュータがマルウェアに感染します。攻撃者は、攻撃基盤を用いて仕組まれた不正プログラムを遠隔操作しネットワーク内部の情報を探索することで重要情報が漏えいすることにつながります。
最近ではメール添付として気づかれやすい実行ファイル(.exe)ではなく、PDFやWordなどのドキュメントファイルに偽装したものもあるため不用意に閲覧される確率が高く感染しやすくなっている現状があります。
水飲み場攻撃
水飲み場攻撃はターゲットが頻繁に閲覧するWebサイトを調査した上で、悪質なプログラムを組み込んだソフトウェアをダウンロードさせるようWebサイトを不正改ざんします。
一見して不正改ざんされたとは気が付かないので回避が困難であり、近年被害が増加傾向にある標的型攻撃です。
また、標的型メールにより不正改ざんされたWebサイトへと誘導し、水飲み場攻撃を成功させるというケースもあります。
標的型攻撃の現状
トレンドマイクロ社の調査によると同社が提供するサービスを利用した企業の23%が標的型攻撃の遠隔操作ツールと思われる不信な通信が確認されたと報告されています。約4社に1社が被害に遭っていた可能性があるということですので、多くの企業が危機に直面していると言えるでしょう。
また、標的型攻撃は緻密な攻撃としても知られており、感染したことに気づきづらいという特徴を併せ持っています。同調査において標的型攻撃の被害に気づくのは最初の侵入から平均156日という調査結果も報告されています。つまりその期間中は情報が漏れ続けている可能性があることになります。
このことから標的型攻撃による脅威はあらゆる企業において日常的に存在し、攻撃者は常に侵入の機を窺っている考えて良いでしょう。
標的型攻撃による被害
標的型攻撃により想定される被害は多く、企業が受ける損失は計りしれません。
機密情報の漏洩
重要なプロジェクトに関する情報や個人情報など、企業は常にいくつもの機密情報を抱えています。こうした情報が搾取されることで、極秘プロジェクトや個人の情報が漏洩することで、各ステークホルダーへ多大な損害を与え、それに伴う損失を被ることになります。また、製造業などにおいて企業の生命線とも言える設計図や検証データなどが盗まれた場合には企業の存続をも脅かすことになります。
複数の経済的損失
一般消費者への補償費用、あるいは顧客に対する損害賠償など、それだけでも経済的損失は甚大なものです。加えてサポートデスクの設置や業務停止などが想定できますので、トータル的な損失はかなり大きくな額に及びます。
企業としての信頼低下
“情報漏洩した”という事実に対する信頼やブランドイメージの低下は容易に想像できます。それに伴った風評被害や、売上の減少なども被害の一つと言えます。
標的型攻撃の例
某有名私立大学- 3,000名強の個人情報流出
某大学は2014年12月に、大学宛てに送付された“医療費通知”を装ったメールの添付ファイルを開封したことで、職員が使用していたPCがマルウェアに感染。
同月中には、攻撃者が管理サーバの設定ファイルに残されていた管理用パスワードを盗み取り、教職員と学生を含む3,000名強の個人情報が流出しました。
この事案で注目すべき点は、標的型攻撃の被害が発覚したのが情報の流出から“半年以上が経過してから”ということです。
標的型攻撃の被害を受ける多くの組織が、リアルタイムでは攻撃に気付くことができません。それほどに攻撃方法が高度化・巧妙化しているのだと言えます。
某鉄道会社 - 情報漏洩なし
2015年8月には某鉄道会社において、標的型メールを同職員が開封したことにより、計7台のPCへのマルウェア感染が発生しています。
幸いにも翌日には外部機関からの指摘で感染が発覚したことにより、情報漏洩には至りませんでした。
しかし、攻撃を受けた組織自身が“気付かなかった”という点では上記の大学と同様であり、やはりいち早く標的型攻撃を察知する環境を整備することが課題だと言えます。
企業が取るべき一般的な対策
では高度化・巧妙化する標的型攻撃に対し、企業はどのような対策を取るべきでしょうか。ここでいくつか対応策についてご紹介します。
不審なメール、Webサイトはそもそも開かない
不審なメールやWebサイトを開かないといった、意識的なセキュリティ対策を取ることが大切です。そのためには全社レベルでの教育が必要です。意識改革だけでは防ぎきれるものではありませんが、社員や関係者の教育は必要不可欠と言えます。定期的な教育を繰り返すことで社員の意識レベルを低下させないようにしましょう。
添付ファイル、URLの解析を行い事前に検知
意識的なセキュリティだけで防ぎきれない部分については、やはりシステム化されたセキュリティ環境が必要です。メールに添付されたファイルやURLを事前に解析し、脅威があると検知してくれるセキュリティシステムが欠かせません。Web閲覧においてもセキュリティゲートウェイなどを導入することで不審なアクセスを防ぐ対策の1つとなります。
ログ収集と管理で不正アクセスを検知
同時にシステム内に侵入されることを想定し、常にログ収集と管理を行うことで不正アクセスを検知する環境も重要です。
内部ネットワークの通信を監視し、不審なアクセスを検知
IDSやIPSといった通信を監視する手段を持って、内部ネットワークを監視する手段も重要です。通常業務時にありえない通信を監視すれば、標的型攻撃をブロックできる確率が高まります。
近年横行する標的型攻撃に対しては、やはりこうした総合的なセキュリティ環境で対策する必要があるでしょう。
まとめ
皆さんの企業では現在、標的型攻撃に対して対策を取れていますでしょうか。Tripwire Enterpriseでは変更管理によるコンプライアンスの証明、セキュリティの可視化、運用の向上をお約束し、脆弱性診断・脆弱性管理ソリューションTripwire IP360ではネットワークのリスクの包括的なビューを提供します。ぜひ、この機会にご確認ください。
