標的型攻撃とは？ ～手口、リスク、対策をまとめて整理！～

セキュリティ 資産管理

従来は、官公庁や大手企業を対象に行われてきた標的型攻撃…
しかし、最近では地方公共団体や中小企業を狙った標的型攻撃も増えています。標的型攻撃による被害は、もはやあらゆる組織で発生し得る情報セキュリティ上の重大なリスクとなっているのです。

そこで、このコラムでは標的型攻撃の現状や具体的な手口、対策法などを解説していきます。

標的型攻撃とは？

これまで、サイバー攻撃というとDDoS攻撃に代表されるように、サーバダウンやそれに伴うWebサービスの一時的な停止を目的とするものが目立ちました。

一方で、標的型攻撃はこのような従来のサイバー攻撃とは異なります。その目的は、従業員情報や顧客情報、取引先情報といった対象企業の持つ情報を盗み取ること。不正プログラムやマルウェアを対象企業に侵入させることで、サーバやPCへ外部からアクセス可能な状態にして情報を窃取していくサイバー攻撃です。

では、この標的型攻撃は具体的にどのような手段で実行されているのでしょうか？

標的型攻撃のいま　～巧妙化する手口、増大するリスク...～

一見するだけでは危険性を判別できない標的型メール

独立行政法人情報処理推進機構（IPA）の「コンピュータウイルス・不正アクセスの届出状況および相談状況［2016年第3四半期（7月～9月）］」によると、コンピュータウイルスや不正プログラムはメールで検出されるケースが全体の約 96.4％を占めているということです。そして、標的型攻撃も不正プログラムやマルウェアを仕込んだファイルを添付した標的型メールを対象企業に送りつける形で実行されるケースが多いです。

図1：ウイルスおよび不正プログラム検出数の推移（検出経路別）

独立行政法人情報処理推進機構「不正アクセスの届出状況 および相談状況 ［2016年第3四半期（7月～9月）］ 」をもとに作成

標的型メールによる攻撃で、攻撃者にとって最も重要となるのは「いかにして対象者に添付ファイルを開封させられるか」という点です。そのため、受信者に添付ファイルを開封させるための手口は年々巧妙になっています。今日では、標的型メールは図2のように公的機関や行政法人、金融機関などの社会的信頼性の高い組織からのメールに偽装されているため、一見しただけで危険なメールであると判別するのは難しいと言わざるを得ません。

図2：標的型メールの例

新たな脅威「水飲み場攻撃」

さらに最近では「水飲み場攻撃」と呼ばれる新たな手口も登場しています。

標的企業の社員がよく見るサイトを改ざんしておくことで、サイトを閲覧しただけで不正プログラムやマルウェアを自動的にダウンロードさせるという攻撃手法です。あたかも、ライオンが水飲み場にくる草食獣を襲うようなその攻撃形態が、「水飲み場攻撃」と呼ばれる所以です。

そして、実際にこのような標的型攻撃の被害を受けると、様々なリスクが生じてしまいます。

標的型攻撃の被害を受けてしまうと、どんなリスクが生じる？

標的型攻撃の被害を受けた場合のリスクとして、まず挙げられるのは情報漏洩です。前述の通り、標的型攻撃が情報窃取を目的として行われる以上、対象企業にとって攻撃の成功は情報漏洩を意味します。情報漏洩が社会的な信用を失うことにもつながり、経営にも大きな打撃を与えかねないことはご存知の通りです。

また、標的型攻撃の被害を受けた場合にはマルウェアの駆除や感染経路の特定、対応策の検討を行う必要が生じます。そのため、通常業務が停滞してしまい大きな機会損失が発生する可能性も否めません。

そして、実際に標的型攻撃の被害を受けたことで大量の機密情報を漏えいしてしまった事例も後を絶ちません。次項では、そんな事例の一部をご紹介します。

あの有名企業も･･･　標的型攻撃の被害事例

2015年5月、政府関連団体に対して標的型攻撃が行われ、結果として125万人分にものぼる氏名、個人番号、生年月日、住所などの個人情報が漏洩してしまいました。この事例では、標的型メールによって攻撃が実行されています。メールの開封や添付ファイルのダウンロードによって端末がマルウェアに感染したことで、外部への不正な通信が可能となったことで情報が漏洩してしまったのです。

また、2016年3月には大手旅行会社に対して標的型攻撃が行われています。この事例では、なんと700万人以上の個人情報（住所、氏名、電話番号、メールアドレス）と、4,000件以上のパスポート番号が漏洩するという甚大な被害が発生...　前述の事例と同様に、あたかも取引先企業からのメールであるかのような標的型メールによって攻撃が実行されています。

では、このような標的型攻撃による防ぐためにはどのような対策を講じる必要があるのでしょうか。

標的型攻撃には、こうやって備えよう！

エンドポイントでの水際対策がカギとなる

従来、情報セキュリティ上のリスクはネットワークやサーバといったインターネットとの境界線で防ぐものというイメージがありました。しかし、標的型攻撃への対策としては日常的に接するデスクトップPC、ラップトップPC、仮想デスクトップ、タブレット、そしてスマートフォンなどエンドポイントでの対策の重要になります。前述の通り、標的型攻撃はメールを用いて行われるため、エンドポイントで適切な対策を講じておけば、不正プログラムの実行やマルウェアへの感染を水際で防ぎつつ、他の端末やネットワークへの被害拡大も回避できる可能性が高いからです。

具体的には、エンドポイントで次のような対策を講じることが有効です。

(1)メールセキュリティソフトウェアやウイルス対策ソフトウェアの導入
導入することだけに満足せず、常に最新のバージョンを利用することが大切です。ソフトウェアメーカーより修正プログラムのリリースに先んじて脆弱性が発表された場合には、OS設定などの変更によって一時的な回避策を講じる必要もあります。

(2)権限の設定や端末の区分
従業員の職位や業務範囲に応じて、各種端末やサーバに対する必要最低限のアクセス権を付与するようにしましょう。

(3)情報セキュリティ部門の整備
セキュリティポリシーを定め、企業全体で実行されるよう情報システムの運用や社員に対する教育・監督を効果的に行いましょう。常に情報を収集し新たな脅威への理解も深めつつ、セキュリティ体制を維持していかなければなりません。

(4)ユーザー教育
たった一人の不注意により、重大な脅威を招くこともあります。社員がセキュリティポリシーの必要性を理解し自らその実行に取り組むよう教育を行うことが重要です。

対策をしていたけれど、被害を受けてしまった...　どうすれば？

とはいえ、十分な対策を講じていても残念ながら被害を受けてしまうことはあります。

実際に被害を受けてしまった場合には、速やかに次のような対応を取りましょう。

(1)顧客などの取引先、株主、そして警察・監督官庁へ速やかに連絡する
(2)被害の状況に応じて初期発生時、被害状況把握時など、適切なタイミングで社外への公表を行う
(3)適切なタイミングで、ネット接続やサービス遮断の判断を行う

標的型攻撃から、自社の情報資産を完璧に守り抜くことは現実的には困難です。そのため、情報セキュリティ部門を中心として、被害を受けてしまった場合の対応策を事前に検討し、社内に周知しておくことも標的型攻撃対策において重要と言えるでしょう。

この記事のライター

落合純平（おちあい じゅんぺい）

株式会社ネクストアド B2Bコンテンツマネージャー。
IT製品の紹介ページやナーチャリングコラム、メールマガジンの制作を数多く請け負い、サーバ、ネットワーク、仮想化基盤といった専門的な分野から、クラウドやモバイルといったトレンド分野まで、幅広いジャンルのWebコンテンツを制作。