1.標的型攻撃の特徴とは？

標的型攻撃とは、特定のターゲットに対して行われるサイバー攻撃のことです。手口は複数ありますが、攻撃者の多くはターゲットに偽装メールを送りつけ、添付ファイルやURLをクリックさせようとします。標的型攻撃の主な目的は、ターゲットが保持する機密情報の搾取です。相手を困らせて楽しむ愉快犯と違い、標的型攻撃ではターゲットに知られないように気を付けながら、少しずつ攻撃を繰り返します。機密情報を盗み出すまで攻撃はジワジワと続き、情報を奪取したら足跡を消し去って引き上げていきます。標的型攻撃の大きな特徴は、攻撃者が非常に慎重な点です。攻撃初期から攻撃中、攻撃終了後とすべてのステップにおいて、ターゲットに勘付かれないように攻撃を続けます。

2.標的型攻撃はどのような流れで行われるのか？

標的型攻撃は長期間にわたって行われます。攻撃者から自社を守るには、事前に手口を知っておく必要があります。ここでは、標的型攻撃がどのように行われるのか、5つのステップにわけて説明していきましょう。

2-1.調査・計画

通常、企業でプロジェクトを立ち上げる場合、ターゲットを調査し、その調査結果に基づき計画立案を行います。標的型攻撃でも同様です。最初に攻撃者が行うのは、ターゲット企業の調査です。社内の人間関係や導入されているソフトウェア、取引先の情報などを収集していきます。社員が個人で運営しているSNSをチェックしたり、物理的に接近して上下関係や交友関係を探ったり、その調査方法は多様です。

ターゲット企業のネットワークへの侵入をスムーズに行うため、あの手この手でパスワードを盗み出そうとする攻撃者もいます。パスワード入手の手口は、関係者を装ってパスワードを聞きだす、ゴミ箱を漁ってメモをチェックするなど、物理的な手法が多い点にも注意が必要です。これらの調査結果から、偽装メールの送り先を誰にするか計画していきます。

2-2.初期侵入

調査と計画立案が終われば、いよいよ初期侵入に移ります。攻撃者は特定の人物宛に、偽装メールを送ります。偽装メールの特徴は、ファイル添付や、URLのクリックを促す文章が記載されている点です。ファイルやURLには不正プログラムが仕込まれており、クリックすると同時にプログラムが実行され、パソコンがマルウェアに感染します。ファイルの中身やリンク先のwebサイトは、表面的には不審な要素のない、至って普通の内容です。やっかいなのは、確実に感染させるために新種のマルウェアを仕込んでいるケースです。既存のセキュリティ対策ソフトでは検知できないことから、標的型攻撃のために新種のマルウェアを作成する攻撃者が多く存在します。

2-3.機密情報にアクセス

マルウェア感染した企業のパソコンは、今後、情報奪取のための拠点となります。マルウェアはバックドアを開き、企業のネットワークと攻撃者のC&Cサーバーをつなぎます。バッグドアとは、ネットワークに不正アクセスするための出入り口のことです。また、C&Cサーバーとはサイバー犯罪に使用するサーバーのことです。攻撃者はC&Cサーバーからバックドアを通じて新たなマルウェアやツールを送り込み、企業のネットワーク内部を探索します。一度の探索で情報が見つからなくても、攻撃者は焦りません。入念に調査をしつつ、ときにはパソコンにIDとパスワードが入力されるのを待ち、少しずつ攻撃を進めていきます。

2-4.サーバーへのアクセス

従業員のパソコンには、アクセス制限をかけている企業も多いです。そのため、初期侵入の段階では、マルウェアはデータベースサーバーまでたどり着けません。ひとまずチェックできる範囲を調査します。ローカルフォルダや共有フォルダに標的となる情報がなかった場合、攻撃者は企業の機密情報があるデータベースサーバーへのアクセスを試みます。データベースサーバーには標準でも複数のセキュリティ機能が備わっているのが一般的です。ネットワークの監視体制がしっかりしていれば、データベースサーバーへの不正アクセスは困難です。しかし、システムの脆弱性を突かれたり管理者権限を奪取されたりすることで、侵入を許してしまうケースがあります。

2-5.情報の収集・転送

マルウェアがデータベースや共有フォルダに侵入した後は、収集した機密情報をC&Cサーバーに転送します。不正通信が発覚しないように、少しずつ時間をかけながら情報の転送を行います。これが企業にとって実害が生じる瞬間です。必要な機密情報を転送し終わったら、最後にログを消去します。標的型攻撃の攻撃者は、最初から最後まで非常に慎重です。侵入したことも、ネットワーク内でマルウェアが動き回ったことも、情報を盗み出したことも、証拠隠滅によってターゲットに気付かれにくくなります。セキュリティが甘い状態を放置し続けている企業は、知らないうちに機密情報を抜かれるリスクがあるということです。

3.どんな特徴がある？標的型攻撃メールの見分け方

標的型攻撃を予防するには、相手を知ることが重要です。ここでは、標的型攻撃メールの特徴や見分け方について解説していきましょう。

3-1.心当たりのない組織や人からのメールでないか

メールを開く前は、必ず差出人と件名を確認します。差出人に心当たりはあるか、業務に関係のある差出人かどうかをチェックしましょう。攻撃者はターゲットにメールを開かせるため、さまざまな工夫をしています。差出人に心当たりがない場合でも、実在の人物や組織になりすましてメールを送信してくる場合もあります。公的機関を装った災害情報や注意喚起、新聞社の取材申し込み、製品に関する問い合わせなど、その内容は多種多様です。IDやパスワードを要求するようなわかりやすい内容であれば、対処しやすいでしょう。しかし、業務に近い内容のメールであれば、開かなければ実際のところはわかりません。いずれにしても、メールを開く際は十分な警戒が必要です。

3-2.フリーアドレスかどうか

標的型攻撃メールは、フリーメールアドレスを使用しているケースが多いです。通常、企業ではメールサーバーをレンタルしたり自社でサーバー構築したりして、メールアドレスを使用します。しかし、攻撃者にとっては足がつきやすい方法のため、レンタルサーバーの利用はできません。もし、フリーメールアドレスからメールが送信されてきたら、実在する企業かどうかを確認してみましょう。また、実在する企業名でもなりすましの可能性があります。本文の署名にメールアドレスが記載されているなら、差出人のメールアドレスと一致しているかをチェックしてみましょう。もし一致しなければ、標的型攻撃メールの可能性が高いです。

3-3.メールの本文が不自然でないか

標的型攻撃メールは、国外から送信されるケースも多々あります。メール本文が日本語であっても、言い回しがおかしい、助詞や句読点が間違っているなど不自然な点があるなら、偽装メールの可能性を疑いましょう。繁体字や簡体字が使用されているケースにも注意が必要です。繁体字も簡体字も、中華圏でよく使用される文字です。画数の多い繁体字や文字を簡略化している簡体字は、通常日本では使用しません。一般的なビジネスメールの体をなしていない場合は、警戒するようにしましょう。

3-4.添付ファイルは実行形式のものでないか

メールの添付ファイルは、安易に開かないように注意しましょう。まずは、ファイルの拡張子を見て、不審な点がないかを確認します。「exe」や「scr」などの拡張子は、実行形式ファイルであることを意味します。実行形式ファイルとは、開くとそのままプログラムが実行できるファイルのことです。仮に、実行形式ファイルの中身が不正プログラムだった場合、ファイルを開いた途端にプログラムが実行されてマルウェア感染してしまいます。また、不審なファイルだと悟られないように、拡張子が偽装されているケースもあります。差出人やメール本文に不審な点が見当たらなくても、ファイルを開くときは十分注意するようにしましょう。

4.標的型攻撃の3つの対策方法とは？

被害に遭っても気付きにくいのが難点の標的型攻撃。犯罪者からの攻撃を防ぐために、具体的な対策方法を3点紹介します。

4-1.入口・出口対策を徹底する

まずは、侵入を防ぐ入口対策と、侵入されたときの出口対策を行いましょう。入口対策の基本はセキュリティ対策ソフトの導入です。悪意のあるソフトウェアを検出し、削除する仕組みが備わっています。不審なメールやwebサイトからパソコンを保護してくれるフィルタリングサービスの利用も効果的です。しかし、これらのソフトやサービスを導入しても、新種のマルウェアの検出はできません。そのために出口対策が必要です。サーバーやアプリケーションなどのアクセスログはしっかり保存して、監視を徹底しましょう。情報が流出したときのことを想定して、データを暗号化して情報へのアクセスを遮断する方法も効果的です。被害を出さない、あるいは被害を最小限に抑えるために、入口・出口対策は必ずペアで行いましょう。

4-2.社員のセキュリティ意識を高める

標的型攻撃のターゲットになるのは特定の企業であり、そこに勤める従業員です。機密情報の漏えいは企業を倒産に追いやるほど、威力が強いです。悪意あるサイバー攻撃から企業を守るためには、社員一人ひとりのセキュリティ意識を高める必要があります。定期的にセキュリティに関するセミナーを開き、攻撃の手口や偽装メールの見分け方、標的型攻撃がもたらす被害の大きさなどを周知していきましょう。サイバー攻撃は小さな隙きを突いてターゲットに攻撃をしかけます。1人でもITリテラシーの低い社員がいたら、標的型攻撃から企業を守れません。社内全体が一丸となってセキュリティ意識を高めることが大切です。

4-3.高セキュリティ機能搭載のPCを導入する

セキュリティ対策ソフトの導入は必須ですが、それだけでは最新のサイバー攻撃に耐えるのは難しいといわれています。しかし、高いセキュリティ機能を搭載したパソコンを使用すれば、犯罪者の攻撃から機密情報を守れる可能性は高くなるでしょう。たとえば、マルウェアの侵入を感知して削除するチップがパソコンに付いていれば、セキュリティ対策ソフトをすり抜けたマルウェアも駆除できます。自動復旧機能が付いているパソコンなら、たとえ被害に遭ったとしても最小限に抑えられるでしょう。大切なのは、ソフトウェアとハードウェアの両面から情報を保護することです。高機能のパソコンはコストがかかります。しかし、長期的な視点で見れば効果的な投資と言えるでしょう。

5.標的型攻撃の対策においての2つの注意点

標的型攻撃の手口や流れ、具体的な対策などについてさまざまな観点から解説してきました。ここからは、企業側が対策を講じるうえで注意したい点を説明していきましょう。

5-1.実際に被害に合ったときの対応の想定をしておく

いくら対策を練っても、絶対に被害に遭わないとは言い切れません。そのため、実際に被害に遭ってしまったときにどのような対応をすればいいのか、あらゆる角度から想定しておくことが重要です。標的型攻撃は高度なスキルを持った犯罪者が、用意周到な準備のうえに行っている犯罪行為です。対して、ターゲットである企業は、多くの場合、社員によってITに関する知識レベルに差があります。大切なのは、標的型攻撃が疑われる場面でどう行動するべきなのか、社員全員に周知しておく点です。標的型攻撃メールを開いてしまった場合は誰に報告すればいいのか、明確に決めておきましょう。セキュリティ対策委員会を設けていても、情報共有に課題のある会社だと、委員会の存在自体を知らない社員も出てきます。情報共有は徹底して行うようにしましょう。

5-2.IT担当者間で随時情報共有を行う

標的型攻撃の手口は、年々変化しています。手口だけではなく、マルウェアの進化も見逃せません。犯罪手口の変化に伴い、セキュリティ対策も進化させていかなければなりません。企業のIT担当者はセキュリティや標的型攻撃に関連する情報収集が必須です。担当者間での情報共有も行う必要があります。たとえば、他社での被害事例を確認したうえで、手口や復旧状況などを調査し、自社のセキュリティ対策をブラッシュアップしていきましょう。サイバー攻撃では、セキュリティ対策が甘くなりがちな中小企業も標的になっています。企業規模に関わらず、標的型攻撃の被害者になる可能性はどの企業にもあります。経営者や情報システム部門だけではなく、すべての社員を巻き込んでの対策が重要です。

6.企業は標的型攻撃の対策は徹底して行おう！

自社の重要なデータを守るために、標的型攻撃の対策は徹底する必要があります。セキュリティ対策ソフトの導入、社員一人ひとりのITリテラシーの向上、高セキュリティパソコンの導入など、多角的に対策を取りましょう。日本HPでは、高セキュリティ機能を搭載したパソコンを用意しています。標的型攻撃から企業を守るひとつの方法として、購入を検討してみてはどうでしょうか。