標的型攻撃とは？攻撃手法から必要な対策まで分かりやすく解説

IT分野において、「標的型攻撃」とはいったいどのようなことを指しているのでしょうか？IT分野における「攻撃」というと、多くの人は個人を始め、企業や政府などへの悪意のあるサイバー攻撃が思い浮かべるかと思います。パソコンを破壊したり、業務のデータを改竄したり、他人に知られたくない機密情報を盗み出したり‥といったイメージですよね。

標的型攻撃とは

標的型攻撃は、その悪意ある攻撃の中でも、特定の企業や政府に的を絞っておこなうことを指していて、狙った組織のパソコンに侵入して機密情報を盗み、ウイルス感染によって業務を混乱させ、乗っ取り行為をおこなってデータを改竄する…といったような攻撃をおこなうことを意味しています。

逆に特定の標的を的にしていない、不特定多数へのサイバー攻撃は、「ばらまき型攻撃」という風に呼び分けられていたりします。

標的型攻撃への対策

標的型攻撃は多くの場合、特定企業にウイルスが潜伏している悪意あるメールを送るという手法を用いておこなっています。ときどき政府や企業から何万人分もの個人情報が漏洩したというニュースが世間を騒がせていますが、その多くはメールに仕込まれたウイルスによる標的型攻撃が原因となって引き起こされたものです。

特定の相手に的を絞る、つまりばらまき型攻撃とは違い、誰かが明確な目的を持ってその組織に対して攻撃をおこなっているというのが標的型攻撃の特徴です。

つまりその企業にとって深刻な大ダメージを与えられるレベルの機密情報を狙って攻撃が繰り返されますし、不特定数多数ではなくひとつの組織に的を絞っているので、社内の人でしか知らなそうな業務連絡のメールを装うなど、通常の迷惑メールよりも巧みでひっかかりやすい攻撃が可能となっています。

実際企業の機密情報を盗む際、もっともスタンダードな手口として使われているのが現状であり、そのため業務に携わる人々は、いつ襲われるかもわからない標的型攻撃に対して知識を持ち、その対策方法を知っておく心構えを用意しておく必要があると言えるでしょう。

入口対策

ウイルスが潜伏しているメールを送ることが主な攻撃方法であるということは、狙われている組織側からしたら、そのメールが決して開かれることのない様に入り口の段階で堰き止めてしまうのが一番楽で確実な方法だと言えます。実際に企業が会社の入り口にガードマンを配置したり、IDカードがないと入れないようにするのと同じような物ですね。

現在ではほとんどのメールサービスにおいて迷惑メールのフィルタリング機能が標準となってついていますし、また多くの企業がノートンやマカフィーといったウイルスを検知して除去するセキュリティ対策ソフトを導入されていることと思います。しかし、標的型のメールは特定の組織に的を絞っているので、それらのサービスやソフトに対する対策をしっかりと事前準備していて、うまく監視をかわして入り口を潜り抜けてくる可能性が高いのが現状です。

入り口対策として常に最新の状態にウイルス対策のサービスやソフトを更新し続けることが重要となりますが、ハッカーは抜け目なく脆弱性のある部分を見抜きそこを重点的について攻撃してくるので、入り口対策だけでは標的型攻撃に対して万全の対策を講じられるとは言えないのが現状です。

出口対策

入り口対策を潜り抜けてしまった攻撃メールに対しては、機密情報が外部に漏洩してしまう前に内側で食い止める必要があります。具体的にはログなどを監視して外部との異常なやりとりがないかを確認し、発見次第対策する、ウイルス感染を発見した時点でネットワークを遮断し、外部に機密情報が送信されるのを防ぐ、そして万が一情報が流失してしまったときのために、機密情報に暗号化を施しておきそのままでは読めない様にする、などの対策があります。

社員・職員への教育

入り口対策、出口対策ですべての標的型攻撃を防ぐことができれば理想ですが、やはりその企業で働いている人全員への社員教育が不可欠となります。定期的に社内で社員に対する教育研修をおこなうようにし、全員が標的型攻撃を受けることの危険性、デメリットを現実に起きるものとして理解しておかねばなりません。

標的型攻撃のよくある攻撃手法

標的型攻撃はひとつの手段だけではなく、さまざまな手段を用いておこなわれ、その種類は日に日に増えてきています。ここではその中でも主だった攻撃方法を紹介していきますので、その手法を確認しておきましょう。

標的型メール

もっともスタンダードな標的型攻撃であり、またひっかかってしまう可能性も高い攻撃方法でもあります。上司や同僚、得意先など身近な人を装った形のメールを送り、メールに添付されている実効ファイルやウェブサイトを開かせることでウイルスプログラムに感染させるのが目的となります。多くの場合実行ファイルやウェブサイトも巧みに偽装されていて、ぱっと見でそれが悪意のある物だと見抜くのはほとんど不可能だと言えるでしょう。

手口としては、信頼している身内を装う手法からいわゆる「オレオレ詐欺」のメール版と考えればわかりやすいかと思います。しかし音声による通話ではなく、メールという文字だけのなりすまし行為なので、オレオレ詐欺と比べても格段に引っかかりやすい手法ですし、従業員の誰かひとりでも引っかかってしまえば簡単に組織の機密が盗み出されてしまうため、非常にやっかいな攻撃方法だと言えます。

また感染したパソコンから組織の内部はもちろん、得意先など他の企業にもメールが拡散され、多方面に迷惑をかけてしまう可能性が高いのもこの攻撃方法の特性です。

対策としては、社員研修を十分におこなっておき、従業員全体がその存在を理解しておくことと、身内を装っていても普段のメールと比べるとメールのタイトルや文章の内容や書き方の癖などに偽物特有の違和感があることが多いので、そこを見抜いて怪しいものについては開かずに成り済ましされている可能性のある本人に直接確認、またはセキュリティ班に報告するようにすることなど、従業員全員の普段の心がけが必要となります。

他に入り口対策としてセキュリティ対策のソフトを強化することや、「SPF（Sender Policy Framework）」こと「送信ドメイン認証技術」を導入して、正規の送信者から送られてきたメールかどうかを自動確認する、メール文中のハイパーリンクを無効化する設定にしておくなど、人間である以上ミスは絶対に避けられないので、機械による自動での対策も必須となるでしょう。

ウェブサイト閲覧

標的として設定している組織がよく利用しているウェブサイトを事前に調査しておき把握し、ウェブサイトにアクセスした際にウイルスも一緒に読み込む様に改竄して待ち伏せする攻撃方法です。ライオンがよく水飲み場にくる獲物を狙う狩猟方法と似ているので、「水飲み場攻撃」とも呼ばれています。

ウイルスは特定の端末がアクセスした時にのみ実行される様になっていることが多く、そのためサイトの管理者が改竄行為に気づくことが非常に難しく、他の攻撃方法に比べて対策を練るのが非常に難しいと言われています。そのため自社のサイトが勝手に改竄されたことに気づかず、そのサイトによく訪れる得意先などがそのページによってウイルスに感染し…といったような、自社自体が意図しない形で加害者側になってしまうケースもあるので、十分に気をつけたいところです。

ウェブサイト閲覧の対策ですが、ウェブサイトを開く利用者側がウイルスの存在を見抜くことはほぼ不可能であり、人的な対策を講じることは意味を為しません。なのでウェブサイトが勝手に第三者にいじられない様、改竄行為を検知するセキュリティ技術を向上させていくしか方法はないと言えますし、引っかかっても情報が流出されない様、出口対策にて情報漏洩を防ぐ様にするのが最善策となります。

バックドアの設置

バックドアとは、その名の通り「裏口」のことを指していて、端末に侵入する際に入りやすい様に設置されます。設置方法は様々であり、ウイルスにバックドアの機能を仕込んで置いたり、または開発したソフトにあらかじめ組み込まれていたり、ハッカーが進入成功した際に、次回以降入りやすくするために抜け穴を作っておいたりといった形で設置されます。

ハッカーの悪意によって意図的に組み込まれたものだけでなく、市販のソフト開発の際に、あったほうがテストする際に効率がいいので設置しておいたものがそのまま消し忘れたまま出荷される、なんていうケースもあります。

あらかじめ設置されている抜け道を通って侵入するため、ウイルスと違ってセキュリティ対策ソフトに正常な機能として認知されるため目立ちにくく、侵入した際の痕跡がほとんど残らないのがバックドアの脅威であり、特徴です。誰かがバックドアの存在に気づかない間、何度も進入が繰り返されることとなるのが非常にネックです。

対策は他の攻撃と同様、怪しいメールやリンクは開かない、常に最新状態にソフトを保つ、セキュリティソフトの強化によっておこなうのが最善といえるでしょう。

APT攻撃に発展

「APT（Advanced Persistent Threat）」攻撃とは、直訳すると「高度で継続的な脅威」の攻撃方法であり、複数の標的型攻撃を用いて継続的に攻撃し続ける方法を指しています。APT攻撃は国家やテロ組織によっておこなわれていることが多いのが特徴です。あらゆる手法を使った高度な方法かつ、長期間にわたって執拗に狙った標的を攻撃し続けるため、その攻撃から逃れることは困難であり、永続的な対策が求められます。

代表的な例としては北朝鮮による国家規模のサイバー攻撃や、Googleへの侵入、アカウントとパスワードの窃盗行為などがあり、日本においてもオリンピック開幕の際に便乗して、本格的にターゲットにされるだろうと考えられています。

対策としての多層防御の考え方

あらゆるネットワーク上でのセキュリティ対策として、現在では複数の対策を織り交ぜた「多層防御」という方法が一般的となってきています。「多層防御」は入り口、内部、出口の全ての場所にセキュリティ対策を施し守るという考え方であり、入り口のみ重点的に対策をおこなう、といった様な考え方は多重防御とという風に別途呼び分けられています。

標的型攻撃の段階

企業や政府に対するハッキング行為は、2000年代までは個人による物が大多数ですが、時代の流れとともにその様相は大きく変化し手口も日々進化していて、現在では集団による複数の段階を踏んだ上での攻撃が主となっていて、その段階構造を「サイバーキルチェーン」と呼びます。

標的型構造においても非常に多くのステップを踏んでおこなわれています。その手順は、

• 事前調査
• 標的に攻撃するためのメールを送信
• ダウンローダーの感染
• ウイルスのダウンロード
• 社内ネットワークの移動
• より高い権限を持った端末への侵入
• 機密情報の入手
• 外部への情報送信
• 痕跡の消去

といった段階に分けておこなわれます。多層防御では、この段階それぞれに対し有効なセキュリティ対策をおこなっていきます。

体制構築に役立つツール

現在では機密情報を扱っていく上でのセキュリティ対策として、パソコンやスマートフォンなどから企業内の情報にアクセスする際、アカウントのIDとパスワード意外にも、指紋認証、顔認証、ワンタイムパスワードを用いた２段階認証、IPアドレスやGPSによる時間、場所による認証など、多要素認証によって、確実に本人かどうかを見極める方法が主流となっています。