特定の企業や組織から機密情報などを盗むことを目的とした、標的型攻撃が多く発生しています。標的型攻撃の感染経路や原因、対策についてより理解を深めたいと考えている IT担当者も多いでしょう。

そこで、標的型攻撃の概要と種類、対策方法について詳しく解説します。標的型攻撃を理解し、システムのセキュリティ向上を図りたい場合は、ぜひご一読ください。

標的型攻撃とは

標的型攻撃とは、機密情報を盗み取ることなどを目的として、特定の個人や組織を狙ったサイバー攻撃を指します。

標的型攻撃の事例は、これまで海外の企業や組織だけでなく、国内でも多く発表されています。標的型攻撃に関する具体的な事例については、「標的型攻撃の国内と海外の被害事例と対策を紹介」をご参照ください。

標的型攻撃の種類・感染経路

標的型攻撃から企業を守るためには、まず標的型攻撃についてより深く理解することが重要です。標的型攻撃の種類や感染経路について説明します。

メールに添付されるファイルやリンク

電子メールを使った標的型攻撃です。

攻撃者は送る相手をあらかじめ把握し、差出人として不自然だと思われないよう、実在する人物を名乗ったり、メールの件名や添付ファイルを業務に関連する内容で送ったりします。

そのため、メールの受信者が特に不信感を抱くことなくメールを開封してしまうのです。ここで添付ファイルを開いてしまうと、不正なプログラムが実行されてコンピューターウイルスに感染してしまいます。

コンピューターウイルスに感染すると、システムが乗っ取られ、ネットワークを介して重要情報の流出や破壊活動が開始されるといった被害が発生します。

メールを使った標的型攻撃に関しては「標的型攻撃メールの見分け方と対処方法を分かりやすく解説」で詳しく解説していますので、ご参照ください。

Webサイトの改ざん

コンピューターシステムへ、Webサーバーの脆弱性を突く、管理者用のアカウントを乗っ取るなどして不正にアクセスして、Webページやアクセスログの情報を書き換える攻撃があります。このような攻撃をする目的は、ターゲットとされる組織の社会的信用を失わせることです。

攻撃を受けた組織のWebページには、事実と異なる情報が記載されることになります。そのため、世間にうその情報を流したと判断されるおそれがあり、不正アクセスを受けたことが報道されると、セキュリティ対策の甘さを追及されることもあります。

水飲み場型攻撃

水飲み場型攻撃とは、特定の企業の社員が閲覧するサイトを調査し、そのサイトを改ざんして不正なプログラムを仕込むという手法です。ターゲットがそのサイトを閲覧するとウイルスに感染してしまいます。

「水飲み場」の由来はサバンナの泉からきており、肉食獣が泉に集まる草食獣を待ち伏せする行為を連想させることから名付けられました。

潜伏型・速攻型

標的型攻撃は「潜伏型」と「即効型」の2タイプに分類されることがあります。

潜伏型は企業内のネットワークに長期間潜伏し、機密情報を搾取することを目的とした攻撃です。一方、速攻型は数時間から1日程度で情報を盗み出す手法です。

標的型攻撃への対策

標的型攻撃への対策として、感染前の予防と感染後の対処に分けて紹介します。

感染前の対策

コンピューターウイルスに感染する前の予防策は下記の4点が挙げられます。

  • 不審なファイル・リンクをクリックしない
    不審なメールアドレスからのメールに添付されたファイルを開いたり、メールに記載されているリンクをクリックしたりすることは絶対にしてはいけません。不審なファイルを開くことで不正なプログラムが実行され、コンピューターウイルスに感染する仕組みが横行しています。ほかにも、リンクをクリックして不正なWebページにアクセスするだけでウイルスに感染させる攻撃も存在します。
  • OSやソフトウェアのバージョンを最新の状態とする
    OSやソフトウェアの脆弱性を突く攻撃が横行しているため、バージョンを最新の状態にすることも大切です。「ゼロデイ攻撃」といった既知の脆弱性に対する攻撃を防ぐことが可能になります。
    有名な大規模標的型攻撃「オーロラ作戦」は、ゼロデイ攻撃の代表的な事例です。詳しくは、「標的型攻撃の国内と海外の被害事例と対策を紹介」をご参照ください。
  • セキュリティ製品の導入
    OSやソフトウェアのバージョンアップだけでサイバー攻撃を防ぐことは困難です。ウイルス対策ソフトやバックアップを可能とするハードウェア、不正な通信をブロックするファイヤーウォールなどのセキュリティ製品の導入も重要です。
  • セキュリティに関する社内教育の徹底
    情報セキュリティーポリシーの策定をはじめ、組織内の情報セキュリティのルールを守る風土づくりが重要です。社員にルールを周知徹底し、社内教育を徹底しましょう。

感染後の対策

感染前の対策を行っていても、コンピューターウイルスの感染を防げる可能性はゼロではありません。そのため、感染後の対策をあらかじめ考えておく必要があります。

  • 被害の早期検知
    感染後の対策として、まずは被害を早期に検知する仕組みを構築することが大切です。早期検知を行うための対策として、以下の2点が挙げられます。
    1. ネットワークの監視と防御
      不正アクセスの有無をアクセスログから確認し、不正アクセスが確認された場合は、一時的にネットワークを遮断するといった対応を行います。
    2. エンドポイントの監視、防御
      近年はコロナ禍の影響から、パソコンやスマートフォンを自宅のWi-Fi経由で社内のネットワークにアクセスするケースも増えており、エンドポイントでのセキュリティ対策が重要になっています。エンドポイントの監視、防御を行うためにはセキュリティ対策ソフトを導入すると良いでしょう。
      エンドポイントへのセキュリティ被害の可能性を低減させる手立てとして、ウェブルートが提供する「Webroot® Business Endpoint Protection」の導入をご検討ください。
      Webroot® Business Endpoint Protection」では、不審なファイル、URLなど複数方向からの脅威から守ることができます。その他の特徴については、下記からご覧いただけます。
  • 被害を受けた後の対応
    実際に被害を受けた場合の対応も、事前に想定しておくことが大切です。
    1. CSIRT(セキュリティ対策チーム)によるインシデント対応
      コンピューターウイルスへの感染が確認されたら、まずは社内に設置されているCSIRTへ報告します。CSIRTはサイバー攻撃や個人情報の漏洩などといったセキュリティインシデントが発生した場合に対応を行うチームです。CSIRT主導で、あらかじめ準備したバックアップの環境に切り替え、システムの早期復旧を行います。
    2. 影響調査および原因の追究、対策の強化
      被害を確認した後は、サーバーのアクセスログなどを確認し早急に影響範囲や原因を調査します。その後、同様の事象を発生させないよう、対策を強化します。
      近年はサイバー攻撃が巧妙化している影響により、サイバー攻撃を未然に防ぐが困難になっています。そのため、システムがサイバー攻撃を受けた際、その影響を最小化し、早急に元の状態に戻す仕組みを準備することが重要です。この考えを「サイバーレジリエンス」といいます。
      サイバーレジリエンスについて詳しくは、「サイバーレジリエンスとは?その必要性や導入ポイントについて解説!」をご参照ください。

標的型攻撃の特徴を理解して適切な対策を講じていこう

標的型攻撃は特定の企業や個人を狙って、機密情報を盗み取ることなどを目的としたサイバー攻撃です。

紹介した内容を踏まえて、関係者やシステムを利用されるすべての人に対して、標的型攻撃の内容や対策を周知徹底するよう心がけてください。適切な予防と感染後の早期検知が行える仕組みを構築していきましょう。