標的型攻撃とは何か?その攻撃手法とは?
特定の企業を狙う標的型攻撃がニュースで頻繁に報じられている。企業のデジタル化が進む中、攻撃者にとって標的型攻撃の利点は増している。これを踏まえ、企業はどのように対策を講じるべきか。本記事では、標的型攻撃の現状とその対応策を詳しく解説する。
標的型攻撃をめぐる実情
サイバー攻撃は、無差別にユーザーを狙う手法から、特定のターゲットに対して「個別に最適化した罠にかかる確率を高める」標的型攻撃へと進化している。標的型攻撃では、特定の相手を狙い、さまざまな手法を駆使して攻撃が行われる。代表的なものが標的型メール攻撃であり、2015年の行政機関における個人情報流出事件で注目された。この事件では、125万件近くの個人情報が流出した。
近年では、標的型攻撃の目的が多様化しており、データの換金や身代金目的の窃取、さらには政治的意図を持った攻撃も行われている。中小企業が重要なデータを持っていないと思っていても、サプライチェーン攻撃の一環として踏み台にされる可能性があるため、企業の規模に関係なくリスクが高まっている。また、攻撃コストの低下により、中小企業でも十分に利益が見込めるようになっている。
複数のプロセスを経て実施される標的型攻撃
標的型攻撃は、複数の段階を経ることが一般的であり、年々その手法は巧妙化している。攻撃者は対象に応じて、緻密に攻撃計画を立てている。ここでは、IPAが発行する「攻撃者に狙われる設計・運用上の弱点に関するレポート」を基に、各プロセスについて解説する。
1) 計画立案
攻撃対象となる企業や組織に関する情報を収集するフェーズである。取得したデータを基に、どの攻撃手法が最も効果的かを分析し、検討を行う。
2) 攻撃準備
攻撃対象の分析・検討結果に基づき、侵入のための準備が進められる。効果的な攻撃手法が選ばれ、それに応じたマルウェアなどのツールが用意される。もし自作できなくても、最近ではダークウェブでRaaS(Ransomware as a Service)を通じて攻撃ツールを入手することが可能だ。
3) 初期潜入
前述の手法で準備されたマルウェアを攻撃対象に送り込み、攻撃が開始される。通常はメールやWebを通じてマルウェアが送られるが、近年では標的型メールを悪用する事例が増えている。
4) 基盤構築
マルウェアに感染させた後、侵入した端末にバックドアを設置し、外部のC&Cサーバーと通信できる環境を整える。これにより、端末は攻撃者による遠隔操作が可能な状態となる。この段階では、多くのユーザーが異常に気づかない。
5) 内部侵入・調査
侵入した端末内でシステムの内部情報を収集する。IDやパスワードを盗み出し、他の端末にも侵入できる場合は、それらにも同時に侵入し、同様の情報収集を行いながら、侵入範囲を拡大していく。
6) 目的遂行
侵入した端末を遠隔操作し、機密情報などの必要なデータをC&Cサーバーに送信する。送信経路やクライアントでの検知を避けるため、ファイルを分割して巧妙に送信する。さらに、攻撃計画に基づいた攻撃を完了した後、痕跡を消して証拠を隠滅する。
7) 再侵入
攻撃者にとって繰り返し侵入することで利益が得られる場合、以前に設置したバックドアを利用して再度侵入する。
標的型攻撃に用いられる具体的な手法
標的型攻撃は多様化しているが、具体的にはどのような手法が使用されているのだろうか。ここでは、標的型攻撃に用いられる代表的な手段を紹介する。
ソーシャル・エンジニアリング
ソーシャル・エンジニアリングとは、人々の心の隙間や過失を利用して、個人情報やパスワードなどを不正に入手しようとする手法である。例えば、電話で上司の声を真似てパスワードを聞き出したり、ゴミ箱を漁って重要な情報が書かれた書類を探し出すことなどが含まれる。
標的型メール
ターゲットとするユーザーの業務環境に合わせて、件名や本文、送信者を偽装したメールを送信することがある。メールサーバーに侵入し、やり取り中のメールに割り込み、返信内容を偽装するという手の込んだ手法も用いられる。件名や文面に真実味を持たせることで、添付ファイルを開かせたり、用意したWebページにアクセスさせたりして、マルウェアのインストールを試みる。
マルウェア
狙った企業や組織に応じて効果的なマルウェアを選び送り込むため、従来のアンチウイルスソフトでは検知や駆除が難しいことが多い。最近では、ランサムウェアに感染させ、データを人質にして金銭を要求するケースが増加している。
バックドア
バックドアとは、攻撃を行うための裏口を指し、知らないうちに端末に仕掛けられる危険性がある。一般的には、マルウェアが端末内にバックドアを構築する。さらに、マルウェアはこのバックドアを通じて外部のC&Cサーバーと通信し、指示を受けて攻撃を実行する。
ゼロデイ攻撃
発見や公表されていないソフトウェアの脆弱性を利用して行う攻撃を指す。この攻撃は、脆弱性が明らかになる前に修正プログラムが提供されない「ゼロ日」のタイミングで仕掛けられるため、ゼロデイ攻撃と呼ばれている。また、ゼロデイ攻撃に利用できる脆弱性は、ダークウェブなどで入手できることもある。
標的型攻撃を防ぐために必要なこと
標的型攻撃は巧妙に計画され、執拗に行われるため、限られた対策では防ぐことが難しい。したがって、以下に示すような対策を自社の実情に応じて複合的に実施する必要がある。
エンドポイントセキュリティの導入
基本的なセキュリティ対策として、エンドポイント、つまり従業員のパソコンやスマートフォンといった端末を守ることが重要である。適切なソリューションを導入すれば、マルウェア感染を抑制でき、万が一感染した場合でも不正な通信を検知・遮断できることで、外部への情報漏えいリスクを軽減できる。
ゲートウェイセキュリティの導入
近年、マルウェアの巧妙化が進んでおり、まずダウンローダーが侵入し、その後適切なタイミングでマルウェア本体をダウンロードするケースが多い。また、感染した端末での活動においても、外部との通信時に不正な通信として検知されないよう、巧妙な手法が使われる。このような通信を監視し、必要に応じて遮断することを目指すのがゲートウェイセキュリティの考え方である。
従業員教育
標的型攻撃の初期段階では、ソーシャル・エンジニアリングや標的型メールを使用して、従業員を対象とした攻撃が行われる。従業員がセキュリティ意識を高め、日常的に攻撃に備えておくことで、被害を未然に防ぐ可能性が高くなる。また、標的型メールに対抗する手段として、「標的型メール訓練」が提供されている。従業員の判断力を向上させるために、こうした訓練を導入することも考慮に値する。
セキュリティログ分析サービスの利用
マルウェアに感染すると攻撃者が遠隔操作できるようになり、DDoS攻撃の踏み台にされる可能性がある。この場合、他の攻撃に加担することになり、状況によっては甚大な被害をもたらす恐れがある。
さらに、辞書攻撃などの認証突破型攻撃は、サービス事業者のサーバーに過剰な負荷をかけることになる。サービス事業者は、特定のIPアドレスからの異常なリクエストを拒否するなど対策を講じているが、攻撃者はIPアドレスを分散させてリクエストを試みるため、いたちごっこが続いている。
不正アクセスに対する対策として、侵入やなりすましにどう取り組むべきかが問われている。
インシデント対応の専任組織を設置
どれほどセキュリティ対策を強化しても、標的型攻撃のターゲットにされると、攻撃者は成功するまでしつこく攻撃を繰り返すため、完全に防ぐことは難しい。そのため、攻撃を受けた際には被害を最小限に抑えるための対策を講じておくことが重要であり、この考え方は「インシデントレスポンス」と呼ばれる。最近では、CSIRT(Computer Security Incident Response Team)を設置する企業が増えており、インシデント発生時に迅速に原因を特定し、影響範囲を明確にすることで、被害の軽減を図ろうと努めている。攻撃の完全な防御が困難な現状を考慮すると、標的型攻撃に対する対策としてCSIRTの設置も検討すべきである。
XDR/EDRの導入
インシデントレスポンスの考え方に基づき、侵入後に迅速な対応を実現するためのソリューションがXDRやEDR(Endpoint Detection and Response)である。これらは、組織内の各端末から情報を収集し、不審な動きを検知した際に管理者に通知することで、迅速な対策を可能にする。
当たり前のセキュリティ対策の一歩先へ
コロナ禍に伴う業務環境の急激な変化により、脆弱なデジタル環境をターゲットにしたサイバー攻撃が増加している。原因は多岐にわたるが、要するに攻撃者にとって「費用対効果が高い」状況が形成されていることに尽きる。従来、手の込んだ標的型攻撃は特定の企業に限られていたり、政治的・外交的な目的によるメリットがある場合に行われていた。しかし、現在では情報の価値が相対的に向上し、攻撃ツールも手頃な価格で入手可能になったため、コストを抑えた攻撃でも大きなリターンが期待できる状況となっている。デジタルシフトが進む中、先述のようなセキュリティ対策の重要性が一層高まっている。基本的な対策を徹底し、さらに先を見越した「一歩先を行く」対策を講じることが、今後のビジネスにおいて重要な要素になることを強く意識する必要がある。
