MINAMOTO-C-blog_Writer 「標的型攻撃による機密情報の漏洩」は、今企業が注意すべき重大な脅威の1つです。
IPAも、組織に関する情報セキュリティ10大脅威のうち標的型攻撃を第2位に位置付けています。
※参照:IPA「情報セキュリティ10大脅威 2022」
(https://www.ipa.go.jp/security/vuln/10threats2022.html)
この記事では標的型攻撃とは何か、どのような手口で攻撃が行われるのか、どのような被害が実際に発生しているのかといった実情を紹介するとともに、企業が取るべきセキュリティ対策についても解説していきます。
目次
標的型攻撃とは
「標的型攻撃」とは、特定の組織を狙い撃ちする攻撃のことです。
官公庁や企業などの種別は関係なく、特定の組織への攻撃を通して業務妨害や機密情報の窃取をすることを目的とします。
産業スパイや諜報員が攻撃に加担していることもありますし、特定組織に狙いを定めていることから被害者側にとって防ぎづらい巧妙な攻撃手口となっているケースも多いです。
企業が機密情報を窃取されてしまうと事業の継続に多大な悪影響が及ぶことが考えられます。窃取されるだけでなく、その際にデータを削除されてしまったりシステムを破壊されてしまったり、場合によっては攻撃の踏み台とされてサプライチェーンにまで被害が広がってしまうおそれがあります。
また、官公庁が被害を受けると国家の安全保障等にも影響が及ぶ可能性がありますし、社会的な注目度も高い攻撃であると考えられます。
標的型攻撃の具体的な手口
標的型攻撃の主な手口としては、次の3つが挙げられます。
| 標的型攻撃の主な手口 | 詳細 |
|---|---|
| メールへのリンクの記載やファイルの添付 | メールに添付したファイルや記載したリンク先からウイルスを感染させる。 一般的な迷惑メールとは違い、メールの件名・本文等も攻撃対象の組織に合わせて作成される。実在する社内の従業員あるいは取引先等の名前や名称が用いられることもあり、偽装されていることにも気づきにくくなっている。 また、メールのやり取りを何度か行うことで油断を誘い、不審感を抱かれないようにしたり被害が発生したことにも気が付きにくくしたりすることもある。 |
| Webサイトの改ざん | 攻撃対象の企業等がよく利用するWebサイトを改ざんし、アクセスしたときにウイルスに感染させる。 「水飲み場型攻撃」とも呼ばれる。 |
| 不正アクセス | 攻撃対象の企業等のサーバー、利用しているクラウドサービス、VPNなどの脆弱性を悪用して不正アクセスを行い、認証情報等を窃取。当該データを使い、正規の経路から企業のシステムに侵入し、ウイルスを感染させる。 |
標的型攻撃による被害の実例
2021年だけでも日本全国で様々な標的型攻撃の被害が報告されています。
例えば2021年12月には、業務スーパーを運営する神戸物産が被害を受けています。サーバーに攻撃をされ、個人情報等が流出。共有ファイルが開けない、メールが届かないなどの異常が起こったことをきっかけに発覚したと報告されています。
2021年5月には、富士通から提供されているプロジェクト共有ツールが攻撃を受けています。不正アクセスを受けてしまい、ユーザーが預けていた情報の一部が窃取されたと報告されています。
標的型攻撃への対策
標的型攻撃は、不特定多数に行われる攻撃に比べて防ぐことが難しいです。
企業の規模問わず、以下のセキュリティ対策を講ずるようにしましょう。
攻撃の侵入を防ぐシステムの導入
ウイルスが付いたメールを入口の段階で阻止することが大切です。
そのための基本対策としては、メールのフィルタリング機能を活用すること、ウイルス対策ソフトを導入することなどが有効です。
しかし標的型攻撃に対してこれら基本対策を講ずるだけでは不十分であることも多いです。
特に「ゼロデイ攻撃」には要注意です。
ソフトウェアの脆弱性発見後、修正プログラムを適用するまでに行われる攻撃のことです。ゼロデイ攻撃を防ぐのは難易度が高いですが、
“常に最新の脆弱性関連情報を入手できるようアンテナを張る”こと、
そして“未修正の脆弱性が公表されたとき、関係機関が公表する一時対策を講ずる”ことなどに努めましょう。
従業員への教育・ルールの徹底
メールを使った標的型攻撃は多いです。
そしてメールが利用される場合のウイルスは市販のウイルス対策ソフト等では検知することが難しいとされ、システム面の改善だけでは十分な対策となりません。
そこで従業員がウイルスに感染するファイルを開かない・リンクを押下しないよう、全社的にルールを徹底すること、教育を行うことが大切です。
例えばウイルスに感染するファイルとしては拡張子「.exe」の実行形式のものが多いため、“実行形式の添付ファイルは利用しない、そして開かない”というルールを徹底することである程度予防することができます。
攻撃侵入後の被害を防ぐ
攻撃を防ぐことができずウイルスが侵入してしまったとしても、その後の迅速かつ適切な対応により被害を最小限に留め、原因を特定することができたりもします。
そのため出口対策として、“ウイルス感染による、不審な外部との通信の発見・遮断”、“ログから異常な通信を発見するため、日常的にサーバー等のログを取得すること”、“ログの定期的なチェック”なども有効です。
データの窃取を受けたとしてもその内容が確認できないよう、特に重要なデータについては暗号化しておくことも大切です。