近年、巧妙化・複雑化しているサイバー攻撃の中で、特に特定の企業や団体を狙った「標的型攻撃」は増加傾向にあり、甚大な損害を出した事件が報告され続けています。
本記事では、セキュリティ対策のご担当者様が「標的型攻撃」を具体的にイメージできるように、標的型攻撃について解説しながら事例や対策方法もご紹介いたします。
標的型攻撃とは?
「標的型攻撃」とは、特定の企業や団体を狙って行われるサイバー攻撃の一種です。反対にターゲットを定めず無差別に攻撃する従来のサイバー攻撃は「無差別型攻撃」と呼ばれています。
無差別型は精度が低く対処しやすい一方で、標的型は対象の企業や団体を研究した巧妙な手口で攻撃し、なおかつ被害が大きいく対処が難しいのが特徴です。
標的型攻撃のハッカーの目的は様々ですが、入念に計画を練りターゲットの企業や関連会社の知的財産や個人情報を盗み出し、その企業やサービス、インフラ等に致命的な損失を与えるために執拗な攻撃を仕掛けるケースが主要な理由の1つでもあります。
しかし、昨今で激増している標的型攻撃は金銭享受の目的の身代金要求型マルウェアの「ランサムウェア」です。
ランサムウェアは、標的型攻撃でターゲットのパソコンやネットワークにマルウェアを仕掛け、ターゲットの組織へ侵入し盗み出したデータを暗号化し、持ち主であっても使用できないようにデータにロックをかけてしまいます。
そして「ロックを外したければ身代金を払え」と金銭(身代金)を要求し、その上で身代金の支払いを拒むようなら今度は「暗号化したデータを公開する」と二重脅迫を行います。
例え身代金を支払ったとしてもデータが公開されてしまったり、個人情報をダークウェブなどで高額に販売されてしまうことも多々あります
こういった標的型攻撃のターゲットは、一昔前は官公庁や大手企業が主流でしたが、近年ではセキュリティ対策が比較的手薄なことから、中小企業もそのターゲットとなっています。
巧妙かつ高度化する標的型攻撃の手法
では、どのように標的型攻撃は行われるのでしょうか。標的型攻撃の主な手法には、以下があります。
- 標的型攻撃メール
- 潜伏型
- 速攻型
- 水飲み場攻撃
- ゼロデイアタック
- サプライチェーン攻撃
標的型攻撃メール
「標的型攻撃メール」はターゲットに、不正プログラムを混入させたリンクURLや添付ファイルを送りつけ、クリックさせることでウイルスやマルウェアを感染させます。近年、このメール攻撃は巧妙化しており、日常的な業務メールのやり取りに紛れ込んでくるため非常に厄介です。
例えば「取引先の返信メール」「社内の行事連絡メール」のように装い「詳細は添付ファイルを参照ください」「詳しくはこちらのURLをクリック」と誘導しているため、気をつけていてもつい添付ファイルを開いたり、URLをクリックしまうという手法です。
被害にあった事例の中では、標的型攻撃メールにかかってしまったことさえ気づかないケースもあります。
潜伏型
「潜伏型」は、標的型攻撃メール等でターゲットのパソコンやネットワークに侵入した後、ウイルスやマルウェアが長期間潜伏しながら機密情報などを盗聴する手法です。あまり派手な活動は行わず、徐々に行動範囲を広げていくため気づきにくいのが特徴です。
画面をハッキングして犯行をアピールすることもないので、気づいたときには被害が出てしまっているケースもあります。
速攻型
「潜伏型」とは対照的に、数日以内で情報を盗聴・窃盗するのが速攻型です。速攻型の活動は活発で、すぐにプログラムが動いてコンピューターのリソースを使うため比較的発見が容易です。
ただし、速攻型はピンポイントで狙った情報を盗みにいくので、早ければ数時間で被害が出てしまい対処しきれないうちに広がってしまうというケースもあります。
水飲み場攻撃
「水飲み場攻撃」とは、ターゲットが日常的に利用するWebサイトを改ざんし、ウイルスやマルウェアに感染させる手法です。水飲み場攻撃の由来は、ライオンが狩りをするときに、獲物が集まる水飲み場で待ち伏せすることから来ています。
ユーザーはまさか日頃使用しているWebサイトが改ざんされているとは思わないため、次々と被害が出ることになります。
ゼロデイアタック
「ゼロデイアタック」とは、新しく発見されたぜい弱性(セキュリティホール)を攻められてしまう攻撃です。通常、ぜい弱性が発見されるとメーカーや開発者は修正プログラムを配布して対応します。
しかし、ゼロデイアタックはぜい弱性情報がハッカーコミュニティで共有されると同時に攻撃プログラムが開発されて流通を始めます。
まさに「ぜい弱性が見つかった日」=「ゼロデイ」に攻撃されてしまうのです。
企業よりもハッカー個人のほうが動きは早いため、スピードで勝てず被害が広がります。
サプライチェーン攻撃
「サプライチェーン攻撃」とは、メインターゲットの企業を狙わずに、サプライチェーン(関連企業や取引先企業)を狙う攻撃です。近年では、メインターゲットになるような大企業はセキュリティ意識が高く、ハッカーにとって攻撃しにくくなってきています。そのためハッカーはセキュリティが手薄なサプライチェーンから攻撃するのです。
サプライチェーン攻撃には標的型攻撃メールなどと組み合わせて行われるのが特徴です。
詳しくは以下の記事を参照してください。 ※別記事の「サプライチェーン攻撃」へ内部リンク
標的型攻撃の事例紹介
標的型攻撃を受けるとどのような被害を受けるのか、ここでは標的型攻撃の事例を見ていきます。巧妙なメールで数百万人の顧客情報が流出
某旅行会社では、巧妙に偽装されたメールの添付ファイルを開封してしまった結果、数百万人の顧客情報が流出しました。典型的な標的型攻撃メールです。メールは実在する航空会社のドメインが使用されており、添付されたPDFファイルを開いた結果、パソコンやサーバーがウイルスに感染しました。担当者は被害が表面化するまで自分が感染源になっていたことにすら気づいていなかったそうです。
いかに標的型攻撃メールが巧妙に偽装されているかがわかる事例といえます。
政府機関で約125万件もの個人情報が流出
ある政府機関から100万件以上の個人情報が流出した事件です。フリーアドレスから送信されてきたメールの添付ファイルを職員が開いてしまい、個人情報の漏えいにつながりました。この事例では、NISC(内閣サイバーセキュリティセンター)が不審な通信データを感知したにもかかわらず、各省庁への伝達に時間がかかり被害が拡大しました。
組織の初期対応の遅れは被害を拡大させてしまいます。そのため、いざというときの対応をしっかり策定しておくことは大切です。
知っておきたい標的型攻撃の対策方法
標的型攻撃はあらゆる方法で攻めてくるため、対処が非常に困難ですが、対策を取っておくことで被害が確実に抑えられるのも事実です。ここからは、標的型攻撃に有効な対策を紹介します。従業員のリテラシーを高める
標的型攻撃メールを見極めるには、従業員のリテラシー教育が重要です。すでに紹介したように、標的型攻撃はウイルス対策ソフトだけでは防ぐのが困難なメールが送られてきます。企業や団体には数十~数万人単位の人間が属しているため、誰か1人でも標的型攻撃メールの添付ファイルを開いてしまえば感染してしまいます。
そのため、従業員に対して教育や訓練を実施して常にセキュリティ意識を高めておくべきでしょう。最近では、抜き打ちテストで偽物の標的型攻撃メールを送って、従業員が適切に行動できるか測定するといった方法も使われています。
ゼロトラストアーキテクチャを採用する
ゼロトラストとは、組織の外部と内部の区別なく「誰も信用せずに」防御するセキュリティ思想のことです。クラウドサービスやリモートワークの普及によって「組織内のネットワークだけ守っていればいい」という時代ではなくなりました。
標的型攻撃では感染源となったパソコンが組織の情報資産を盗聴・窃盗しにいきます。このとき感染源のパソコンがデータベースに無制限でアクセスできるのは問題です。そのため、
• 組織内の情報にアクセスする権限を細かく設定する
• 多要素認証で適切なユーザーであることを常に確認する
などの仕組みづくりが重要となります。
万が一のために!標的型攻撃への備え
標的型攻撃の被害にあった場合を想定することは大切です。以下の対処方法を取れるか検討してみましょう。- ログの取得・監視
- 組織内でセキュリティポリシーを構築
- 被害想定額の試算
ログの取得・監視
組織内でのサーバー、Webアプリケーションに対する通信ログを取得・監視します。たとえば、外部のサーバーに定期的に通信を繰り返しているなど不審な挙動があれば、これを検知します。ログの取得・監視は感染の早期発見につながるだけでなく、初期対応によって被害を最小限に抑えられます。
組織内でセキュリティポリシーを構築
ウイルスやマルウェアによってパソコンが挙動不審になった場合、従業員はどこに連絡をとり、その場でどういう対応をすべきかといったセキュリティポリシーを構築します。初動が遅れれば被害拡大につながるため、セキュリティポリシーは定期的に組織内に周知することが望ましいでしょう。初動対応の部門を設置し、インシデント発生時には迅速&的確に対処できる体制を構築することも重要です。仮にシステムがダウンした場合も、BCP(事業継続計画)を立てて代替手段を整備しておきましょう。
ほかには、万が一データが流出した場合に備え、あらかじめ重要なデータは暗号化するのも有効です。
また、データは全てバックアップを取っておくと、万が一ランサムウェアにデータを人質に取られてた場合でも、バックアップデータを復元すれば最悪の事態を回避できます。
被害想定額の試算
仮に自社がサイバー攻撃を受けた際の被害額を試算しておきます。被害想定が甘いと、企業や団体にとって致命的なダメージとなる可能性があるためです。各保険会社ではサイバー保険の被害想定額を算出できる簡易リスク診断ツールを公開しています。ぜひ一度試してみてください。
<東京海上日動 サイバーリスク保険>
https://tmn-cyber.jp/diagnosis/
<三井住友海上 サイバープロテクター >
https://www.cyber-protector.com/security/
まとめ
標的型攻撃はサイバー攻撃の一種であり、特定の企業や団体を狙うのが特徴です。近年では攻撃手段が巧妙化しているため、攻撃されてもまったく気づかずに被害が拡大するケースも見受けられます。
もしもサイバー攻撃により個人情報流出や事業所の停止などの被害に合ってしまった場合、莫大な費用が掛かり貴社の事業の存続に発展してしまう場合も考えられます。
しかしながらどのような多層防御体制を取ったとしても、リスクがゼロになることはありません。
いざというときのために、サイバー保険への加入を検討してみてはいかがでしょうか。
当サイトの運営会社ファーストプレイスでは、下記5社のサイバー保険を取り扱っています。
サイバー保険を扱う大手5社の保険料を無料で一括見積もり・比較いたします。
【取り扱いのある保険会社】
東京海上日動火災保険株式会社
三井住友海上火災保険株式会社
損害保険ジャパン株式会社
あいおいニッセイ同和損害保険株式会社
AIG損害保険株式会社
ご興味のある方はこの機会にぜひ、サイバー保険 一括見積りサイトよりご相談ください。