標的型攻撃とは？ 攻撃の手口や見抜くコツ、必要な対策について解説

標的型攻撃とは、機密情報を狙ったサイバー攻撃の一つ

標的型攻撃とは、組織が保有する機密情報を狙ったサイバー攻撃における、攻撃手法の一つです。世界ではAPT（Advanced Persistent Threat：高度かつ持続的な脅威）と呼ばれているほか、日本国内においてはサイバーセキュリティ対策推進会議において「高度サイバー攻撃」に指定されています。そんな標的型攻撃で多く用いられている手口がメールです。まずは、標的型攻撃がどのような攻撃を行うのか具体的に見ていきましょう。

標的型攻撃の攻撃手法

標的型攻撃の代表的な攻撃手法として挙げられるのは、標的型攻撃メールです。関係者などになりすましたメールを組織に送り、マルウェアを仕込んだ添付ファイルを開封させることで、組織内の端末やネットワークに侵入します。不特定多数のユーザーに対して迷惑メールをばらまく手口とは異なり、対象の組織から重要な情報を盗み出すなど攻撃には明確な目的があり、周到な準備をして攻撃を仕掛けます。

標的型攻撃の特徴

標的型攻撃の特徴としては、攻撃相手を絞り込んでいることが挙げられます。メールで手当たり次第にマルウェアを送る手口とは異なり、特定の組織を標的とすることによって攻撃の精度を高めています。また、長い期間をかけて段階的に攻撃が実行される点も大きな特徴といえます。相手を困らせて楽しむ愉快犯とは異なり、標的型攻撃では相手に察知されないよう注意を払いながら、少しずつ侵入を試みます。そのため、標的にされた組織は攻撃の被害に遭っていることに気づきにくく、知らないうちに情報を盗み出されてしまう恐れがあります。

標的型攻撃はどのような流れで行われる？

標的型攻撃は、計画的かつ段階的に実行されます。どのようにして被害を拡大させていくのか、具体的な流れを見ていきましょう。

1. ターゲットの調査・計画

まず攻撃者は、ターゲットとする組織を綿密に調査します。例えば、組織で使用されているソフトウェアや取引先の情報、組織内の人間関係など、細部にわたって調べていきます。ときには関係者を装って従業員に接近し、組織内の上下関係や交友関係を探るという手の込んだ調査も行います。攻撃者によっては、事業所から出されたゴミを回収してメモや文書に記載された情報を盗み出すなど、調査の手口は多種多様といえるでしょう。

情報を集めた攻撃者は、次に調査結果に基づいて攻撃の計画を立てます。標的型攻撃メールを送りつけるターゲットの選定や侵入経路など、具体的な攻撃手段を詰めていきます。私たちが想像するよりも綿密に攻撃を計画していく点が、標的型攻撃の大きな特徴といえます。

2. 初期侵入

続いて、計画に沿って実際に侵入を試みるフェーズに移ります。初期侵入の段階では、まずターゲットとなる従業員に標的型攻撃メールを送る手口が多く見られます。標的型攻撃メールには、マルウェアが仕込まれたファイルが添付されていたり、偽のWebサイトに誘導するためのURLが記載されていたりします。標的型攻撃メールを受け取った従業員が添付ファイルを開いたり、URLをクリックしたりすると、PCなどの端末がマルウェアに感染します。

しかしこの時点では、マルウェアに感染した機器に目立った異常は見られないケースがほとんどです。攻撃者の目的は、組織に深く侵入し機密情報を盗み出すことにあるため、相手に察知されないよう細心の注意を払います。悪意のあるファイルやWebサイトを開いてしまったことに従業員自身は気づいていないことも少なくありません。

3. 機密情報へのアクセス

初期侵入に成功すると、マルウェアに感染した端末などにバックドアと呼ばれる侵入経路を設置します。この時点で、標的となる組織のネットワークと、攻撃者のサーバーが接続されてしまいます。この侵入経路を通じて、攻撃者はそのほかのマルウェアや攻撃用のツールを送信し、組織のネットワークをさらに探っていきます。

ネットワークの探索は時間をかけて行われます。侵入直後は、組織の基幹システムなどの中枢までたどり着けないケースがほとんどですが、攻撃者は少しずつ侵入範囲を広げていき、目的のデータに到達するまで繰り返し攻撃を仕掛けます。

4. サーバーへのアクセス

従業員が使用しているPC内のローカルフォルダや、組織のネットワークを通じてアクセスできる共有フォルダに、攻撃者が求めるような情報が見当たらないことも考えられます。その場合、攻撃者は基幹システムなどを管理するサーバーへのアクセスを試みることが考えられます。

一般的に、従業員が使用するPCと比べて、サーバーにはより厳重なセキュリティ対策が施されています。そのため、攻撃者はシステムの脆弱性を突いたり管理者権限を奪取したりして繰り返しサーバーへのアクセスを試みます。

5. 情報の収集・転送

サーバーへのアクセスに成功すると、攻撃者は組織の機密情報を盗み出します。一度に大量のデータを転送すると不正な通信として痕跡が残りやすくなるため、少量ずつ時間をかけて転送していく点が特徴です。

目的とする機密情報の転送が完了すると、攻撃者はログの消去を行います。ログには通信や操作の履歴が残されているため、これらを消去することでネットワーク侵入やデータ盗難の痕跡を残さないようにします。被害に遭った組織は、「標的型攻撃を受けて、機密情報を盗み出された」という事実に気づけない可能性さえあります。

標的型攻撃メールであることを見抜くコツ

標的型攻撃は、極めて巧妙かつ計画的に実行されます。標的型攻撃メールが届いたことを察知するにはどうすればいいでしょうか。ここでは標的型攻撃メールを見抜くためのコツをご紹介します。

心当たりのない組織や人物からのメールでないかどうか

長らく連絡を取り合っていない取引先からメールが届いたり、脈絡のないメールが突然届いたりした場合は、標的型攻撃メールではないかを疑う必要があります。実在する企業名や聞いたことのあるサービス名が記載されていても、攻撃者が偽装している場合があるため細心の注意が必要です。

昨今は巧妙化が進み、自然な日本語で書かれた標的型攻撃メールも増えてきました。しかし、件名や本文をよく見ると日本語としての言い回しが不自然だったり、助詞や句読点の使い方に誤りがあったりと不審な点が見つかる場合もあります。心当たりのない組織や人物からのメールは、内容を注意深くチェックするなど疑うことが大切です。

フリーメールアドレスか否か

標的型攻撃メールの中には、フリーメールアドレスを使用しているケースも見られます。レンタルサーバーなどを利用すると身元が特定される可能性があるため、マルウェアを仕込んだ添付ファイルをフリーメールアドレスから送りつけます。

実在する企業や公的機関から送られてきたメールのように見えても、ドメインがフリーメールアドレスのものであれば、標的型攻撃メールではないか疑いましょう。実在する組織などから怪しいメールが届いたら、そのメールへの返信以外の方法で差出人に直接連絡を取って確認することをお勧めします。

正規のドメインに詐称していないか

標的型攻撃メールの手口は年々巧妙化しており、近年は正規のドメインになりすましたメールアドレスで、攻撃メールを送るという手口も見られます。この場合、不審なメールかどうかを目視で判別することは困難です。そのため、送信ドメイン認証などの機能を活用し、正規のメールかどうかを受信メールサーバー側で判別できるようにしておくことが大切です。

添付ファイルは実行形式のものでないか

メールの添付ファイルは必ず拡張子を確認し、不審な点がないか確認してください。特に「.exe」や「.scr」といった実行形式であることを示す拡張子のファイルは要注意です。このようなファイルを開くとプログラムが実行され、それがマルウェアが仕込まれたファイルであれば感染してしまう恐れがあります。

また、拡張子そのものが偽装されている場合もあるため、一見すると実行ファイルには見えなかったとしてもクリックすることは控えてください。メールの添付ファイルは、差出人や送付された目的が確実なもの以外は安易に開かないようにしましょう。

標的型攻撃への対策

標的型攻撃を防ぐためには、どのような対策を講じればよいのでしょうか。組織として取り組んでおきたい3つの対策について解説します。

入口・出口対策の徹底

まず行うべき対策は、マルウェアが仕込まれたメールをブロックできるよう「入口対策」を徹底することです。入口対策の基本は、セキュリティ対策ソフトウェアやフィルタリングソフトウェアの導入です。それらのソフトウェアを導入していれば、不審なメールが届いた際にも被害を未然に防げる可能性が高まります。

ただし、未知のマルウェアや新たな攻撃の手口が現れた場合は、セキュリティ対策ソフトウェアやフィルタリングソフトウェアでは対応できないこともあります。万が一マルウェアが組織内に侵入してしまった場合に備えて、外部への通信状況を監視し、情報が外部に送信されないようにする「出口対策」も併せて講じることが大切です。

従業員のセキュリティ意識向上

日々メールをやりとりする従業員のセキュリティ意識向上も、必ず実施しておきたい対策の一つです。セキュリティに関するセミナーや研修会などを定期的に開催し、攻撃の手口や偽装メールの見分け方、標的型攻撃がもたらす被害の大きさなどを周知しましょう。身に覚えのない相手から届いたメールに注意を払うことや、不審な添付ファイルを安易に開かないことなど、現場レベルで回避できるリスクは数多くあります。

アプリケーション・OSを最新状態に保つ

アプリケーションやOSのアップデートをすぐに対応することも、脆弱性への対策として重要です。古いバージョンのままのアプリケーションやOSを使い続けるリスクを従業員に周知するとともに、ベンダーなどからアップデートが告知された際には従業員へ対応を促していく必要があります。

特に近年は、エンドポイントセキュリティの重要度が一層増しています。アプリケーションやOSを最新の状態に維持することは、セキュリティ対策の観点から非常に重要な対策であることを従業員に対して丁寧に説明してください。「使い慣れているバージョンのほうが仕事を進めやすい」などといった理由から、従業員が独自の判断でアップデートをスキップすることのないよう、セキュリティリテラシーを全社的に向上させていくことが必要不可欠です。

標的型攻撃の対策における2つの注意点

標的型攻撃の対策を講じるにあたって、注意しておくべきポイントを解説します。前項で紹介した対策を押さえた上で、次に挙げる2点も見落とさないよう十分注意する必要があります。

被害に遭ったときの対応を想定しておく

入念に対策を施したとしても、標的型攻撃の被害に遭うリスクはゼロにはなりません。実際に被害に遭った場合のことも想定し、必要な対応を決めておくことが重要です。

一例として、被害が発覚したケースを想定した訓練を行うことをお勧めします。不審なメールを受信した従業員はどのような行動を取るべきか、誰にどのタイミングで報告すべきかなど、事前に決定した方針に従って行動できるかを確認します。こうした訓練を実施しておくことで、実際に標的型攻撃の被害に遭った際にも従業員が適切な対応をしやすくなります。

IT担当者間で随時情報共有を行う

IT担当者や情報システム担当者間では随時情報を共有し、標的型攻撃に関する最新情報を把握することも重要です。標的型攻撃の手口は年々巧妙化しているため、従来の対策が通用しなくなっていく可能性も十分にあります。各自が情報収集を行うとともに、担当者間で情報共有を図ることによって組織として標的型攻撃に備えていくことが大切です。

前述のとおり、使用しているセキュリティソフトウェアが最新の状態であるかどうかも随時確認する必要があります。各種ソフトウェアのアップデートは従業員任せにするのではなく、IT担当者や情報システム担当者がイニシアチブを取って必要な対策を講じてください。

組織を脅かす標的型攻撃への対策は、安全・確実な方法を選ぶ

標的型攻撃は特定の組織をターゲットとして計画的に実行されるサイバー攻撃であり、あらゆる組織にとって対策が不可欠です。できる限りの対策を講じ、被害を未然に防ぐ必要があります。

クライアント運用管理ソフトウェア「SKYSEA Client View」は、標的型攻撃など悪意のあるサイバー攻撃に対して、さまざまな対策を組み合わせた多層防御をサポートしています。UTMや次世代ファイアウォールとの連携機能ではマルウェア侵入などの異常を検知し、アラートで素早く察知することが可能。また、マルウェアに感染したPCをネットワークから自動で遮断して被害の拡大を防ぐとともに、速やかな調査の実施を支援します。機密情報が保存された共有フォルダへのアクセスを一括制御することで、マルウェアによる情報の持ち出しを防止することも可能です。

組織を脅かす標的型攻撃への対策に安全・確実な方法を選びたい方は、ぜひ「SKYSEA Client View」の導入をご検討ください。