標的型攻撃とは？

標的型攻撃はサイバー攻撃の１つで、フィッシングメールのような無差別攻撃ではなく、明確な目的を持ち、特定のターゲットに仕掛ける攻撃のことを指します。

攻撃対象から知的財産や機密情報・個人情報を盗み出し、金銭的損失を与えたり信用を失墜させることで、ターゲットに致命的な損失を与えることを目的としています。

また、一般的なサイバー攻撃と異なり、用意周到に練られた戦術で様々な角度から攻撃されるため、一般的なセキュリティ対策では対応が難しい脅威であると言われています。

標的型メール攻撃

標的型攻撃に用いられるのはソフトウェアの脆弱性や、メールの添付ファイル・リンク、ウェブサイトの改ざん、ソフトウェアのアップデートの悪用などです。

その中でも特に多いのが、メールを使った標的型メール攻撃で、様々な手口でマルウェア（コンピュータウイルス）に感染させようとします。

スパムメールやフィッシングメールと似ていますが、これらはより多くの情報を盗み出すことを目的としているため、ターゲットを絞らず広範囲に攻撃します。

標的型メール攻撃は、ターゲットの知人や取引先を装ってメールを送り、添付ファイルを開かせたり、リンクをクリックさせてマルウェアに感染させようと仕掛けてきます。攻撃者の目的が達成されるまで、長い期間をかけて執拗に攻撃を仕掛けてくる、非常にやっかいな攻撃です。

マルウェアに感染すると

標的型攻撃によってマルウェアに感染すると、すぐに影響が出る場合もありますが、ほとんどの場合、長期間潜伏してマルウェアの感染を広げたり、継続的に情報を取得されていきます。

最初に感染させたマルウェアは、バックドアと呼ばれるシステムへの侵入経路を確保するための裏口を確保します。様々な種類のバックドアがありますが、中にはPCの画面を別のPCでのぞき見したり、遠隔からPCを操作できるものもあります。これによって、ユーザー情報を盗まれたり、PCを乗っ取られてさらなる標的型メール攻撃を送信したりします。

つまり、最初に感染したPCだけに被害がとどまらず、気が付かない間に次々と組織内に蔓延し、最終的に組織にとって最も重要な情報が盗み出されてしまうのです。

標的型攻撃の被害にあう原因

巧妙に仕組まれた標的型攻撃は簡単に防ぐことは出来ませんが、正しく対応することで被害を最小限に抑えたり、攻撃者を諦めさせることはできます。

しかし、誤った対応をとると攻撃の成功を助長するだけでなく、被害を拡大させてしまう恐れがあります。そこでまず、標的型攻撃の被害にあう原因について紹介します。

脆弱性に対する誤った対応

Windows等のOSやブラウザなどのアプリケーションは、開発者によって完璧に作り上げられているように見えて、実はソフトウェアの不具合や欠陥など、様々な問題を抱えたままリリースされています。

この問題のうち、重大なセキュリティの欠陥を脆弱性（セキュリティホール）と言い、過去に何度もサイバー攻撃に利用されています。

開発者は、日々ソフトウェアの問題の発見と改修に努め、定期的にソフトウェアアップデートとして修正プログラムを提供しています。しかし、修正プログラムが提供されたとしても、業務に影響が出ることを嫌って更新を怠れば脆弱性は残ったままとなります。この脆弱性に対する誤った対応が、標的型攻撃の被害にあう原因の１つと言えます。

システムの設計・運用の不備

サイバー攻撃の対策といえば、インターネットからの脅威に対する入口対策や、脆弱性の対応やマルウェア感染の対策などのエンドポイント対策に目が行きがちです。いずれも対策としては適切ですが、標的型攻撃の場合はシステムに侵入された後についても対策を講じる必要があります。

マルウェアに感染した利用者の端末を経由して攻撃を受けることになりますので、社内の機密情報に容易にアクセスできたり、データを暗号化していない状態は非常に危険です。また、通信ログや操作ログなど、システムを監視するための情報を取得していない場合、攻撃の検知や状況把握に時間がかかり、被害を拡大させる要因となります。

これらに共通するのは、脅威は外部からのみやってくる、という前提でシステムを設計・運用している点です。内部に侵入されたことを想定していないシステムも、標的型攻撃の被害にあう原因の１つと言えます。

人的体制・組織の準備不足

サイバー攻撃について、漠然とその危険性は認識しているものの、具体的な事前準備を行っていない組織は被害をうける可能性が高くなります。

では、どのようは状態が準備不足と言えるのか、いくつかの例をご紹介します。

情報セキュリティポリシーが策定されていない

情報セキュリティポリシーは、企業や組織の代表者が施行するものです。策定されていない状況は、代表者が情報セキュリティに興味関心がない、重要な課題という認識がないことの証明となります。ポリシーが存在しなければ、リスクアセスメントを実施できず、ルールや規定を策定することもできません。

体制が整っていない・形骸化している

情報セキュリティポリシーが策定されていたとしても、それを実行する体制が整っていなければ緊急事態に対応することが出来ません。また、体制が構築されていたとしても、職位に基づいて決めただけの形骸化した体制では、実効的な対応は期待できません。

手順やマニュアルが存在しない・遵守していない

平時の実施手順や、インシデント（重大な結果に繋がりかねない出来事や状況、異変）の対応マニュアルが存在しなかったり遵守していなければ、場当たり的な対応となり被害が拡大します。

インシデントを想定した訓練が不十分

サイバー攻撃は災害と同様、いつ発生するか分からない事象であると捉える必要があります。しかし、日常の業務に追われる従業員は、なかなかその意識を持つことができないのも事実です。

サイバーセキュリティの訓練を計画しても、意義がないと敬遠されたり、真剣に取り組んでもらえない組織も少なくありません。結果として、インシデントを想定した訓練が不十分となり、標的型攻撃の被害を防ぐことができません。

標的型攻撃の対策

ここまで説明した通り、標的型攻撃は対策が非常に難しい脅威であり、個人だけでは対処できないことがお分かりいただけたと思います。それではどのように対策すればいいのか、ポイントをご紹介します。

体制の整備

標的型攻撃の対策は、一部の担当者のみでなく、組織が一体となって取り組む必要があります。経営幹部の主導のもと、情報セキュリティ対策本部を設置してリスクアセスメントを実施し、ルールとなる対策基準をつくりましょう。

また、発生したインシデントに組織的に対応するセキュリティ事故の対応チームや、セキュリティを意識したシステムの運用体制を構築することも重要です。社内に情報セキュリティに熟知した人材がいない場合は、外部の専門家の支援も検討してください。

技術的な対策

システムの設計や運用を見直し、内部に侵入されても最小限の被害に抑えられるような対策を施しましょう。特にアクセスできる範囲や権限を分離すること、通信と操作を追跡できるログを取得することが重要です。

監査体制の整備

独立した専門家による情報セキュリティ監査は、標的型攻撃だけに限らずサイバーセキュリティ対策として重要な取り組みです。統一された監査基準に基づく評価は、自組織のリスクと取り組みを見直すきっかけとなります。

意識改革

いかに体制を整え技術的な対策を施そうとも、業務にあたる従業員がルールを遵守しなかったり、サイバー攻撃の端緒を見抜けなければ意味がありません。ポストを問わずサイバーセキュリティ教育訓練を実施し、セキュリティに関する意識を改革する必要があります。

特に幹部については、リスク管理や危機管理のあり方などのセキュリティマネジメントの教育訓練を実施し、自らのなすべきことを理解することが重要です。

また、全ての従業員を対象に、実際にインシデントが発生したことを想定した訓練を実施したり、疑似メールなどによる、事前通告しない実践的な訓練も効果的です。

まとめ

標的型攻撃の被害にあう原因と対策についてご紹介しました。標的型攻撃をはじめとするサイバー攻撃は、ここ近年で組織的かつ巧妙化しています。対岸の火事ではなく他山の石として、情報収集して備える必要があります。今回の記事が、具体的な対策を検討するきっかけとなれば幸いです。