標的型攻撃とは？その手段と被害を防ぐ対策について徹底解説

近年、「標的型攻撃」を受けた国内外の企業や官公庁において、重要な情報が漏えいする事件が多発しています。その手口の多くは、電子メールによりマルウェアなどが送り込まれて、機密情報や個人情報といった重要なデータを不正に取得されるというものです。

これまではおもに大企業や官公庁が標的とされてきましたが、最近は中小企業や病院なども標的とされているほか、攻撃の手口も多様化しています。

本記事では、標的型攻撃の概要と手口、攻撃から重要なデータを守るための対策方法、被害事例などを紹介していきます。

標的型攻撃とは？

「標的型攻撃」とは、金銭の要求や嫌がらせをおもな目的として、特定の企業や組織から重要な情報を盗み出す、サイバー攻撃の一種です。特に、ターゲットが明確に定められている点が特徴です。また、手口や技術も年々高度化しており、攻撃を受けたことに気付くまでにしばらく時間がかかったり、攻撃からの復旧が困難だったりしており、一度攻撃を受けたら、その損失は非常に大きなものとなります。

それでは「標的型攻撃」とは具体的にどのような攻撃なのでしょうか。その概要について説明します。

特定の組織や人、団体を狙って行なわれるサイバー攻撃の一種

「標的型攻撃」とは、特定の企業組織や団体、官公庁などの機密情報を盗み出すことを目的として利用される、サイバー攻撃手法の一つです。一般的なサイバー攻撃と異なる点は、ターゲットに対して明確な意志と目的を持って攻撃を仕掛けてくることです。また、目的を達成するまで執拗に攻撃が繰り返されるというのも厄介な特徴でしょう。

標的型攻撃は当初、関係機関や取引先などを装ってマルウェアが仕込まれたファイルを添付するなどした電子メールを使用して、情報を盗み出すためのウイルスに感染させる方法が一般的でした。

しかし、現在は電子メールによる攻撃以外にもさまざまな手段が用いられています。そのため、あらゆる手段に対応できるような対策が求められています。

おもな攻撃手法

クリックして拡大

標的型攻撃にはさまざまな攻撃手法があると述べましたが、代表的な攻撃手法を3つ紹介します。

標的型攻撃メール

まず登場したのは「標的型攻撃メール」による攻撃です。これは、マルウェアが仕込まれたファイルを添付したり、マルウェアをダウンロードさせるWebサイトのURLを張ったりした電子メールを用いた攻撃です。

この電子メールを標的の企業や組織の人間が受け取った際に、添付ファイルを開いたり、悪意のあるWebサイトへのURLリンクをクリックしたりすると、パソコンなどがウイルスに感染します。次に、このウイルスの働きでターゲットの社内システムを乗っ取り、重要な情報が格納されたサーバーから情報を流出させたり破壊したりします。

水飲み場攻撃

次に、「水飲み場攻撃」という比較的新しい攻撃方法について解説します。これは特定の個人や特定の企業の社員がよく閲覧するサイトを改ざんし、マルウェアを仕込む手法です。ターゲットの相手がサイトを閲覧し、サイトに設置されたリンクやボタンをクリックするとマルウェアに感染する仕組みとなっています。

また、ターゲットではない者が閲覧してもマルウェアには感染しないなど、ターゲットとそれ以外で動きが異なることが大きな特徴です。ターゲットであるかどうかはIPアドレスなどで判別します。水飲み場に待ち伏せして獲物を捕らえる様子になぞらえてこのような名前になっています。

なお、水飲み場攻撃については、こちらの記事で詳しく紹介していますので、併せてご確認ください。
水飲み場攻撃に遭わないために！手口と取るべき対策を教えます

Webサイトの改ざん

3つ目は「Webサイトの改ざん」による攻撃です。これはWebサーバーの脆弱性を突いたり、管理者権限を乗っ取ったりしてWebサイトの内容を改ざんするものです。その結果、閲覧者を不正なサイトなどに誘導して金銭などを支払わせたり、個人情報を抜き取ったりします。

Webサイトを改ざんされた企業や組織に関連するユーザーが被害に遭うため、標的となった企業や組織は大きく信用を失います。Webサイトの改ざんにはWebサーバーの脆弱性を突く方法と、Webサイトの管理者用アカウントを乗っ取る方法の2通りがあります。

攻撃手法のタイプは2種類に大別される

多様化し続ける標的型攻撃ですが、その手法は大まかに「潜伏型」と「速攻型」の2種類に分けられます。それぞれの特徴について述べていきます。

潜伏型

「潜伏型」は、マルウェアが企業内部のネットワークやシステムに長期間にわたって潜伏し、時間をかけて端末などの感染範囲を拡げていきます。そして感染させた端末から、より重要な情報を、時間をかけて取得し続けます。こうした特徴のため、早期発見・早期対応を行なわないと被害が大きくなりやすいので、いかに早くネットワークトラフィックの異変に気付くかどうかが鍵となります。

速攻型

「速攻型」は、端末を感染させたのち、数時間から数日の間に情報を取得していきます。狙った情報だけを短期間で的確に取得していきます。１回で成功するとは限らないため、数回にわたって継続的に攻撃が続くことが特徴です。また、短時間で狙った情報を一度に窃取するので、一時的に端末やネットワークの負荷が大きくなるため、潜伏型よりは気付きやすい傾向にあります。

標的型攻撃の手順

クリックして拡大

標的型攻撃には手順があり、その手順にしたがって情報を盗む、破壊するなどの攻撃を行なっていきます。標的型攻撃の手順を知ることは、企業や組織のシステムに対するセキュリティ対策を行なううえで非常に重要です。

攻撃の準備から初期潜入

攻撃者はまず、標的とする企業や組織のシステムやネットワークなどの情報を収集し、攻撃できそうなターゲットを定めます。次に、どのような攻撃が有効であるかを分析し、攻撃に用いるツールなどを準備します。ここまでが攻撃の準備段階です。

準備が整ったら、標的型攻撃メールや水飲み場攻撃などでターゲットにマルウェアを送り込み、それが実行されるのを待ちます。ターゲットの端末やシステムがマルウェアに感染してから実際に不正なプログラムが実行されるまでの潜伏期間を初期潜入と呼びます。

攻撃基盤の構築とシステム内部の調査

初期潜入で感染させた端末に「バックドア（裏口）」と呼ばれる環境を構築します。これにより攻撃者がコントロールできる外部サーバーとの通信が行なえる環境が構築されます。この段階では、端末を操作するユーザー側はこれらの変化に気付かないことがほとんどです。ここまでで攻撃基盤ができました。

攻撃基盤ができたら、攻撃者はターゲットとする情報が保存されている場所を特定するため、システム内部の情報を収集していきます。並行して、管理者権限のあるアカウントを奪取した場合にはさらに侵入可能な端末を増やします。

不正なプログラムを実行させ、重要なデータの保存場所を特定します。

攻撃の遂行

重要なデータの保存場所を特定した攻撃者は、侵入した端末を操作し、重要な情報を攻撃者が管理する外部サーバーへと、すでに設置したバックドアを介して送信します。その際、クライアントや送信経路での検知を回避するため、ファイルを分割して送信するなど、情報を送信するための不正なプログラムも巧妙化しています。

目的とするデータをすべて取得し、攻撃が完了したらこれらの攻撃に関与した痕跡などを消滅させ、証拠隠滅を図ります。

場合によっては、構築したバックドアを利用して再び侵入することもあり、別の重要データをさらに盗まれることもあります。

標的型攻撃を防ぐための対策

ここまでで、標的型攻撃を受けた際に早期に発見することが難しいことがおわかりになったかと思います。

それでは、標的型攻撃を防ぐにはどうしたら良いのでしょうか。マルウェアなどが侵入しないようなシステムの対策は重要です。また、従業員のセキュリティ意識の改革も必要でしょう。基本的な対策を周知しておくことで標的型攻撃を防ぐことが可能なことが多いからです。

そして万が一、標的型攻撃に遭った際にも、システムに侵入されることを前提としたセキュリティ対策を行なうことも大事です。例えば、攻撃者にデータを盗まれたとしても、そのデータが暗号化されていれば、攻撃者はデータの内容を知ることができません。

それでは標的型攻撃の対策方法について、すぐに対応可能なものから順に説明します。

従業員のセキュリティ意識改革と端末やシステムのセキュリティ対策

まず必要なのは、標的型攻撃メールの対策についての教育を従業員に施すことです。身に覚えのないメールに添付された怪しいファイルを開かない、【緊急】などの件名に注意するなど、過去の被害事例をもとに従業員のセキュリティ意識を高めましょう。添付ファイルの容量を確認するのも大事です。マルウェアが入った添付ファイルは、多くは容量が異様に大きいからです。

また、端末やシステムのOSやソフトウェアを常に最新の状態にアップデートして、可能な限り脆弱性を解消しておくことも重要です。これにより不正な侵入を許してしまう可能性が少なくなります。

重要なデータの暗号化

機密情報や個人情報といった重要なデータが入っているファイルは、暗号化しておくことも効果的な対策です。万が一、標的型攻撃に遭って重要情報が入ったファイルが流出しても、攻撃者はファイルにアクセスできず、ファイルの内容が知られることはありません。

攻撃者の侵入を前提とした多層防御による対策（入口、内部、出口）

標的型攻撃に限らず、近年のサイバー攻撃はどんなに対策を行なっても防げるとは限りません。そこで、こうした攻撃を防ぐための「入口対策」だけでなく、攻撃者がネットワークに侵入することを前提とした「内部対策」や「出口対策」が重要になってきました。

先述のとおり、外部からの侵入を防ぐのが入口対策です。ファイアウォール、スパムフィルター、IDS／IPS（不正侵入検知／不正侵入防止システム）などがおもな対策として用いられています。

そしてシステムのログ監視などを行ない、重要なデータに対し権限のない人間がアクセスすることを防ぐのが内部対策となります。前節で述べたデータの暗号化も内部対策の一つとなります。

また、ネットワークから外部へ不審な通信があった場合に、通信を遮断するのが出口対策です。不審なプログラムの様子を監視するサンドボックス型の対策や、データの内部まで確認することが可能なWAF（Web Application Firewall）を設置して、外部へ出て行くデータを監視する対策などがあります。

なお、IDSについては、こちらの記事でも詳しく紹介していますので、併せてご確認ください。
IDSによるセキュリティ対策とは？利点や防げる攻撃内容について解説

標的型攻撃の種類ごとの被害内容

ここまで、標的型攻撃の概要と攻撃手段、そしてその対策までを紹介してきました。

本章では、これまでに標的型攻撃により被害に遭った事例を紹介し、標的型攻撃の種類ごとに被害の内容について解説します。

標的型攻撃メールによる被害

2015年、大手法人の職員を対象に大量の標的型メールが届きます。そして、職員がメールの添付ファイルを開封したり本文中のURLリンクをクリックしたりしてウイルスに感染しました。

感染の原因となったメールの件名が実在しそうな件名であり、非常に手口が巧妙だったことで、他の職員の端末も次々とマルウェアに感染します。その結果、約125万人分の個人情報が流出する事件となりました。

水飲み場攻撃による被害

2013年、海外の政府系Webサイトに悪意のあるJavaScriptが仕込まれ、閲覧したユーザーにマルウェアをダウンロードさせていました。この攻撃には、当時のInternet Explorer 8のゼロデイ脆弱性を悪用してサイト閲覧者をマルウェアに感染させていました。ゼロデイ脆弱性とは、ソフトウェアの脆弱性のうち、その存在が公表される前のもの、あるいは修正用プログラム（パッチ）がリリースされる前の脆弱性を指します。

これは、最初に攻撃したWebサイトに興味のある政府機関の職員やエネルギー分野の関係者をおびき寄せて狙ったものと推測される、水飲み場攻撃の一例です。

Webサイトの改ざんによる被害

2018年4月、米国の大手動画サイトにある人気アーティストのPVが改ざんされる被害に遭いました。原因は、別のストリーミングサイトのチャンネルがハッキングされたことでした。

YouTubeで視聴回数がトップだった動画のサムネイルがまったく関係ないマスク姿で銃を構えた集団の画像に置き換えられたほか、一時的に視聴不能な状態にされました。またほかにも、何人かの人気アーティストの動画が、同様の手口で改ざんされました。

なお、マルウェアなどが仕込まれていなかったことだけは幸いだったかもしれません。

標的型攻撃は、企業・組織から重要な情報を盗み出すサイバー攻撃の一種

標的型攻撃とは、目的とする企業や組織に侵入し、機密情報や個人情報といった重要な情報を窃取するサイバー攻撃の一つです。企業や組織の従業員にマルウェアを送りつけたり、ネットワーク上の脆弱性を突いて攻撃者自ら侵入したりして、目的のデータを少しずつ盗み出していくため、すぐに気付きにくいところが対策を難しくしています。

また、一度侵入されたら何度も攻撃を受けることもあるなど、他の重要なデータも取得されかねません。

対策としては、怪しいメールに添付されたファイルを開いたり、リンクをクリックしたりしないなど、従業員にセキュリティ教育を施すことがまず挙げられます。次に、システム全体を常に最新の状態にアップデートし、なるべく脆弱性を無くすことです。最後に、仮に攻撃者に侵入を許してしまったとしても、データを暗号化したり、ネットワーク外部への怪しい通信を検知して遮断したりするといった多層的な防御方法を行なう必要があります。

本記事で解説した標的型攻撃の特徴をもとに、適切な標的型攻撃対策を行なって重要なデータを守ってください。