被害が増え続ける標的型攻撃とは? その概要や手口、対策法を解説

標的型攻撃 (Targeted Attack) は、特定の企業や組織、個人をターゲットとし、明確な目的をもって行うサイバー攻撃です。
知的財産などの機密情報や個人情報などを窃取し、金銭の要求や社会的信用の失墜をねらい、長期間に渡って計画的に攻撃してきます。

不特定多数を対象にマルウェア感染をねらうような無差別攻撃とは違い、攻撃対象となるターゲットごとに周辺調査から攻撃手法までを綿密に計画して行われることから、対策が困難とされています。

情報搾取を目的とした標的型攻撃では、攻撃対象の選定と対象の情報収集が完了した後、次のような流れで攻撃を始めます。

• 初期潜入
  マルウェアを仕込んだ標的型メール攻撃や水飲み場型攻撃などあらゆるサイバー攻撃手段でターゲットのシステムにマルウェアを侵入、感染させます。
• 攻撃基盤構築
  侵入したマルウェアを使って、ターゲットのパソコンやサーバーなどのシステムに、セキュリティに感知されないような巧妙な手口で、攻撃側と通信できる環境と外部からの入り口となるバックドアを設置します。
• システム調査
  攻撃基盤が構築され、ターゲットのシステムに自由に出入りすることができるようになると、目的の情報の保管場所や ID、パスワードなどのログイン情報を調査します。
• 攻撃の実行 (情報窃取)
  調査完了後、目的の情報を攻撃側に送信します。

標的型攻撃は、次のような攻撃パターンで攻撃してきます。

• 標的型メール攻撃
  標的型攻撃で最も多く見られる攻撃パターンが、メールによる「標的型メール攻撃」です。ターゲットを綿密に調査した攻撃者は、ターゲットの取引先企業や関係者を調べ上げ、取引先を詐称したり、上司を装ったりしたうえで、興味や関心のありそうな件名を使ってマルウェアを仕込んだメールを送り付けてきます。対象となったターゲットは、取引先や上司からの連絡メールと思い込み、開封することでマルウェアに感染します。
• 水飲み場型攻撃
  ターゲットがよく閲覧する Web サイトを調べ上げ、その Web サイトをハッキングし、マルウェアを仕込んでおくという攻撃パターンで、ターゲットが閲覧するとマルウェアに感染します。草食動物が水飲み場に集まってくるのを肉食動物が待ち伏せる行動から付けられた名称です。特徴的なのは対象の Web サイトの改ざん方法で、特定のターゲットが閲覧した時のみ不審な反応をしてマルウェアを感染させますが、他の閲覧者には無反応なことから、セキュリティ担当者が確認のために閲覧しても見落としてしまいます。
• ゼロ デイ攻撃
  ゼロ デイ攻撃とは、オペレーティング システムやソフトウェアにある、まだ情報公開や対策が講じられていない脆弱性をねらった攻撃のことです。脆弱性の修正パッチのリリース日を 1 日目とし、それ以前 (0 日目) に行われる攻撃のためゼロ デイ攻撃と呼ばれ、防ぐことが困難な攻撃です。
• DoS/DDoS 攻撃
  DoS/DDoS 攻撃とは、大量のデータをターゲットの Web サーバーや組織内のサーバーに送り付け、高負荷を与えることでサーバーの機能を停止させる攻撃パターンです。このことで対象のサーバーが担っている Web サービスや POS、ATM などのサービスが停止状態に陥ります。DoS/DDoS 攻撃をターゲットに予告し、攻撃の中止と引き換えにターゲットに金銭を要求するために使われます。
• ランサムウェア
  ターゲットのパソコンやサーバーに侵入し、格納されているファイルを暗号化することで、利用できないようにしてしまいます。その後、ファイルを復元するために多額の身代金を要求してきます。
  実被害も多く、最も警戒すべき攻撃の 1 つです。
• Web サイト改ざん
  Web サイトの改ざんは、主にターゲットの社会的信用を失墜させるために利用される攻撃パターンです。
  Web サーバーの脆弱性をねらって攻撃し、Web サイトの内容を書き換えて虚偽の情報を掲載したり、Web サイトにアクセスしたユーザーを別の Web サイトにリンクさせたりマルウェアに感染させたりします。

潜伏型はターゲットのネットワークやシステムに長期間潜伏して目的の情報を窃取します。
気付かれにくい巧妙で小さな動作を行い、長期間に渡って少しずつ広範囲で大量の情報を搾取していきます。

一方、速攻型は動きが大きく気付かれることがありますが、気付かれる前に短期間で目的の情報を窃取していくタイプです。
短期間では多くの情報を窃取できないので、少量の情報を複数回に分けて窃取します。

• 公的機関の 125 万件の個人情報漏洩疑惑事件
  2015 年に発生した公的機関の個人情報大量漏洩疑惑事件は、実際に公開されていた試案の件名が書かれた標的型メール攻撃をきっかけに、組織内の全 27 台のパソコンが Emdivi とよばれるマルウェアに感染しました。
  このうち 19 台のパソコンが一般市民の個人情報を外部に大量送信し、最終的に 125 万件の個人情報の漏洩が疑われる事件となりました。
  同機関の職員は、実際に存在する試案についての件名であったため、何の疑いもなく開封してしまったとのことです。
• 大手旅行会社の個人情報大量漏洩疑惑事件
  2016 年に発生した大手旅行会社の個人情報大量漏洩事件は最大 793 万件の個人情報漏洩疑惑事件となりました。
  関連子会社に届いた標的型メール攻撃をきっかけに、プラグ X とよばれるマルウェアにパソコンやサーバーが感染。外部からサーバーに不正アクセスされ、大量の個人情報漏洩の疑いがある事件となりました。
• 大手メーカーの機密情報漏洩疑惑事件
  2019 年から 2020 年にかけて発生した大手メーカーの機密情報漏洩疑惑事件は、高度なセキュリティ体制をかいくぐって起こりました。
  海外拠点ネットワークにあるウイルス対策管理サーバーがゼロ デイ攻撃を受け、攻撃者が同拠点の端末に侵入。ファイルレス マルウェアが実行され、攻撃者が外部からの遠隔操作で他拠点にも侵入し被害が拡大しました。
  その後日本にあるウイルス対策管理サーバーにも同じ手口で侵入し、国内の複数拠点に拡大し、機密情報漏洩疑惑事件へと発展しました。

標的型攻撃によりマルウェアや不審なプログラムをシステムに侵入させないのが入口対策、万一侵入されても情報を持ち出されないようにするのが出口対策です。

• EPP の導入と OS のアップデート
  マルウェアを検知しエンドポイントへの侵入を防御するEPP  (Endpoint Protection Platform) の導入に加え、ゼロ デイ攻撃を完全に防御することは難しいものの、できる限り脆弱性がねらわれないように、オペレーティング システムやソフトウェアを常に最新の状態にアップデートしておく必要があります。
• ファイアウォール導入
  ファイアウォールは内部のネットワークとインターネットなどの外部のネットワークとの間に設置され、内部と外部の通信を監視するセキュリティ ソリューションです。
  許可された通信か許可されない通信かを監視し、許可された通信のみ通過させ、許可されない通信は遮断するというしくみになっています。
  攻撃者と内部のネットワークに仕込まれたマルウェアなどの不正なプログラムの通信を遮断し、被害を抑えることができます。
• IDS/IPS の導入
  侵入検知システム IDS (Intrusion Detection System) と、侵入防止システム IPS (Intrusion Prevention System) は、ファイアウォールと同様にリアルタイムで外部からのネットワーク上の通信を監視し通信の可否を判断します。
  IDS と IPS は主にオペレーティング システムやソフトウェア、Web サーバーの脆弱性をついたゼロ デイ攻撃などを防ぐことに特化しています。
• サンドボックス型の標的型攻撃対策ソリューションの導入
  サンドボックスは不審なメールや未知のサイバー攻撃に強い防御力を発揮します。
  不審なメールや添付ファイルを、社内システムから隔離された仮想環境の中で検証、実行し、安全と判断されたものだけユーザーの下に届ける役割を果たします。
• EDR 導入
  マルウェアなどの脅威が侵入する前に防御するサンドボックスや EPP に対し、EDR (Endpoint Detection and Response) は脅威がエンドポイントから侵入した後の被害を最小限に食い止めることを目的としたセキュリティ システムです。
  マルウェアなどの脅威の不審な動きを検知すると、データベースから脅威を解析。同時に脅威が発生した箇所や侵入経路、被害の状況を特定し、問題が解決されるまでネットワークを切断したり、アプリケーションを停止させたりします。

入口/出口対策は主にシステムを活用した対策になりますが、内部対策は人的な対策も重要です。
ここでは、システムでは実現困難な対策を中心に紹介します。

• 社内教育
  標的型攻撃に限ったことではありませんが、サイバー攻撃から自社を守るには、従業員のセキュリティ意識を高めておく必要があります。
  特に標的型攻撃では日常業務で利用されるメールが起点となる事例が多く見受けられ、不審なメールを開封したことがきっかけで大変な事態に発展することも少なくありません。このような被害を防ぐため一般的なセキュリティ教育に加え、標的型攻撃に対する教育も必要となってきます。
  標的型攻撃メールの訓練サービスが多くのベンダーで実施されているので、こういったサービスを利用するのもよいでしょう。
• ファイルの暗号化
  情報漏洩してしまった際の対策として重要なファイルを暗号化しておくことが大事です。
  暗号化したファイルが万一漏洩してしまっても、ファイルにアクセスが困難となり、被害を抑えることができます。
• 重要なファイルのバックアップ
  標的型攻撃にはランサムウェアを使ってファイルを暗号化し利用できないようにしたうえで、復号化の対価として多額の金銭を要求してくる事例も少なくありません。
  このような場合、金銭を支払ったとしてもファイルが完全に元どおりになると思わない方がよいでしょう。
  重要なファイルはバックアップを取るようにすることで被害を抑えられます。
• 被害発生時の体制
  標的型攻撃に対するあらゆる対策を行っていても、すべてを防ぐことは困難です。万一の被害に備えて初期対応の流れをマニュアル化し関係者に周知するようにします。
  被害を受けた端末の特定と隔離、被害状況の把握、被害が及ぶ関係各所や顧客への連絡、専門家の協力要請など、あらかじめ被害を想定し準備しておきましょう。

Microsoft Defender for Business は、従業員 300 人以下の中小規模企業のために特別に設計されたエンドポイント セキュリティ ソリューションです。
標的型攻撃を起因としたランサムウェアやマルウェアの脅威から会社のデバイスを保護することができます。また、ソフトウェアの脆弱性や構成ミスをリアルタイムで特定して管理が行えます。

また、クラウド ストレージの Microsoft OneDrive を活用し、重要なファイルのバックアップを強固なセキュリティ対策が施されたクラウド上に定期的に取っておけば、ランサムウェアによるファイルの暗号化や他のマルウェアによるファイルの改ざんや消失があっても復元することができます。