Webマガジン
「標的型攻撃への対策はシステムと人の両面から」
株式会社オージス総研

2014年03月号
  • 「標的型攻撃への対策はシステムと人の両面から」
株式会社オージス総研   大澤 登士弘

 近年、『サイバーテロ(攻撃)』や『標的型攻撃』という言葉をよく耳にするようになりました。
 大規模情報漏洩事件や核施設への妨害活動、主要な銀行・メディアを狙った社会的大混乱などはご存知の方も多いのではないでしょうか。このような世間を騒がせた事件は、サイバー攻撃のひとつで近年非常に多くなってきております。

標的型攻撃とは

 まず、言葉の定義です。『サイバー攻撃』とは、主にインターネットなどの通信機能を悪用して、コンピュータやネットワークに不正に侵入してデータの搾取や破壊、改ざんなどを行なったり、システムを機能不全に陥らせたりする行為です。特定の企業や組織、個人を狙ったものと、不特定多数を無差別に攻撃するものがあります。
 『標的型攻撃』とは、マルウェアなどを用いて行われるサイバー攻撃のうち、金銭や機密情報の搾取や破壊などを主な目的として、特定の企業や組織の個人を狙った攻撃のことです。中でも、脆弱性を悪用し、複数の既存攻撃を組み合わせ、ソーシャルエンジニアリングにより特定の企業や個人を狙った、高度で対応が難しく執拗な攻撃のことを『APT(Advanced Persistent Threat) 』と呼んでいます。
 この標的型攻撃が対象に侵入する方法のうち、メールを利用することを『標的型メール攻撃』と言います。これは、メールを送る相手を特定し、差出人として関係者や実在する人物を装ったり、メールの件名や添付ファイルの内容を業務内容と関連したものにしたり、受信者に特に関連したものに偽装することで相手を油断させて、特定サイトのURLへの誘導や添付ファイルを実効させてその中に組み込まれていた不正プログラムに感染させて活動を開始します。

 以降は標的型攻撃について詳しく事件や対策についてご紹介します。

主な事件の紹介

 下記の表は、近年の標的型攻撃などにより発生した主なサイバー攻撃の事例です。

表1 近年の標的型攻撃などにより発生した主なサイバー攻撃の事例
表1 近年の標的型攻撃などにより発生した主なサイバー攻撃の事例
出典:IT Leaders「脅威はもはや対岸の火事にあらず 国内外のサイバー攻撃・主要事例」より抜粋

 従来からあったコンピュータウィルスを用いた被害と比べ、政府機関を狙った攻撃や社会的混乱を招く攻撃、大規模な情報漏洩など被害の深刻な脅威が増えているのが近年の特徴です。
 また、これら標的型攻撃によく使われる標的型攻撃メールは、これまでのウィルスメールと比べ、非常に巧妙になってきています。

標的型メール攻撃の特徴

 下記の図のように、標的型攻撃メールは、不特定多数を狙うものから特定の組織を狙うものへ変化し、送られてくるメールの送信者や内容からは関係者を装うものになり、これまでとは違い格段に見破り難くなってきています。

ウイルスメールの形態の変化
図1 ウイルスメールの形態の変化
出典:IPA「標的型攻撃/新しいタイプの攻撃の実態と対策」より抜粋

 また、標的型メール攻撃には以下のような特徴があります。

送信者名として、実在する信頼できそうな組織名や個人名を詐称
受信者の業務に関係の深い話題や、詐称した送信者が扱っていそうな話題
ウィルス対策ソフトを使っていてもウィルスが検知されない場合が多い
メールが海外のIPアドレスから発信される場合が多い
感染しても、パソコンが重たくなるとか変なメッセージが表示されることは余りない
外部の指令サーバ(C&Cサーバ)と通信
長期間にわたって標的となる組織に送り続けられる(内容は毎回異なる)
Command and Control サーバ:踏み台のコンピュータに指令(command)を送り、制御(control)する役割を担うサーバ

 メール受信者が不信感をいだかないように、色々な「だましのテクニック」を駆使しています。

 こういった標的型メール攻撃を受けると何が起きるのでしょうか?
 まず、標的型メール攻撃の仕組みを下記の図で解説します。

標的型メール攻撃の仕組み
図2 標的型メール攻撃の仕組み

(1) 対象となる組織やユーザを特定し、標的型攻撃メールを送信する
(2) 対象者が添付ファイル、またはURLリンクを開くのを待つ
(3) コンピュータの脆弱性を突いて感染し、パソコンを乗っ取り、バックドアを作成する
(4) 新たな指令を受け、ネットワーク情報等を収集し、ターゲットのサーバへ侵入する
(5) サーバから重要情報を盗み取り、外部サーバへ送信する
最後に外部サーバから活動の痕跡を消去する

 対象者に怪しまれない様に潜入し、発見されない様に少しずつ情報の収集/感染の拡大を実施し、目的の情報を取得できれば、発見を遅らせるために活動の痕跡を消去することまで実に巧妙です。

 では、このような標的型攻撃に対して、どのように対策を実施すればよいのでしょうか?

標的型攻撃への対策

 重要なサーバの対策だけではなく、企業内のサーバ、クライアント、ネットワークさらに重要データ全てに対してリスクと脅威を洗い出し、常に最適な対策を取らなければなりません。しかし、コストも掛かるうえ、巧妙化している攻撃に対して常に完全防御することは不可能です。そこで重要なことは、どこで何を防御するか、どれだけ脅威を減らせるかということです。

 まず、ウィルスなどの脅威が内部ネットワークに入ってこないように、入り口で食い止める対策【入口対策】が必要です。ファイアウォールやウィルス対策ソフト、不正侵入検知/防御やスパムメール対策などで防御します。脆弱性診断やソフトウエアやセキュリティパッチの最新化も定期的に実施すべきでしょう。
 仮に、内部に侵入された場合でも被害の拡散を食い止める仕組み【拡散防止対策】が必要です。クライアントのウィルス対策やセキュリティパッチの最新化が必要です。データへのアクセス制御やデータの暗号化による防御も有効です。
 更にバックドア通信などによる情報の外部への持出しを遮断する対策【出口対策】が必要です。ファイアウォールやURLフィルタリング、クライアント・レピュテーションなどで通信を遮断します。
 最後に現状のリスクと脅威の可視化、ログの解析などによる現状分析と今後の対策【継続的管理対策】が必要です。ログ監視、アクセスログ監査、セキュリティポリシーの設定、そしてセキュリティ強度を高める対策の実施と運用への取り込みを継続的に実施することが重要です。

 それぞれの企業や組織の状況に応じて、必要な対策と実施可能な対策を検討し、少しずつ強化していくと良いでしょう。

 このような複数の対策を組み合わせた防御が有効ですが、なかでも見落としがちなのは、ユーザに対する対策です。システムの対策ももちろん重要ですが、何らかの形で侵入した場合に感染するかどうかの決め手は、ユーザ自身のアクションに左右されることが多く、ユーザのセキュリティに対する意識の向上が非常に大事な点であるといえます。
 つまり、『システムの対策』と『人の対策』の両面からの対策が重要になります。

『システムの対策』と『人の対策』の両面からの対策
図3 『システムの対策』と『人の対策』の両面からの対策

 ユーザのセキュリティ意識を向上させる方法として、セキュリティWebラーニングや疑似体験(訓練)などが効果的です。
 次に標的型メール攻撃に対する訓練の例を紹介します。

標的型メール訓練

 標的型メール訓練は、特定企業や個人を対象に送りつけられる『標的型メール攻撃』を擬似的に体験して、不審メールに対しての免疫をつける訓練です。

訓練の特徴:

  • 社員一人ひとりの情報セキュリティに対する意識の向上に繋がる
  • 実際に標的型メール攻撃にあった際のウィルス感染リスクを低減する
  • 訓練対象企業側での環境準備は不要で、手間なく訓練を行うことができる

 下記の図で、標的型メール訓練の流れを解説します。

標的型メール訓練の流れ
図4 標的型メール訓練の流れ

(1) 訓練用の疑似標的型攻撃メールを訓練対象者に送信する
(2) 対象者が添付ファイル、またはURLリンクを開いた場合のみ、教育用コンテンツを表示してセキュリティ教育を実施する
添付ファイルを開封しなかった対象者は、標的型メール攻撃への耐性があると見なし、意識向上の教育は不要としてそのまま終了する
(3) 添付ファイルを開封した情報を集計し、レポートを作成する

 このような疑似体験を短期間に2回実施して、訓練の効果を高めるとともに開封率の推移を確認し、今後のセキュリティ対策のインプットとして活用することが出来ます。

 某グループ会社も毎年、標的型メール訓練を実施しております。毎年開封率が下がっており、また不審なメールに対しては、ユーザが開封する前に然るべき部署に確認をする様になるなど確実に効果が出ております。

おわりに

 近年増加している標的型攻撃の事例とともに、標的型攻撃手段の大半に使われている標的型メール攻撃について、その特徴や対策について紹介しました。
 標的型メール攻撃に対しては、システムの多層防御も重要ですが、ユーザのセキュリティ意識の向上をはかり、システムと人の両面の対策を急がれることを強くお勧めします。
 これまでの事例で、セキュリティ強度の比較的弱いグループ子会社や中小の関係企業などをまず狙い、サーバを乗っ取った後、グループ本社に侵入し、重要情報の搾取を狙った例もあります。この機会にグループ会社、関係会社全体でセキュリティリテラシーの向上、セキュリティポリシーの管理、ガバナンスの強化を是非進めてください。
 あなたの企業もしくはあなたもすでに狙われているかもしれません。

*本Webマガジンの内容は執筆者個人の見解に基づいており、株式会社オージス総研およびさくら情報システム株式会社、株式会社宇部情報システムのいずれの見解を示すものでもありません。

関連製品・ソリューション

同一テーマ 記事一覧
大澤 登士弘  記事一覧
2014年03月号のコンテンツ



『Webマガジン』に関しては 弊社の「個人情報の取り扱いについて」に同意の上、
下記よりお気軽にお問い合わせください。

ページトップへ戻る