標的型攻撃が鎮静化しない理由は? ~一歩先を行く敵から身を守る~

 2019.09.25  EDR実践ポータル

いま、大手企業だけでなく政府官公庁や公的機関、中小企業にまで被害を及ぼしている標的型攻撃。標的型攻撃(英 Targeted threat もしくは Targeted attack)は、機密情報を盗み取ることなどを目的として、特定の個人や企業・組織を狙った攻撃です。本記事では「標的型攻撃」の概要についてご紹介した後に、それらをどのように防ぐべきかをご紹介いたします。

targeted-attack

4年連続 「最大の脅威」

2015年5月、日本年金機構から約125万件の年金加入者の情報が流出した事件は、情報セキュリティの関係者だけでなく、企業・団体で働く多くの人たちに衝撃を与えると同時に、「標的型攻撃」の名を植えつけることになりました。これを機に企業社会の警戒心は高まったにも関わらず、数年が経たいまも鎮静化する兆しはありません。

IPA(独立行政法人 情報処理推進機構)が毎年発表している「情報セキュリティ10大脅威」では、個人と組織を分けた2016年以降、組織の部門で「標的型攻撃」は4年連続1位。「ビジネスメール詐欺」(2019年2位)や「ランサムウェア」(同3位)、そして今年初めてランクインした「サプライチェーンの弱点を悪用した攻撃の高まり」(同4位)などを抑え、最大の脅威であり続けています。

多くの組織が被害に遭い、対策を強化している中、この攻撃が勢力を保っているのはなぜでしょうか?

その理由は、サイバー攻撃として高度なこと。具体的には、侵入する手口の巧妙さと、多様な形の攻撃が可能という点です。まず前者ですが、標的の事情を調べ上げてから行動に移すため、入り口でのガードが難しいという現実があります。そして後者は、ランサムウェアやサプライチェーン攻撃と組み合わせるなど、いろいろな“応用”が効くという、この攻撃の特性です。

 

入念な下準備と執拗な攻撃

あらためて定義すると、標的型攻撃は“特定の組織を対象に、目的を達成するまで、繰り返し行われるサイバー攻撃”です。目的の多くは機密情報の搾取で、攻撃側が価値を見出せる情報を持つ組織はすべて標的となります。公的組織と民間、業種業態、規模の大小は関係ありません。

 

典型的な攻撃の手順は以下の通りです。

(1).事前準備

標的に対する調査とメールアドレスの取得。ウイルスを添付したメール送信

(2).侵入と内部ネットワークの偵察

ウイルスに感染したPCから侵入。乗っ取ったマシンを起点にシステム構成を精査

(3).情報の搾取と外部への転送

機密情報を複写。外部に転送してミッションを終了

 

「準備」と「侵入」、「情報搾取と転送」のステップで実行されますが、特に準備から侵入に至るまでの工程で、手の込んだ手口が使われる点がこの攻撃の特徴です。節目となる行動について、もう少し詳しく見ておきましょう。

メール傍受からウイルスを仕込む

標的型攻撃は、準備の質が成否を分けると言っても過言ではありません。最初の標的として、何らかの方法で個人のメールアドレスを取得しますが、典型的な手口は採用希望者を装うこと。担当部署に質問を出し、応答した人とメールを1~2回やり取りすれば、以後はそれほど怪しまれることはないでしょう。攻撃者はタイミングを計って、Word文書などを装ったウイルスを送りつけます。

製品に関する問い合わせや業界関係者を偽装した連絡も常套手段ですが、企業と業界の実情を調べておけば、担当者が信用してしまう文面作りは難しくありません。数年前には大手電算機メーカーから、海外支社とのやり取りを傍受され、メールを受け取った数時間後に、支社の社員に成りすました攻撃者から、“訂正”と称したウイルス入りの文書が送られてきた例も報告されていました。

標的に合わせウイルスもカスタマイズ

侵入のトリガーとなるウイルスは、多くの場合、標的に合わせてカスタマイズされたものが使われます。改編ソフトは簡単に入手できますから、一度出回った攻撃プログラムの亜種の作成は難しいことではありません。既知のウイルスのパターンから判断する「シグネチャ方式」のアンチウイルスは、新種と亜種の多くは検出できないため、この関門はすり抜けてしまいます。

最近のアンチウイルスの多くは、シグネチャだけでなく、プログラムの振る舞いを見て攻撃を検知する機能を備えていますが、動作検証の状況を察知して一定時間は動きを止めるタイプもありますから、過信は禁物です。攻撃側は、主要なアンチウイルス製品を試した上で、“合格”したプログラムを送ってくると構えておいた方がいいでしょう。

バックドアからデータ転送

ウイルスでPCを乗っ取った後は、社内システムの精査を開始。この先の行動は、標的型攻撃に特化した部分は少ないのですが、情報の搾取を目的とする犯行では、まず外部と通信するためのバックドア(裏口)を開けます。

その後は、侵入先のシステム構成に合わせて、攻撃に用いるプログラムのダウンロードが行われ、最終目的とする機密情報を採取。外部のマシンに転送し、自身の行動記録(ログ)をできる限り抹消したら犯行は完了します。

攻撃のバリエーションも多彩

冒頭で標的型攻撃の特徴として、巧みな侵入方法の他に、他のサイバー犯罪と組み合わせた展開が行われる点に触れました。ここで実例を挙げると、金銭目的の場合、ランサムウェアを送りつけてファイルを暗号化し、復号化のためのキーと引き換えに仮想通貨を要求したケースが報告されています。

「情報セキュリティ 10大脅威 2019」では、「サプライチェーンの弱点を悪用した攻撃の高まり」(4位)が入っていましたが、これも標的型攻撃と無縁ではありません。サプライチェーンの中軸にあるエンタープライズはガードが固いため、隙がありそうな中小企業のPCを乗っ取った後、通信経路を見つけて“本丸”に乗り込む方法は、攻撃側は誰でも思いつくでしょう。

「10大脅威」からもう一つ例を挙げると、「脆弱性対策情報の公開に伴う悪用増加」(9位)。脆弱性対策が遅れているソフトウエアを狙う、「ゼロデイ攻撃(脆弱性の公開直後の攻撃)」の多発に対する警鐘ですが、標的型攻撃の手法でターゲットを絞った後、このタイミングを狙ったマクロウイルスなどが送られるケースも頻発します。

完全阻止は不可能?

ここから先は防御策を考えていきましょう。

守る側の視点から標的型攻撃の動きを整理すると、節目となるのは以下のステップです。

  • 攻撃メールの添付ファイルをオープン
  • ウイルスが稼働→PCを乗っ取る
  • 内部ネットワークの偵察
  • 機密データの搾取
  • 外部のサーバーへ転送

まず発端となる攻撃メール。何度かメールをやり取りして警戒心が薄れた後で、「職務経歴書」や「御見積のお願い」、「セミナー開催に関して」といった題名で届いたら、ファイルは開かずにはいられません。ウイルスの動作まで至らなかったとしても、別の担当者に狙いを定め、文面を変えて何度でも攻めてきます。メールの開封率をゼロにすることは、不可能と考えた方がいいでしょう。

多層的な防御体制が不可欠

巧妙な仕掛けでメールを開かせるような攻撃に対しては、ネットワークの入り口を守るだけでは限界があります。もちろん、毎日毎時押し寄せてくる既知のウイルス・攻撃に対しては、メールフィルタリングや主要ソフトに対する脆弱性対策などの入り口対策が土台になります。しかし、標的型攻撃のような手口に対しては、多層的に防御する体制が欠かせないのです。

たとえば、メールの添付ファイルをアンチウイルスが検知できたとしても、改ざんしたWebサイトにおびき寄せ、端末側のソフトウエアの脆弱性を狙ってウイルスを仕込む“水飲み場攻撃”のような手法で流入するプログラムは、阻止できない可能性が残ります。

脆弱性を突かれてウイルスが侵入しても、行動を起こした時点でガードを固める方法はあります。例えば、乗っ取られた端末が認証情報の複写や管理者権限へのアクセスといった動きを見せたら、そのプログラムやオペレーションを阻止。“ウイルス感染”とは別のレイヤで、不正行為につながる行動を検出できれば、機密データの流失は回避できるはずです。

「エンドポイントプロテクション」で総合力を上げる

多層防御を実現するキーワードは、「エンドポイントプロテクション(保護)」。100%のブロックが不可能なサイバー攻撃に対しては、エンドポイントの動きをしっかりモニターし、侵入時の被害の広がりをくい止めることが、システム全体の安全維持につながるのです。

(エンドポイント=PCなどのネットワークの構成機器)

未知のウイルスやゼロデイ攻撃がエンドポイントを襲っても、不審な動きをリアルタイムで検出できる体制があれば安心です。大量のログを管理できるリソースと、追跡・分析するフォレンジック機能、さらにすべてのエンドポイントに均質なセキュリティ機能を供給するためのバックボーンも整備したいところです。

いつ、どのような手口で、攻撃をしかけてくるか分からない敵に対しては、エンドポイントの監視と保護を軸に、守る側の“総合力”を高めていく手法がいま重視されているのです。

2019年版グローバル脅威レポート:エグゼクティブサマリー

脅威ハンティングの最前線
2019年版グローバル脅威レポート: エグゼクティブサマリー

RELATED POST関連記事


RECENT POST「標的型攻撃」の最新記事


標的型攻撃が鎮静化しない理由は? ~一歩先を行く敵から身を守る~
セキュリティ侵害を防止する革新的システム

RANKING人気資料ランキング

RECENT POST 最新記事

ブログ無料購読

RANKING人気記事ランキング