目次
サイバー攻撃は、情報通信技術を媒体とした攻撃の総称になります。目的、手段、手法、規模は多岐にわたり、個人がいたずらで行うものもあれば、国家レベルで行われているものもあるとされています。IPAが毎年公開している「情報セキュリティ10大脅威」では、サイバー攻撃の中でも特に脅威とされるものが順位付けされています*1。本稿ではその中でも上位に位置し、企業において大きな脅威となっている標的型攻撃について記載します。
標的型攻撃とは?定義やリスクを解説
標的型攻撃とは?
標的型攻撃とは、特定の企業をターゲットにした攻撃のことです。複数の企業に対して攻撃を行うのではなく、ターゲットを絞ることで攻撃の成功率を高めています。特に攻撃手段にメールを媒体とすることが多く、標的型攻撃メールと呼ばれています。
標的型攻撃と対比して、複数の企業に行う攻撃のことをばらまき型攻撃と言います。ばらまき型攻撃は無差別に攻撃を仕掛ける方法になりますが、標的型攻撃には明確な意図をもって特定の企業を狙う傾向があります。
標的型攻撃のリスク
攻撃の成功率から考えると、ターゲットを絞らず複数企業に対して攻撃を行うばらまき型攻撃よりも、標的型攻撃の方が脅威であると考えられます。
標的型攻撃を行うサイバー攻撃者は特別な意図をもって特定の企業を狙うため、当該企業向けに特別に用意した攻撃を行います。攻撃に取り入れられる工夫は様々ですが、ばらまき型攻撃よりも攻撃の成功率が高くなります。理由は、攻撃を仕掛けるのにメールを用いる場合、メールの本文にはターゲット個人に関連する情報やターゲットしか知り得ないような情報が含まれているケースがあるためです。
APT攻撃との違い
標的型攻撃と似た攻撃にAPT攻撃があります。APTはAdvanced Persistent Threatの略称であり、高度標的型攻撃のことです。
標的型攻撃との明確な区別は難しいですが、文字通り標的型攻撃よりもさらに高度な攻撃となります。利用される攻撃手法が従来よりどの程度高度であるかだけでなく、ターゲットの調査などの準備から攻撃の実施までが特に慎重で長期間にわたって行われている場合でもAPT攻撃と呼ばれる傾向にあります。また、国家レベルへの攻撃のケースは高度標的型攻撃であることが多く、国の支援を受けた攻撃集団はAPTxx(xxに数字)と呼ばれています。
標的型攻撃の始まりと言われる事件
標的型攻撃はいつから始まったのでしょうか。前述した「情報セキュリティ10大脅威」の2007年版では、2006年に流行った脅威として「表面化しづらい標的型(スピア型)攻撃」というキーワードが初めてランクインしており、特にメールを利用した標的型攻撃メールについて言及されています*2。
表面化しづらいというのは、メールの内容がターゲットに関係する内容であり不自然なところがないことや、不特定多数に送り付けることがないため利用されたマルウェアなどが公にならないことを意味しています。このころ標的型攻撃が出現し始めたようで、当時これを注意喚起する記事が複数確認できます*3,4。
2005年に発生した不正送金被害の事例も標的型攻撃であったと言えます。インテリア商品を販売する企業の社長は販売しているインテリアに関する苦情のメールを受信し、添付ファイルを開いてしまいマルウェアに感染しました*5。ターゲットとなった企業にしか送られないマルウェアであったため、シグネチャは存在せず検知が不可能でした。こうした事例が多く出始めたこともあり、シグネチャに依存しない防御手法の開発が急がれるようになったようです*6。
ゼロデイ攻撃や未知・新種のマルウェア対策も可能なMorphisecに関するPDF資料がダウンロードできます。
・標的型攻撃対策Morphisec概要資料・ゼロデイ攻撃の基礎と具体的な対策方法・Morphisecが防いだ新種・亜種の命名されたマルウェア一覧・Morphisecとアンチウイルスソフトの6つの違い標的型攻撃の目的と狙い
標的型攻撃の目的はなんでしょうか。不特定多数の企業をターゲットとしてばらまくのではなく、特定の企業のみを狙った攻撃であるため、その目的も明確であるはずです。
ただしその目的は一通りではありません。
攻撃者の意図によっていくつもの目的が考えられます。業務妨害、機密情報の窃取、金銭要求、政治的なメッセージ(ハクティビズム)など多岐にわたります。また、ターゲットとなる企業の評判を落とし、株価に影響を加えることで利益を得ようとするサイバー攻撃の存在も考えられるでしょう。
標的型攻撃の仕組み
攻撃方法・手法の種類
標的型攻撃は特定企業をターゲットにした攻撃のことです。その攻撃方法や手法に限りはありません。一番考えやすいのはメールを用いた攻撃でしょうか。ターゲットのメールアドレスや特徴の調査を進めることで、比較的容易に攻撃を仕掛けることができます。
新型コロナウイルス感染症の流行によりリモートワークが推進された時期に、インターネット上に公開されたリモートデスクトップサービスに対する攻撃も増えてきました。事例としてはあまり多くはないと思いますが、ターゲットのIPアドレスを推測することで、侵入が可能になるかもしれません。
USBドロップという手法も標的型攻撃の一種と考えられます。USBドロップはマルウェアなどを格納した悪意あるUSBデバイスをターゲットに渡す攻撃で、ターゲット自身にUSBデバイスをPCに接続させることで感染を発症させます。USBデバイスを渡すやり方は複数あると思いますが、その名の通りターゲットの職場の近くにUSBデバイスを落としておいたり、郵送したり、何らかの会合で直接手渡すなどが考えられます。
攻撃の手順・流れ
不特定多数に仕掛けるような攻撃とは違い、標的型攻撃を行う攻撃者はターゲットを事前に選定し、必ずターゲットのことを入念に調べています。
そのうえで攻撃が成功しやすい方法を練り上げてから、そのターゲットだけに攻撃を仕掛けてきます。例えば標的型攻撃メールの場合、メールを送り付ける相手のメールアドレスを知る必要があります。企業によっては従業員のメールアドレスのつけ方には法則があり、推測できるかもしれません。相手のメールサーバに問合せを行うことで、推測したメールアドレスの有無を確認できるケースもあります。一般的に公開されている情報源を利用することでも標的のことを調べる手段となります。
そうして相手の情報を集めたあとは、相手に相応しい内容のメール文、開かざるを得ないような添付ファイルなどを作りこみ、攻撃を仕掛けてきます。標的型攻撃の特徴からして、攻撃者はそのような準備に時間を費やしていると考えられます。
標的型攻撃の特徴(メールでの攻撃の特徴)
標的型攻撃メールは、不特定多数に送付されるメールと違い、特定の相手に送付されるメールです。そのためターゲットに関係するメールであることが一般的です。
現状ではメールに怪しい箇所が残ることが多いようで、その不自然さを見抜くための標的型攻撃メール訓練サービスという教育サービスもあります。
しかし、標的型攻撃の特徴を突き詰めると、ターゲットにとって何も怪しいところのない普通のメールが送られてくる可能性は否めません。その可能性を考えると、従業員の教育によりメールをそもそも開かないというアプローチで攻撃を未然に防ぐことは不可能であると捉えた方がいいでしょう。
ゼロデイ攻撃や未知・新種のマルウェア対策も可能なMorphisecに関するPDF資料がダウンロードできます。
・標的型攻撃対策Morphisec概要資料・ゼロデイ攻撃の基礎と具体的な対策方法・Morphisecが防いだ新種・亜種の命名されたマルウェア一覧・Morphisecとアンチウイルスソフトの6つの違い標的型攻撃のメール例
2015年にIPAが公開したレポート「標的型攻撃メールの例と見分け方」を参考にしてみます*7。
当レポートによると、やはり標的型攻撃のメールはターゲットにとってメール本文のURLや添付ファイルを開かざるを得ないような内容になっていますが、いくつかの怪しい点は確認できるようです。
- 差出人のメールアドレスがフリーアドレスである。
- メール本文に、通常では利用されない(日本では見慣れない)字体の漢字がある。
- URLのテキストと、テキストに貼られたリンク先のURLが異なる。
- 不自然な日本語である。
こうした特徴を見かけたときは、攻撃者からのメールである可能性が高く、より注意を払う必要があります。
標的型攻撃の対策方法
標的型攻撃への対策について記載します。
標的型攻撃メール訓練サービス
標的型攻撃メールへの対策に限られますが、標的型攻撃メール訓練サービスがあります。最近では、悪意あるメールが従業員に届かないようにメールフィルターを採用する企業は数多いと推測できます。しかし、どうしてもメールフィルターをすり抜けて従業員に届いてしまうメールもあるのが実情です。結局は従業員が届いてしまった攻撃メールを開封しなければ(開封せずとも攻撃を成立させるような脆弱性を悪用した攻撃でなければ)、攻撃は未然に防げるようになります。
そのアプローチで有効なのが標的型攻撃メール訓練サービスです。このサービスは従業員を教育し、従業員が攻撃メールに自ら気付けるようになることで攻撃の発生を未然に防ぐことを目的としています。ただし人の判断に頼るだけでは限界があり、標的型攻撃の特色からして見抜くことも困難になる可能性も高く、セキュリティシステムを利用して対策を行うことも重要になってきます。
静的解析
標的型攻撃ではほとんどの場合でマルウェアが用いられます。マルウェアを防ぐための解析手法を大きく区分すると、静的解析と動的解析の2つです。静的解析はマルウェアを動かさずに解析する手法です。多くのアンチウイルスソフトが実装しているシグネチャによるパターンマッチングもマルウェアを動かす必要がないことから、ここでは静的解析に分類します。シグネチャはマルウェアの手配書のようなもので、すでにマルウェアと分かっているものに対して有効な手法になりますが、標的型攻撃ではターゲット用にカスタマイズしたマルウェアが初めて利用されます。つまり手配書が存在するはずもないため、標的型攻撃においては有効な手段ではないと言えるでしょう。
静的解析の他の手法として、ファイルの中身を解析してマルウェアらしい特徴があるかを判断する手法(機械学習)もありますが、同じように用いられるマルウェアが新しいものだと、解析エンジンがマルウェアと判断できないこともあるため注意が必要です。
動的解析
動的解析は、ファイル(プログラム)を動かして、その動作を見ながらマルウェアであるかを判断する手法になります。ふるまい検知やサンドボックスと呼ばれる手法がこれに該当します。一つ一つの動作を常に監視するため、端末に対して少なくない負荷を与える傾向があります。また静的解析と同様に解析エンジンのアップデートが必要であり、新しいマルウェアに対しては有効にならない可能性がある点は注意が必要です。
ゼロデイ攻撃や未知・新種のマルウェア対策も可能なMorphisecに関するPDF資料がダウンロードできます。
・標的型攻撃対策Morphisec概要資料・ゼロデイ攻撃の基礎と具体的な対策方法・Morphisecが防いだ新種・亜種の命名されたマルウェア一覧・Morphisecとアンチウイルスソフトの6つの違い標的型攻撃の被害事例
標的型攻撃のターゲットであったとされる被害事例を紹介します。
事例1:製造業 自動車メーカー
2020年6月に発生した、EKANSランサムウェアによって一時的な操業停止に追い込まれた事例も、標的型攻撃あったと言えます。マルウェアの侵入経路は明らかにされていませんが、利用されたマルウェアは自身がどのネットワークに存在しているかを把握し、標的のネットワークに入り込んだ時のみ暗号機能が発症するようになっていました。標的のネットワークでしか攻撃を発生させない仕組みは、公になることで対策が迅速に進むことを避ける工夫だったのではないかと推察します。
事例2:製造業 イラン国の核施設
2010年、マルウェアによりイランの核施設の遠心分離機が破壊されました。核施設は隔離された環境にあり、外部からの侵入が困難とされていました。マルウェアStuxnetはその環境に対してUSBデバイス経由で侵入したとされています。施設内にある遠心分離機の破壊を明確な目的とし、ターゲットにUSBデバイスを利用させる手口は標的型の攻撃であったと言えます。
事例3:自治体
2015年5月に日本年金機構で発生した約125万件の情報漏洩は、標的型攻撃メールが本格的に知れ渡るきっかけになったインシデントであったと思います。攻撃者から送られたメールの件名は「厚生年金基金制度の見直しについて(試案)に関する意見」などであり、本文含め受信者にとって非常に興味深いものでありました*8。
最新の標的型攻撃の手口やトレンド
以前は標的型攻撃とばらまき型攻撃を比較する記事が多く見られたのですが、最近は少なくなってきたように感じます。標的型攻撃メールでは特定のターゲットに関連した内容を件名や本文に組み込みますが、その反対にばらまき型攻撃ではその反対で不特定多数に送るメールであるため、汎用的なメールになりがちです。しかし、近年流行したマルウェアEmotetではどうでしょうか。Emotetは感染した端末からメール情報(送信元、送信先、件名、本文など)を窃取し、過去のメールを引用した形で関係者に攻撃メールを送りつけます。攻撃者が件名や本文を選定することなく自動で、過去に実際にやり取りのあったメールが悪用されます。それはばらまき型よりも標的型に近しい攻撃であったと言えます。
AIを利用したディープフェイクやフェイクニュースといった偽情報に関するニュースを最近多く見るようになりました。メールを用いた攻撃についてもEmotetのように、それぞれのターゲットに合わせた攻撃が自動的に採用されるようになるかもしれません。そうなると標的型やばらまき型といった境目がなくなり、受信者自身で攻撃の有無を判断することがより難しくなるため、さらに新しいセキュリティシステムに頼る必要性が出てくると予想されます。
未知の標的型攻撃にも効果的な対策方法「Morphisec」
標的型攻撃の脅威は未知のマルウェアが用いられることにあります。未知のマルウェアを防ぐには過去の知見に依存した防御手法では困難になります。
Morphisec(モルフィセック)は、特許技術である「Moving Target Defense(MTD)」により、従来の手法とは全く異なる防御手法を用いて、あらゆる攻撃をリアルタイムで防御し、かつ運用上の問題となる誤検知をほぼ発生させない製品です。また、アンチウイルス製品のようにシグネチャなど知見に依存しないため、頻繁なアップデートを必要としません。そのため、Morphisecは標的型攻撃のような未知のマルウェアを防ぐことが可能になっています。
ゼロデイ攻撃や未知・新種のマルウェア対策も可能なMorphisecに関するPDF資料がダウンロードできます。
・標的型攻撃対策Morphisec概要資料・ゼロデイ攻撃の基礎と具体的な対策方法・Morphisecが防いだ新種・亜種の命名されたマルウェア一覧・Morphisecとアンチウイルスソフトの6つの違い脚注(参考文献一覧)
※1 IPA| 情報セキュリティ10大脅威 2021(参考:2022-01-07)
※2 IPA| 情報セキュリティ白書2007年版 -10大脅威「脅威の“見えない化”が加速する!」(参考:2022-01-07)
※3 日経クロステック| 「警察を標的にしたスピア型フィッシング・メールが増加」(参考:2022-01-07)
※4 Internet Watch| 日本でもスピア型ウイルス、「対日アンチダンピング情報」装うメール確認(参考:2022-01-07)
※5 ITmediaエンタープライズ| 「防ぎようがなかった……」、ネット銀不正引き出しの被害者語る(参考:2022-01-07)
※6 CNET Japan| 「確率は低いが被害は甚大」--脅威を増す標的型攻撃(参考:2022-01-07)
