標的型攻撃の手口と企業に必要な対策

不特定多数を対象に攻撃し、セキュリティ対策の甘い企業を見つけると不正アクセスを試みるようなサイバー攻撃と違って、標的型攻撃は最初から対象とする企業や組織や個人を定め、重要データを盗み出すなどの目的も明確にした攻撃です。標的型攻撃の何が脅威なのか、どのような手口を駆使してセキュリティを突破しようとするのかなど企業に必要な対策とともに解説していきます。

企業が狙われる！ 標的型攻撃とは

標的型攻撃とは、何らかの目的を持って、特定の企業や組織などにターゲットを絞って行われるサイバー攻撃です。海外ではAPT（Advanced Persistent Threat）と呼ばれます。

攻撃対象は大企業や中小企業、政府、官公庁などです。日本では大企業や中堅企業がよく狙われ、中でも製造業が対象とされる率が高いとの報告があります。ただし、小企業への攻撃も一定数行われており、すべての企業が狙われていると捉えるべきでしょう。

主な目的は攻撃対象への嫌がらせ、または重要データの入手、または金銭的利益を得ることです。とくに重要なデータを盗み出し、そのことによって利益を得ようとするケースが最も多く、その場合は企業の機密情報や顧客の個人情報などが狙われます。

標的型攻撃を受け、重要データを盗まれると、企業などは知的財産の流出、情報漏えいによる信用失墜などの被害を受けることになります。また、単なる嫌がらせであっても、自社Webサイトの改ざんやサービスの停止、ほかのサイバー攻撃のための踏み台や中継用に利用されるなどの被害を受ける可能性があります。

標的型攻撃の手口

標的型攻撃の特徴は、不特定多数を狙う攻撃と比べて、周到な準備がなされ、段階を追って調査や潜入が行われ、目的を達するまで執拗に攻撃が繰り返されることにあります。

典型的なパターンとしては、攻撃目標として定められるとまず「標的型メール」が送られてきて、このメールが攻撃の起点となる事例が挙げられます。事前に攻撃対象が使用しているシステム、OS、セキュリティ対策、取引先、さらにはメールを受け取る個人の人間関係まで調べられているケースもあります。その上で差出人を偽装した添付ファイルや、Webサイトへのリンク付きのメールが送信されます。攻撃対象者が疑うことなく受信して閲覧しそうな差出人名や内容を捏造して送るのが標的型メールです。

受信者が添付ファイルを開く、あるいはWebページにジャンプすると不正なプログラムが実行され、マルウェアに感染した状態となります。その後は、感染した端末がサイバー攻撃用のサーバーであるC&C(コマンド＆コントロール)サーバーとの通信を始めて、さまざまな内部活動ツールなどをダウンロードしながら、ネットワークでつながったほかのPCやサーバーへの侵入などを試みるようになります。目的が重要情報の入手であればその保存場所を特定し、管理者権限の奪取などを通じてデータへとたどり着きます。

そして首尾よくデータにアクセスできるようになると、多くの場合、攻撃者は不正な通信が発覚しないようデータを小分けにして少しずつ外部へ送信します。このようにして情報が盗み取られ、目的が達せられるのです。

企業に必要な標的型攻撃への対策

では、標的型攻撃を防ぐには、企業はどのような対策を取るべきなのかを考えてみましょう。

OSやソフトウェアのアップデートを欠かさず、常に最新の状態に保つことや、マルウェアを検知して見つけ次第隔離するエンドポイントセキュリティ、未知既知問わず対応するOS型プロテクト型セキュリティなどの対策は必要です。

それに加えて標的型攻撃の場合は、攻撃対象となる組織や個人についての事前調査を行った後、標的型メールなどを送ってくるため、個人個人のセキュリティのリテラシーを高めることが非常に重要になります。不用意に添付ファイルを開かない、リンクをクリックしないなどの意識付けを徹底させるためのセキュリティ研修が必須です。標的型メールだけではなく、日常的に閲覧しているWebサイトを調べて不正プログラムを仕掛けられている「水飲み場攻撃」と呼ばれる手口もあります。このようにさまざまな可能性を疑うことができるだけの知識も求められます。

しかし、攻撃する相手に対して個別に最も有効なアプローチを考え出し、かつセキュリティソフトの検出機能などもすり抜けるような方法を駆使してしつこくアタックを仕掛けてくるのが標的型攻撃の特徴です。一般的なセキュリティ対策だけではなかなか防ぎきれるものではありません。

そこで昨今では、セキュリティソフト（アンチウイルスソフト）やファイアウォールによる入り口対策だけではなく、メールサーバーにおける標的型メールの検出や外部への不正通信・接続の検出を行って阻止するようなツールを使って、二重三重の防御態勢を構築する企業が増えています。とくに重要データや正常なシステムの動作を守ることに主眼を置き、たとえマルウェアの感染や不正アクセスがあったとしても外部に情報を漏らさないような出口対策を行うセキュリティツールの重要性が高まっています。

一般的なセキュリティ対策をし、サイバー攻撃に備えているつもりでも、標的型攻撃はそれらを巧みに回避しながら目的を達しようとします。たとえ攻撃を受けたとしても、被害をゼロに食い止め、自体を深刻化させないための防御体制を整えてください。

AppGuardはシステムに害を与えるプロセス動作を阻止する、あるいはOSのやソフトウェアの正しい動作を守るなどの、従来のセキュリティソフトとは異なるアプローチにより、標的型攻撃や未知の脅威にも対応できるようなセキュリティソリューションを提供します。標的型攻撃から重要なデータを守るための最終防御壁として、ぜひ導入をご検討ください。

OSプロテクト型セキュリティ「AppGuard」の詳細はこちら

AppGuardで感染対策を！