キヤノンMJ/サイバーセキュリティ情報局
企業はどのように標的型攻撃と対峙すべきか
本記事はキヤノンマーケティングジャパンが提供する「サイバーセキュリティ情報局」に掲載された「標的型攻撃とは?どのような手口で攻撃を行うのか?」を再編集したものです。
特定の企業を狙う標的型攻撃が、ニュースでも頻繁に取り上げられている。企業活動がデジタルへとシフトするのに伴い、攻撃者にとって標的型攻撃を行なうメリットは高まっている。こうした状況を前提に、企業はどのように標的型攻撃と対峙すべきか。この記事では、標的型攻撃の実情とその対応策について解説する。
標的型攻撃をめぐる実情
サイバー攻撃は「罠にかかるユーザーが一定の確率で発生する」という前提をもとにした不特定多数を狙った攻撃から、ターゲットを限定して「個別に最適化した罠にかかる確率を上げる」ことに悪知恵を働かせる、標的型攻撃へと進化しつつある。標的型攻撃では、特定のターゲットを攻撃の対象として、さまざまな手法を駆使して被害を与える。
標的型攻撃の代表的な手法が、メールを用いた標的型メール攻撃だ。標的型攻撃が国内の一般ユーザーに注目されるようになったきっかけは、2015年に発生した行政機関における個人情報流出事件だろう。実に125万件近くもの個人情報が流出したとされるこの事件は、マルウェア感染を狙った従業員宛のメールがきっかけとなって生じている。
最近では、標的型攻撃の狙いは多様化している。換金を狙ったデータの取得、身代金目的でのデータ窃取、政治的な狙いを持ったものまで広範囲に及ぶ。自社には狙われるような重要なデータが存在しないと考える中小企業も少なくないが、中小企業を踏み台として、取引のある大規模な企業・組織を狙うサプライチェーン攻撃という手法を用いる場合もある。企業・組織の規模を問わず、標的型攻撃に狙われる可能性は高まっているのだ。また、攻撃に要するコストが総じて低下したことで、中小企業を狙っても「コストを回収できる」見込みが高まっているという背景もある。
サイバー攻撃者が標的型攻撃を行なう主たる理由は、成功で得られる対価が大きいことだ。すなわち、攻撃に要するコストや生じるリスクと比較してリターンが大きく、いわゆる「ローリスク・ハイリターン」の様相を呈している。最近では、高い技術力を持ち合わせていなくても、ダークウェブなどで攻撃用のツールや情報を購入できるようになってきた。企業では、こうした実態への理解を深め、標的型攻撃への脅威に対策を講じる必要がある。
複数のプロセスを経て実施される標的型攻撃
巧妙化する標的型攻撃は、複数のプロセスを経るのが一般的だ。攻撃者は攻撃対象に合わせて、具体的に攻撃計画を練り上げる。以下、IPAの発行する「攻撃者に狙われる設計・運用上の弱点についてのレポート」 を参照し、それぞれのプロセスについて解説していく。
1) 計画立案
攻撃の対象とする企業や組織について情報収集を行なう段階だ。入手した情報をもとに、どのような攻撃が効果的なのか、分析・検討する。
2) 攻撃準備
攻撃対象の分析・検討結果をもとに、侵入するための準備を行なう。効果的な攻撃手法が選定され、そのための具体的なツールとして、マルウェアなどが準備される。自らツールを作成できない場合でも、最近ではダークウェブ経由でRaaS(Ransomware as a Service)として攻撃ツールを調達できる。
3) 初期潜入
先述のような方法で準備されたマルウェアを送り込み、攻撃対象への攻撃を開始する。基本的にはメールやウェブ経由でマルウェアを送り込むが、最近では標的型メールを悪用するケースも増えている。
4) 基盤構築
前段階でマルウェアに感染させた後、侵入した端末にバックドアを設置。外部のC&Cサーバーとの通信可能な環境を構築し、端末は攻撃者から遠隔操作できる状態となる。この段階では多くの場合、ユーザーは異変に気づかない。
5) 内部侵入・調査
侵入した端末内でシステム内部の情報収集を進める。IDやパスワードを窃取して組織内で侵入できる端末を増やせる場合、並行して侵入し、同様に情報収集を行なうなど、横展開することで侵入領域の拡大を図る。
6) 目的遂行
侵入した端末を遠隔操作して、機密情報などシステム内の必要なデータをC&Cサーバーへ送信する。クライアント、送信経路での検知を回避するために、ファイルを分割して送付するなど、巧妙に外部へ送り出す。また、攻撃計画にもとづいた攻撃を完遂後、そうした痕跡を抹消し、証拠隠滅を図る。
7) 再侵入
繰り返しの侵入が攻撃者にとってメリットが得られる場合、以前の侵入時に作成したバックドアを用いて再侵入する。
標的型攻撃に用いられる具体的な手法
多様化する標的型攻撃だが、具体的にどのような手法がとられているのだろうか。ここでは標的型攻撃に用いられる代表的手段について紹介する。
・ソーシャル・エンジニアリング
ソーシャル・エンジニアリングとは、人の心の隙やミスに付け込み、個人情報やパスワードなどを不正に入手しようとする手法のことだ。例えば、電話口で上司の声色になりすましてパスワードを聞き出す、あるいはごみ箱を漁って重要な情報が記載された書類を入手するといった手法で情報を詐取しようとする。
内部記事リンク:クラッカーの常とう手段、ソーシャル・エンジニアリングとは
https://eset-info.canon-its.jp/malware_info/special/detail/200317.html
・標的型メール
標的とするユーザーの業務環境に応じて、件名や本文、送信元を偽装したメールを送り付ける。メールサーバーに侵入し、やり取りの途中のメールに割り込み、返信を偽装するといった手の込んだ手段がとられることもある。件名や文面に真実味を持たせることで、添付ファイルを実行させたり、用意したウェブページにアクセスさせたりして、マルウェアのインストールを試みる。
標的型メールとは?巧妙化する手口とその対応方法
https://eset-info.canon-its.jp/malware_info/special/detail/190725.html
・マルウェア
標的とする企業や組織ごとに効果的なマルウェアを選定し送り込む。このため、従来型のアンチウイルスソフトでは、検知・駆除できないことも多い。最近では、ランサムウェアに感染させ、データを人質に金銭を要求するケースも増えている。
・バックドア
バックドアとは攻撃を仕掛けるための裏口のことで、知らず知らずのうちに端末に仕掛けられてしまう危険性がある。多くの場合、マルウェアが端末内にバックドアを構築する。さらに、マルウェアはバックドアを経由して外部のC&Cサーバーと通信し、それらの指示を受けるなどして攻撃を仕掛ける。
・ゼロデイ攻撃
発見・公表されていないソフトウェアの脆弱性を悪用し、仕掛ける攻撃のこと。脆弱性が明らかになる前に、修正プログラムが提供されていない「ゼロ日」のタイミングで攻撃を仕掛けることから、ゼロデイ攻撃と呼ばれるようになった。ゼロデイ攻撃に悪用可能な脆弱性は、ダークウェブなどで入手できる場合もある。
標的型攻撃で悪用されるWindowsのゼロデイ脆弱性をESETが見つける
https://eset-info.canon-its.jp/malware_info/trend/detail/190723.html
標的型攻撃を防ぐために必要なこと
標的型攻撃は巧妙に計画が練られ、執拗に攻撃が行なわれるため、限定的な対策では防ぐことが難しい。以下のような対策を自社の実情に合わせて複合的に実施する必要がある。
・エンドポイントセキュリティの導入
基本的なセキュリティ対策となるが、エンドポイント、すなわち従業員のパソコンやスマートフォンなどの端末を保護することが重要だ。適切なソリューションを導入することで、マルウェア感染を抑制できるだけでなく、仮に感染した場合でも不正な通信を検知・遮断できれば、外部への情報漏えいリスクは抑えられる。
内部記事リンク: エンドポイントにおける主要な3つのセキュリティ対策とは
https://eset-info.canon-its.jp/malware_info/special/detail/211222.html
・ゲートウェイセキュリティの導入
近年のマルウェアの巧妙化は著しい。多くの場合、まずマルウェアのダウンローダーが先に侵入し、頃合いを見てマルウェア本体をダウンロードする。また、感染端末での活動においても、外部への通信時に不正な通信と検知されないよう狡猾な手法を用いる。こうした通信を出入口で監視し、時に遮断するなどしてリスク回避を目指すのがゲートウェイセキュリティの考え方だ。
ゲートウェイセキュリティとその重要性とは?
https://eset-info.canon-its.jp/malware_info/special/detail/210302.html
・従業員教育
標的型攻撃における初期の攻撃は、ソーシャル・エンジニアリングや標的型メールを通じて、従業員に対して行なわれる。従業員がセキュリティに対する意識を高め、普段から攻撃へ備えておくことで、被害を防げる可能性は高まる。標的型メールに対抗するため、「標的型メール訓練」がサービスとして提供されている。従業員の目利きの力を養うために、そうした訓練サービスを検討するのも一考だ。
・セキュリティログ分析サービスの利用
標的型攻撃では、先述した攻撃の各段階が実行に移される過程で、企業や組織のネットワークへの接触が繰り返される。そのため、ネットワークをリアルタイムに監視し、分析することで不審な接触を検知できる可能性が高まる。こうしたセキュリティ脅威を検知・分析することを目的とした組織をSOC(Security Operation Center)と呼び、自社内へ設置するケースが大企業では増えている。ただし、分析には高度なセキュリティ人材が求められるため、中小企業などではアウトソーシングする企業も少なくない。
・インシデント対応の専任組織を設置
どれほどセキュリティ対策を万全にしていても、標的型攻撃のターゲットになると、成功するまで執拗に繰り返される攻撃を完全に防ぐことは困難だ。そのため、仮に攻撃を受けた場合でも、被害を最小化するための対策を講じておく必要がある。こうした概念を「インシデントレスポンス」と呼ぶ。
最近では、CSIRT(Computer Security Incident Response Team)を設置し、インシデント発生時に原因の特定と影響範囲の明確化を速やかに行ない、被害の最小化を図ろうとする企業が増えている。攻撃の完全な防御が難しい状況を踏まえると、標的型攻撃への対策としてCSIRTの設置も検討する余地があるだろう。
内部記事リンク: SOCとCSIRTは何が違う?インシデント対応で求められる組織構成とは?
https://eset-info.canon-its.jp/malware_info/special/detail/210728.html
・EDRの導入
インシデントレスポンスの概念に基づき、侵入後の速やかな対応を可能にするソリューションがEDR(Endpoint Detection and Response)だ。組織内の端末それぞれの情報を収集し、不審な挙動を検知した場合、管理者に通知するため、速やかな対策が可能となる。
次世代のセキュリティソリューション?XDRとEDRの違い
https://eset-info.canon-its.jp/malware_info/special/detail/210817.html
当たり前のセキュリティ対策の一歩先へ
コロナ禍を受けた業務環境の急激な変化もあり、脆弱なデジタル環境を狙ったサイバー攻撃が増えている。要因はさまざまだが、一言でまとめれば攻撃者にとって「費用対効果が高い」状況にあることに尽きる。従来、手の込んだ標的型攻撃のような手法は一部の企業向けに限定されていた。あるいは、政治・外交目的など、攻撃者にとって別のメリットが得られる場合などだった。
しかし、現在は、情報の価値の相対的な向上に加え、攻撃ツールが安価に入手できるなど、コストを抑えた攻撃で見返りが大きいという、攻撃者にとっては「コスパが良い」状況だ。さらなるデジタルシフトが確実な時代において、先述のようなセキュリティ対策の重要性は高まっている。当たり前の対策を徹底し、その先を見据えた「一歩先を行く」対策を講じることが、今後のビジネスにおける重要なファクターのひとつとなりつつあるということを強く認識すべきだろう。