「サイバー攻撃解説」標的型攻撃の手法とその対策について

2017年10月11日(水) ノウハウ

ある特定の企業の情報を奪取しようと企み、ありとあらゆる手段を用いて計画的に行われるサイバー攻撃のことを標的型攻撃と呼びます。
かつてサイバー攻撃で多かった個人による愉快犯的な攻撃ではなく、組織的な犯行で、顧客情報、知的財産等の重要な情報を不正に取得することを目的とすることが特徴です。このようなことから、主に政府、官公庁、企業といった重要な情報を持つ組織が標的となっています。

さらに、目的を達成するまで執拗に攻撃を仕掛けてくるという特徴もあります。対象となる企業の従業員の油断を誘い、目的の達成をするまで執着し続けます。
前回の記事では標的型攻撃がどういったものなのかを解説しました。
今回は攻撃の特徴を深堀するとともに、対策方法についても再度おさらいをしていきましょう。

標的型攻撃の特徴

攻撃は以下の4段階を経て遂行されることが多いと言われています。
複雑な過程により根本的な解決を難しくしています。

①初期潜入段階

攻撃者が行う代表的な手法としては、以下の3つがあります。

■その1 メールに不正プログラムを添付して直接送りつける
攻撃者は、関係者や関連業務を装うことで標的ユーザを信用させ、添付された不正プログラムを開かせます。

■その2 利用者がよく訪れるWebサイトの改ざん
攻撃者は、特定の攻撃対象組織からの閲覧者に限ってウイルスを感染させるようにWebサイトを改ざんします。
ユーザーはいつも利用しているWebサイトだと思い込んでいるので、特に注意することもなく、疑うこともしないため、標的型攻撃の被害を受けやすいです。

■その3 不正プログラムを含むUSBメモリを持ち込む
ソーシャルエンジニアリングなどを利用し、不正プログラムを含むUSBメモリを持ち込ませます。
その後、USBメモリ内の不正プログラムを実行させるように仕向けます。または、USBメモリをPCに挿入するだけで不正プログラムが実行されるようにしておきます。

②攻撃基盤構築段階

バックドア型不正プログラムが標的内端末へ感染します。次に、バックドア型不正プログラムは外部サーバと通信を行い、内部活動を行う新たなウイルスがダウンロードされます。これにより、次のシステム調査段階に進む準備が完了します。

③システム調査段階

内部活動を行うウイルスによってネットワーク内の情報を探索することにより、情報の存在箇所が特定されます。
これにより、攻撃者は最終的に目的を遂行するためにはどのような手段をとるべきかが明らかとなります。

④攻撃最終目的の遂行段階

攻撃専用のウイルスのダウンロードが実行され、重要情報の収集、収集した重要情報の外部入手といった攻撃を遂行します。

標的型攻撃の対策方法について

①管理体制の強化

企業にとって価値の高い情報資産はどこにどれだけあるのか定期的に棚卸し、守るべき対象を明確にします。そして該当の資産に対してどのようなリスクがあるか分析した上で、セキュリティポリシー策定とその実行を行います。
また、攻撃はITの技術的な手法だけでなく、ソーシャルエンジニアリングといった手法も利用されます。このようなことから、ユーザ一人ひとりが高いセキュリティ意識を持つことが必要です。このためには、ユーザに対するセキュリティ教育や注意喚起を継続して実施しなければなりません。

②侵入検知・遮断

システムへの入り口での防御として、ファイアーウォールとIDS/IPSは有効です。
もしシステム内にインターネットにつながるWebサイトがある場合はWAF(ウェブアプリケーションファイアーウォール)も必要でしょう。
これにより、Webアプリケーションの脆弱性を利用した攻撃を検知・遮断します。

③セキュリティソフトの導入

既知の脆弱性にはウイルス対策ソフトといったセキュリティソフトで対応可能です。
ただし、常に最新パターンが適用されているかの監視は不可欠です。
また、未知の脆弱性には対応できないことにも注意しなければなりません。
したがって、もし攻撃が防げなかった場合も想定しておく必要があります。

事業に及ぼす影響を低減する

事業に及ぼす影響の低減としては、まずはスムーズで確実な対外発表、関係機関への報告を行います。
このためには、事前に情報資産の棚卸しができていること、訓練により被害が発生した際のシミュレーションを行い、スムーズに対応できる準備ができていることが必要です。
同時に、被害状況の確認を実施します。
ネットワーク、サーバのログと情報資産へのアクセスログを取得し、これらを分析し、全体像を把握します。
この際、被害の全容を可視化できるツールが導入されていれば、より全体像の把握がスムーズになるでしょう。
その後、復旧作業に進みます。
調査結果や影響等をふまえ、関係者の事業継続を優先した上で最短の時間で最低限の機能から復旧させます。
スムーズな復旧を可能にするためには、日常から訓練することにより、実際に被害が発生した際に迷うこと無く復旧作業ができるようにしましょう。

Writer:SecurityTIMES編集部