2016.07.26(火)

「標的型攻撃」について犯罪者目線で深堀り

製品・サービス・業界動向 業界動向

セキュリティ業務に携わる方であれば耳にタコが出来るほど聞く、「標的型攻撃」。不正に情報窃取される標的型攻撃の意味を正しく理解いただくために今回は、この標的型攻撃の真意について“犯罪者目線”で深堀してまいりましょう。

●標的型攻撃を定義する

そもそも標的型攻撃とは一体なんでしょうか? 筆者がセミナーなどで参加者に伺うと、「ターゲットの組織をピンポイントで狙った攻撃」とか、「標的型メールを使った攻撃」とか、「ウェブアクセス時にマルウェアを気付かない内にダウンロードし、PC端末がマルウェア感染してしまう攻撃」とか、いろいろな回答を得ることが出来ます。すべて間違いでないですし、同時に必ずしも正解ではありません。

経営者の目線から見たとき「ITシステム利用におけるセキュリティ脅威とは何か?」をここ数年ヒアリングしていますが、答えは2つのカテゴリに集約できます。一つは組織が守らなければならない情報資産が不正に窃取される脅威(情報漏洩)、もう一つはITシステムの可用性が著しく低下する(例:ウェブサイトのDDoS攻撃)脅威です。さらに各カテゴリ毎に、内部犯行によるものか、外部犯行によるものかに分解できます。

ではよく耳にする標的型攻撃とはどのカテゴリに含まれるのでしょうか? もうお気づきのように「情報漏洩」カテゴリの「外部犯行」に該当します。

情報漏洩カテゴリの内部犯行の例は、最近ニュースとなりましたYJFX社の元従業員による顧客情報の持ち出しが該当します。公開ウェブサイトの可用性低下を狙うDDoS攻撃は大半が外部犯行によるものであり、ターゲットを明確にした攻撃なので、こちらも標的型攻撃になります。

さて前置きが少々長くなりましたが、今回は、情報漏洩カテゴリの外部犯行に該当する標的型攻撃に関して深堀してまいりましょう。

●標的型攻撃メール

標的型攻撃によって不正に情報が窃取される典型を“犯罪者目線”で解説します。まず犯罪者は情報窃取したいターゲット(組織)を絞ります。ターゲットが決まりますと、その組織のITシステムへ不正に侵入するためマルウェア(ウイルスの不正プログラム)を作ります。そしてそのマルウェアをターゲットの従業員のPCへ感染させるべく、メールにマルウェアを添付したり、仕込ませたり、あるいは不正なURLを画像などの裏に隠蔽してメールに添付したり、何としても従業員にクリックさせようとします。それがいわゆる標的型攻撃メールというものです。

また最近はランサムウェア(マルウェア感染するとPCのディスクが暗号化されてしまい、復号するために犯罪者へお金を支払う必要がある)の被害が増加しています。ランサムウェアの場合は、特定のHPにアクセスさせて知らぬ間にマルウェアをダウンロードさせ、PCをマルウェアに感染させてしまいます。いわゆるウェブアクセスによるマルウェア感染であり、ターゲットの範囲が広いので無差別型攻撃といえます。

国内のインシデントレスポンスの実情をみると、ITシステムを乗っ取る(例:ADなど認証サーバの権限を不正に奪う)攻撃の多くは、メールによる標的型攻撃が主流です。

●未知のマルウェア感染

標的型攻撃メールによってターゲット組織のPCへマルウェア感染を成功させると、次にマルウェアは、組織内のシステム状況や情報窃取を実施するために、各システムへ不正にアクセスするための権限を奪う活動に切り替わります。ここから先は、組織のセキュリティ設定や運用の脆弱な部分が狙われるので、様々な攻撃手法が存在します。最終的に情報資産が保存されているシステムへアクセスする権限を奪い、組織の人間になりすまして不正に情報を窃取します。これらの活動をすべてインターネット越しに実施します。

本来は、標的型攻撃メールによるマルウェア感染を未然に防ぐため、インターネットGWにFWやIPS、次世代型FW、各種コンテンツフィルタがあり、内部にはウイルス対策製品が実装されています。しかし残念なことに、これらの防御システムをすべてすり抜けてしまう攻撃が、大規模な情報漏洩事故に発展しています。いわゆる“未知のマルウェア感染”という、セキュリティ担当者を最も悩ませる攻撃です。

次回はこの未知のマルウェア感染に対してどのように対応していくのか、最新のセキュリティ技術や運用手法を解説しましょう。

【連載:サイバーセキュリティ】いまさら聞けない犯罪者目線による“標的型攻撃”の真意

《楢原 盛史@東京IT新聞》

編集部おすすめの記事

特集

製品・サービス・業界動向 アクセスランキング

  1. 日本発のクラウドセキュリティ認証がISO 27017として発行、ISMS認証も対応(JIPDEC)

    日本発のクラウドセキュリティ認証がISO 27017として発行、ISMS認証も対応(JIPDEC)

  2. アライドテレシスのUTM&VPNルータに、ラックの「脅威情報リスト」を提供(ラック)

    アライドテレシスのUTM&VPNルータに、ラックの「脅威情報リスト」を提供(ラック)

  3. 「Pokemon GO」の日本配信に伴い安全対策を公開、規約を違反したユーザーにはペナルティも(ポケモン)

    「Pokemon GO」の日本配信に伴い安全対策を公開、規約を違反したユーザーにはペナルティも(ポケモン)

  4. 32種のセキュリティ事故に立ち向かう無償ボードゲーム、CSIRT 演習用(トレンドマイクロ)

  5. サンドボックス機能を導入したエンドポイントセキュリティサービス(エフセキュア、ソフトバンク)

  6. 「ポケモンGO」に関する注意喚起、ハッカーへの警戒や出会い系アプリに発展する危険性なども記載(NISC)

  7. 独自構造のサンドボックスをSaaS型セキュリティサービスに採用(フォーティネットジャパン)

  8. 神社境内地での「Pokemon GO」プレイを禁止に(出雲大社)

  9. 専任IT管理者がいない中小企業向けに、UTMを中心としたワンストップサービス(リコー)

  10. ネットワーク構成図を自動生成、脆弱性による影響範囲なども付加し可視化(富士通システムズ・イースト)

アクセスランキングをもっと見る

★~(=^・ω・^)ノ☆★ Scanもアップグレードしませんか?7月末まで Scan PREMIUM が最大 5,000 円割引となるキャンペーンを実施中 ★★
★~(=^・ω・^)ノ☆★ Scanもアップグレードしませんか?7月末まで Scan PREMIUM が最大 5,000 円割引となるキャンペーンを実施中 ★★

登録すれば、記事一覧、人気記事ランキング、BASIC 会員限定記事はもちろんのこと、掲載された全ての限定コンテンツに、フルアクセスが可能となります。

×