「標的型攻撃」について犯罪者目線で深堀り

2016年2月25日(木) 10時00分
このエントリーをはてなブックマークに追加

【連載:サイバーセキュリティ】いまさら聞けない犯罪者目線による“標的型攻撃”の真意

【連載:サイバーセキュリティ】いまさら聞けない犯罪者目線による“標的型攻撃”の真意の画像
【連載:サイバーセキュリティ】いまさら聞けない犯罪者目線による“標的型攻撃”の真意
セキュリティ業務に携わる方であれば耳にタコが出来るほど聞く、「標的型攻撃」。不正に情報窃取される標的型攻撃の意味を正しく理解いただくために今回は、この標的型攻撃の真意について“犯罪者目線”で深堀してまいりましょう。

●標的型攻撃を定義する

そもそも標的型攻撃とは一体なんでしょうか? 筆者がセミナーなどで参加者に伺うと、「ターゲットの組織をピンポイントで狙った攻撃」とか、「標的型メールを使った攻撃」とか、「ウェブアクセス時にマルウェアを気付かない内にダウンロードし、PC端末がマルウェア感染してしまう攻撃」とか、いろいろな回答を得ることが出来ます。すべて間違いでないですし、同時に必ずしも正解ではありません。

経営者の目線から見たとき「ITシステム利用におけるセキュリティ脅威とは何か?」をここ数年ヒアリングしていますが、答えは2つのカテゴリに集約できます。一つは組織が守らなければならない情報資産が不正に窃取される脅威(情報漏洩)、もう一つはITシステムの可用性が著しく低下する(例:ウェブサイトのDDoS攻撃)脅威です。さらに各カテゴリ毎に、内部犯行によるものか、外部犯行によるものかに分解できます。

ではよく耳にする標的型攻撃とはどのカテゴリに含まれるのでしょうか? もうお気づきのように「情報漏洩」カテゴリの「外部犯行」に該当します。

情報漏洩カテゴリの内部犯行の例は、最近ニュースとなりましたYJFX社の元従業員による顧客情報の持ち出しが該当します。公開ウェブサイトの可用性低下を狙うDDoS攻撃は大半が外部犯行によるものであり、ターゲットを明確にした攻撃なので、こちらも標的型攻撃になります。

さて前置きが少々長くなりましたが、今回は、情報漏洩カテゴリの外部犯行に該当する標的型攻撃に関して深堀してまいりましょう。

●標的型攻撃メール

標的型攻撃によって不正に情報が窃取される典型を“犯罪者目線”で解説します。まず犯罪者は情報窃取したいターゲット(組織)を絞ります。ターゲットが決まりますと、その組織のITシステムへ不正に侵入するためマルウェア(ウイルスの不正プログラム)を作ります。そしてそのマルウェアをターゲットの従業員のPCへ感染させるべく、メールにマルウェアを添付したり、仕込ませたり、あるいは不正なURLを画像などの裏に隠蔽してメールに添付したり、何としても従業員にクリックさせようとします。それがいわゆる標的型攻撃メールというものです。

また最近はランサムウェア(マルウェア感染するとPCのディスクが暗号化されてしまい、復号するために犯罪者へお金を支払う必要がある)の被害が増加しています。ランサムウェアの場合は、特定のHPにアクセスさせて知らぬ間にマルウェアをダウンロードさせ、PCをマルウェアに感染させてしまいます。いわゆるウェブアクセスによるマルウェア感染であり、ターゲットの範囲が広いので無差別型攻撃といえます。

国内のインシデントレスポンスの実情をみると、ITシステムを乗っ取る(例:ADなど認証サーバの権限を不正に奪う)攻撃の多くは、メールによる標的型攻撃が主流です。

●未知のマルウェア感染

標的型攻撃メールによってターゲット組織のPCへマルウェア感染を成功させると、次にマルウェアは、組織内のシステム状況や情報窃取を実施するために、各システムへ不正にアクセスするための権限を奪う活動に切り替わります。ここから先は、組織のセキュリティ設定や運用の脆弱な部分が狙われるので、様々な攻撃手法が存在します。最終的に情報資産が保存されているシステムへアクセスする権限を奪い、組織の人間になりすまして不正に情報を窃取します。これらの活動をすべてインターネット越しに実施します。

本来は、標的型攻撃メールによるマルウェア感染を未然に防ぐため、インターネットGWにFWやIPS、次世代型FW、各種コンテンツフィルタがあり、内部にはウイルス対策製品が実装されています。しかし残念なことに、これらの防御システムをすべてすり抜けてしまう攻撃が、大規模な情報漏洩事故に発展しています。いわゆる“未知のマルウェア感染”という、セキュリティ担当者を最も悩ませる攻撃です。

次回はこの未知のマルウェア感染に対してどのように対応していくのか、最新のセキュリティ技術や運用手法を解説しましょう。
《楢原 盛史@東京IT新聞》

注目ニュース

icon
連携強化により、自治体向けの標的型攻撃対策ソリューションを強化(デジタルアーツ、ヴイエムウェア)

デジタルアーツは、自治体が導入を進めている情報セキュリティ強化に有効な標的型攻撃対策ソリューションを3月より提供開始すると発表した。

icon
「CEC SOC」を開設、標的型攻撃対策を総合的に支援(シーイーシー)

シーイーシーは、標的型サイバー攻撃のセキュリティ監視センター「CEC SOC」を開設し、2月1日よりサービスを提供開始すると発表した。

icon
標的型攻撃から「執拗さ」が消え、範囲がさらに拡大--2016年の脅威予測(カスペルスキー)

カスペルスキーは、Kaspersky Labのグローバル調査分析チーム(GReAT)による2016年のサイバー犯罪の傾向予測を発表した。

icon
標的型攻撃を理解している従業員は半数弱、1/4は「自社は標的にならない」(デジタルアーツ)

デジタルアーツは、「勤務先における標的型攻撃の意識・実態調査」の結果を公開した。

icon
標的型攻撃による情報漏えいリスクを最小化しマイナンバーのセキュリティを強化(レピカ)

レピカは「2015 Japan IT Week 秋」内の「第5回 情報セキュリティ EXPO【秋】」にて、同社と協業ベンダーによる3つの情報対策ソリューションを出展していた。いずれも標的型攻撃による情報漏えいリスクを最小化し...

RSS

特集・連載

ピックアップフォト