2016.10.01(土)

「標的型攻撃」について犯罪者目線で深堀り

製品・サービス・業界動向 業界動向

セキュリティ業務に携わる方であれば耳にタコが出来るほど聞く、「標的型攻撃」。不正に情報窃取される標的型攻撃の意味を正しく理解いただくために今回は、この標的型攻撃の真意について“犯罪者目線”で深堀してまいりましょう。

●標的型攻撃を定義する

そもそも標的型攻撃とは一体なんでしょうか? 筆者がセミナーなどで参加者に伺うと、「ターゲットの組織をピンポイントで狙った攻撃」とか、「標的型メールを使った攻撃」とか、「ウェブアクセス時にマルウェアを気付かない内にダウンロードし、PC端末がマルウェア感染してしまう攻撃」とか、いろいろな回答を得ることが出来ます。すべて間違いでないですし、同時に必ずしも正解ではありません。

経営者の目線から見たとき「ITシステム利用におけるセキュリティ脅威とは何か?」をここ数年ヒアリングしていますが、答えは2つのカテゴリに集約できます。一つは組織が守らなければならない情報資産が不正に窃取される脅威(情報漏洩)、もう一つはITシステムの可用性が著しく低下する(例:ウェブサイトのDDoS攻撃)脅威です。さらに各カテゴリ毎に、内部犯行によるものか、外部犯行によるものかに分解できます。

ではよく耳にする標的型攻撃とはどのカテゴリに含まれるのでしょうか? もうお気づきのように「情報漏洩」カテゴリの「外部犯行」に該当します。

情報漏洩カテゴリの内部犯行の例は、最近ニュースとなりましたYJFX社の元従業員による顧客情報の持ち出しが該当します。公開ウェブサイトの可用性低下を狙うDDoS攻撃は大半が外部犯行によるものであり、ターゲットを明確にした攻撃なので、こちらも標的型攻撃になります。

さて前置きが少々長くなりましたが、今回は、情報漏洩カテゴリの外部犯行に該当する標的型攻撃に関して深堀してまいりましょう。

●標的型攻撃メール

標的型攻撃によって不正に情報が窃取される典型を“犯罪者目線”で解説します。まず犯罪者は情報窃取したいターゲット(組織)を絞ります。ターゲットが決まりますと、その組織のITシステムへ不正に侵入するためマルウェア(ウイルスの不正プログラム)を作ります。そしてそのマルウェアをターゲットの従業員のPCへ感染させるべく、メールにマルウェアを添付したり、仕込ませたり、あるいは不正なURLを画像などの裏に隠蔽してメールに添付したり、何としても従業員にクリックさせようとします。それがいわゆる標的型攻撃メールというものです。

また最近はランサムウェア(マルウェア感染するとPCのディスクが暗号化されてしまい、復号するために犯罪者へお金を支払う必要がある)の被害が増加しています。ランサムウェアの場合は、特定のHPにアクセスさせて知らぬ間にマルウェアをダウンロードさせ、PCをマルウェアに感染させてしまいます。いわゆるウェブアクセスによるマルウェア感染であり、ターゲットの範囲が広いので無差別型攻撃といえます。

国内のインシデントレスポンスの実情をみると、ITシステムを乗っ取る(例:ADなど認証サーバの権限を不正に奪う)攻撃の多くは、メールによる標的型攻撃が主流です。

●未知のマルウェア感染

標的型攻撃メールによってターゲット組織のPCへマルウェア感染を成功させると、次にマルウェアは、組織内のシステム状況や情報窃取を実施するために、各システムへ不正にアクセスするための権限を奪う活動に切り替わります。ここから先は、組織のセキュリティ設定や運用の脆弱な部分が狙われるので、様々な攻撃手法が存在します。最終的に情報資産が保存されているシステムへアクセスする権限を奪い、組織の人間になりすまして不正に情報を窃取します。これらの活動をすべてインターネット越しに実施します。

本来は、標的型攻撃メールによるマルウェア感染を未然に防ぐため、インターネットGWにFWやIPS、次世代型FW、各種コンテンツフィルタがあり、内部にはウイルス対策製品が実装されています。しかし残念なことに、これらの防御システムをすべてすり抜けてしまう攻撃が、大規模な情報漏洩事故に発展しています。いわゆる“未知のマルウェア感染”という、セキュリティ担当者を最も悩ませる攻撃です。

次回はこの未知のマルウェア感染に対してどのように対応していくのか、最新のセキュリティ技術や運用手法を解説しましょう。

【連載:サイバーセキュリティ】いまさら聞けない犯罪者目線による“標的型攻撃”の真意

《楢原 盛史@東京IT新聞》

編集部おすすめの記事

特集

製品・サービス・業界動向 アクセスランキング

  1. 金融機関の口座データとFinTechサービスをセキュアに連携(日立)

    金融機関の口座データとFinTechサービスをセキュアに連携(日立)

  2. 三菱UFJモルガン・スタンレーPB証券、Office 365の対策に「CAS」を導入(トレンドマイクロ)

    三菱UFJモルガン・スタンレーPB証券、Office 365の対策に「CAS」を導入(トレンドマイクロ)

  3. 日本発のクラウドセキュリティ認証がISO 27017として発行、ISMS認証も対応(JIPDEC)

    日本発のクラウドセキュリティ認証がISO 27017として発行、ISMS認証も対応(JIPDEC)

  4. 「どんちゃんねぶた」で情報モラルの実施を呼びかけ(ACCS)

  5. 一連のサイバー攻撃、内部犯行対策を実現する国産EDRソリューション(ソリトンシステムズ)

  6. サーバ、ネットワーク機器のログを収集・分析、レポートする月額サービス(NECネクサソリューションズ)

  7. 世界初のアルゴリズムで安全性評価が可能な匿名加工情報作成ツールを開発(KDDI研究所)

  8. ファイル暗号化・追跡ソリューション「FinalCode」の新版、AD連携など強化(デジタルアーツ)

  9. 自分の利用しているサーバの状況を確認する方法 不正中継確認

  10. 操作性や機能強化を行った「GUARDIANWALL Cloud Edition」の新版(キヤノンITS)

  11. 横浜市港湾病院の元医師が患者約1万3千人分の個人情報を持ち出し

  12. 標的型攻撃向けの特化型対策製品が22%で拡大、サービスも7.6%で成長(IDC Japan)

  13. 仮想ブラウザとファイル無害化ソリューションを連携、自治体にも有効(アシスト、イーセクター)

  14. AWS 向け SaaS 型セキュリティサービス Alert Logic 概要と提供価格

  15. サイトの閲覧を制限するPS4向けのWebセキュリティサービスを提供開始(トレンドマイクロ)

  16. 「過去のエンドポイント保護は不要」、機械学習のマルウェア対策Cylance日本法人(Cylance)

  17. 保護者がスマートフォンへの理解を深めるパンフレットを公開、Wi-Fiの危険性やセキュリティ対策についても解説(愛知県)

  18. 大学生・大学院生を対象にした無償のサイバーセキュリティ体験講座を開講(PwCコンサルティング)

  19. 社内のファイル管理に特化した「FinalCode」の機能限定版を提供開始(デジタルアーツ)

  20. ゼロデイ攻撃やランサムウェアにも対応するエンドポイント新製品(ソフォス)

アクセスランキングをもっと見る

★~(=^・ω・^)ノ☆★10月7日まで ノベルティや海外カンファレンスのお土産大放出キャンペーンを実施中 ★★
★~(=^・ω・^)ノ☆★10月7日まで ノベルティや海外カンファレンスのお土産大放出キャンペーンを実施中 ★★

登録すれば、記事一覧、人気記事ランキング、BASIC 会員限定記事はもちろんのこと、掲載された全ての限定コンテンツに、フルアクセスが可能となります。

×