2016.08.31(水)

「標的型攻撃」について犯罪者目線で深堀り

製品・サービス・業界動向 業界動向

セキュリティ業務に携わる方であれば耳にタコが出来るほど聞く、「標的型攻撃」。不正に情報窃取される標的型攻撃の意味を正しく理解いただくために今回は、この標的型攻撃の真意について“犯罪者目線”で深堀してまいりましょう。

●標的型攻撃を定義する

そもそも標的型攻撃とは一体なんでしょうか? 筆者がセミナーなどで参加者に伺うと、「ターゲットの組織をピンポイントで狙った攻撃」とか、「標的型メールを使った攻撃」とか、「ウェブアクセス時にマルウェアを気付かない内にダウンロードし、PC端末がマルウェア感染してしまう攻撃」とか、いろいろな回答を得ることが出来ます。すべて間違いでないですし、同時に必ずしも正解ではありません。

経営者の目線から見たとき「ITシステム利用におけるセキュリティ脅威とは何か?」をここ数年ヒアリングしていますが、答えは2つのカテゴリに集約できます。一つは組織が守らなければならない情報資産が不正に窃取される脅威(情報漏洩)、もう一つはITシステムの可用性が著しく低下する(例:ウェブサイトのDDoS攻撃)脅威です。さらに各カテゴリ毎に、内部犯行によるものか、外部犯行によるものかに分解できます。

ではよく耳にする標的型攻撃とはどのカテゴリに含まれるのでしょうか? もうお気づきのように「情報漏洩」カテゴリの「外部犯行」に該当します。

情報漏洩カテゴリの内部犯行の例は、最近ニュースとなりましたYJFX社の元従業員による顧客情報の持ち出しが該当します。公開ウェブサイトの可用性低下を狙うDDoS攻撃は大半が外部犯行によるものであり、ターゲットを明確にした攻撃なので、こちらも標的型攻撃になります。

さて前置きが少々長くなりましたが、今回は、情報漏洩カテゴリの外部犯行に該当する標的型攻撃に関して深堀してまいりましょう。

●標的型攻撃メール

標的型攻撃によって不正に情報が窃取される典型を“犯罪者目線”で解説します。まず犯罪者は情報窃取したいターゲット(組織)を絞ります。ターゲットが決まりますと、その組織のITシステムへ不正に侵入するためマルウェア(ウイルスの不正プログラム)を作ります。そしてそのマルウェアをターゲットの従業員のPCへ感染させるべく、メールにマルウェアを添付したり、仕込ませたり、あるいは不正なURLを画像などの裏に隠蔽してメールに添付したり、何としても従業員にクリックさせようとします。それがいわゆる標的型攻撃メールというものです。

また最近はランサムウェア(マルウェア感染するとPCのディスクが暗号化されてしまい、復号するために犯罪者へお金を支払う必要がある)の被害が増加しています。ランサムウェアの場合は、特定のHPにアクセスさせて知らぬ間にマルウェアをダウンロードさせ、PCをマルウェアに感染させてしまいます。いわゆるウェブアクセスによるマルウェア感染であり、ターゲットの範囲が広いので無差別型攻撃といえます。

国内のインシデントレスポンスの実情をみると、ITシステムを乗っ取る(例:ADなど認証サーバの権限を不正に奪う)攻撃の多くは、メールによる標的型攻撃が主流です。

●未知のマルウェア感染

標的型攻撃メールによってターゲット組織のPCへマルウェア感染を成功させると、次にマルウェアは、組織内のシステム状況や情報窃取を実施するために、各システムへ不正にアクセスするための権限を奪う活動に切り替わります。ここから先は、組織のセキュリティ設定や運用の脆弱な部分が狙われるので、様々な攻撃手法が存在します。最終的に情報資産が保存されているシステムへアクセスする権限を奪い、組織の人間になりすまして不正に情報を窃取します。これらの活動をすべてインターネット越しに実施します。

本来は、標的型攻撃メールによるマルウェア感染を未然に防ぐため、インターネットGWにFWやIPS、次世代型FW、各種コンテンツフィルタがあり、内部にはウイルス対策製品が実装されています。しかし残念なことに、これらの防御システムをすべてすり抜けてしまう攻撃が、大規模な情報漏洩事故に発展しています。いわゆる“未知のマルウェア感染”という、セキュリティ担当者を最も悩ませる攻撃です。

次回はこの未知のマルウェア感染に対してどのように対応していくのか、最新のセキュリティ技術や運用手法を解説しましょう。

【連載:サイバーセキュリティ】いまさら聞けない犯罪者目線による“標的型攻撃”の真意

《楢原 盛史@東京IT新聞》

編集部おすすめの記事

特集

製品・サービス・業界動向 アクセスランキング

  1. 「ポケモンGO」アップデート、不正行為への対策も強化(ナイアンティック)

    「ポケモンGO」アップデート、不正行為への対策も強化(ナイアンティック)

  2. OWASP ZAPを使用した脆弱性診断の手法を説明するセミナーをメニュー化(HASHコンサルティング)

    OWASP ZAPを使用した脆弱性診断の手法を説明するセミナーをメニュー化(HASHコンサルティング)

  3. 「過去のエンドポイント保護は不要」、機械学習のマルウェア対策Cylance日本法人(Cylance)

    「過去のエンドポイント保護は不要」、機械学習のマルウェア対策Cylance日本法人(Cylance)

  4. イントラネット監視と従業員監視が協業、ハッカーも内部不正も検知(セキュリティフライデー、インターコム)

  5. 暗号処理にかかるエネルギーを50%以上削減、IoT機器の次世代ネットワークの安全性向上に期待(東北大学、NEC)

  6. 非認可の不正APや不正デバイスを検知し遮断、Wi-Fiセキュリティセンサーを販売開始(レンジャーシステムズ)

  7. ネットワーク“迷宮化”ソリューションにランサムウェア検知・防御機能(アズジェント)

  8. Linkedinでの情報流出を受け、一部ユーザーにパスワード変更を呼びかけ(Dropbox)

  9. BCPへの対応力を強化した「三鷹第二データセンター(仮称)」の建設を開始(NTTデータ)

  10. 組織内CSIRTの構築から運営までを総合的に支援するソリューション(IIJ)

  11. 日本発のクラウドセキュリティ認証がISO 27017として発行、ISMS認証も対応(JIPDEC)

  12. 「SharePoint Online」上のファイルを暗号化するソリューション(日立ソリューションズ)

  13. Citizen LabとLookoutから指摘を受けたセキュリティ問題を修正したiOS 9.3.5をリリース(Apple)

  14. 振り込め詐欺や迷惑電話対策の機能を強化したデジタルコードレス電話機を発売(パナソニック)

  15. SIEMを評価導入し、脅威動向を可視化する「スポットログ評価サービス」(NTTデータ先端技術)

  16. 自分の利用しているサーバの状況を確認する方法 不正中継確認

  17. 脅威インテリジェンスをSplunkに統合できるプラグインを提供開始(カスペルスキー)

  18. AWS 向け SaaS 型セキュリティサービス Alert Logic 概要と提供価格

  19. 仮想ブラウザとファイル無害化ソリューションを連携、自治体にも有効(アシスト、イーセクター)

  20. セキュリティは「費用」でなく「投資」、内閣サイバーセキュリティセンター方針(NISC)

アクセスランキングをもっと見る

★~(=^・ω・^)ノ☆★9月15日まで ノベルティや海外カンファレンスのお土産大放出キャンペーンを実施中 ★★
★~(=^・ω・^)ノ☆★9月15日まで ノベルティや海外カンファレンスのお土産大放出キャンペーンを実施中 ★★

登録すれば、記事一覧、人気記事ランキング、BASIC 会員限定記事はもちろんのこと、掲載された全ての限定コンテンツに、フルアクセスが可能となります。

×