標的型攻撃の手口とは
今回は、多くの企業を悩ませるランサムウェア攻撃に引き続き、IPAが公開する「情報セキュリティ10大脅威 2023」で組織に対する脅威の第3位にランクインした「標的型攻撃」について解説します。
標的型攻撃とは機密情報などを盗み取る目的で、文字通りに特定の個人や組織を標的として行われる攻撃です。多くの場合は顧客や取引先、または同組織内の人物を装ったメールを配信し、そこからメールに添付されたマルウェアに感染させるなどして組織内に侵入し、遠隔操作により機密情報の窃取のような不正行為を行う攻撃手法です。
日本においても例年多くの国内組織が、標的型攻撃による個人情報や最先端の研究情報流出といったの被害を報告しています。今回はその多くの事例の中から、IPAの報告書より、標的型攻撃の感染方法から情報窃取されるまでの流れを見てみましょう。
(1)攻撃者は、顧客や取引先を装い特定の従業員にメールを送信する
(2)メールを受信した従業員がメールに記載されたURLをクリックすると、マルウェア配布サイトに知らずに誘導され、従業員のPCがマルウェアに感染する
(3)攻撃者は攻撃を実行するためのC&Cサーバを経由して、感染させたPCを遠隔から操作する
(4)感染したパソコンを遠隔操作することで、社内サーバなどに不正アクセスし機密情報を窃取する
日本年金機構の一件でも使われた標的型攻撃
攻撃者は標的とする組織に対して、目的を達成するために粘り強く非常に巧妙な手口を使う場合が多く、事態に気付くのは被害発生後であることが多いようです。ここ数年で特に記憶に残る事例としては、125万件の情報流出が発生した2015年の日本年金機構における事例でしょうか。
始まりは1通の標的型メール。その攻撃が本格化し、100通を超えるウイルス付きの不審なメールが職員のアドレスに一斉送信され、添付ファイルを開いたことでウイルス感染はネットワーク経由で広がり深刻な状態を招いたと報告されています。
標的型攻撃に感染してから情報漏洩までのスピードの速さ、そしてその経営インパクトを考慮すると、重要情報を取り扱う組織においては、このように水面下で発生している可能性のある巧妙な攻撃手口を積極的に発見するための高度な仕組みの必要性も考えさせられます。
サイバー攻撃はどの組織にとっても重大かつ深刻なリスクですが、そのリスクを低減するには事前の準備が重要です。そのために必要な攻撃者の情報や感染原因は、この連載で取り上げているように、公開されている報告書や注意喚起より入手可能です。
定期的にそれらの情報に基づいて自組織の対策を評価し、同様の攻撃が発生した場合、攻撃から自組織を守ることができるかどうか、そして万が一感染した場合においても、迅速な検知や対応ができるかどうか、継続的な見直しと改善の取り組みの重要性を改めて強調します。