標的型サイバー攻撃は、特定のターゲットに行われるサイバー攻撃です。ここでは標的型サイバー攻撃の目的や手口、特徴を知り実際にあった事例を紹介します。
予防対策についても解説していますので、ぜひ参考にしてください。

標的型サイバー攻撃とは

標的型サイバー攻撃とは、重要情報の入手を目的として行われるサイバー攻撃です。

標的型サイバー攻撃の対象は無差別ではなく特定されており、通常は1社もしくは1組織、または特定の社員のみなど、狭い範囲の中で攻撃を仕掛けます。

標的を絞る理由は綿密な事前調査を行い、確実に相手を罠にかけるためです。

サイバー攻撃はさまざまな手法がありますが、以下の3つの条件を満たした際に標的型サイバー攻撃とみなされます。

  1. 攻撃者はターゲットを特定しており、攻撃の準備や実行に時間や資金、労力を費やしたように見受けられる
  2. 攻撃者の目的はターゲットのネットワークに侵入し、情報を搾取することである
  3. 攻撃は一度ではなく持続的であり、潜入後や情報を奪ったあとも攻撃される

標的型サイバー攻撃は上記の特徴から、高度で持続的な脅威を現す「APT(Advanced Persistent Threat)攻撃」や「持続的標的型攻撃」と呼ばれる場合もあります。

参考記事:サイバー攻撃の目的とは何?どんな攻撃の種類があるのか

参考記事:標的型攻撃メールとは?巧妙化する手口と対策をわかりやすく解説

標的型サイバー攻撃の目的

サイバー攻撃の目的は、攻撃者によって異なります。多くの攻撃に共通する金銭の要求のほか、世間を騒がせて楽しむ愉快犯的なものや、自身の力を見せつけたい自己顕示欲を満たすもの、標的型サイバー攻撃を受けたことによる戦略変更やイメージダウンを狙うものも少なくありません。

特に近年では、ターゲットとなった特定組織の機密情報を摂取しようとする産業スパイが増加傾向にあるほか、ハッキングの手法を通じて政治的な主張を行う「ハクティビスト」と呼ばれる者たちの存在も確認されています。

標的型サイバー攻撃のターゲットとなるのは、いち企業や個人だけに留まりません。

国家組織など大きな組織も含まれるため、標的型サイバー攻撃を仕掛ける者のさまざまな目的を理解し、自身や属する組織がどのような目的で狙われることがあるのかを考えて対策を講じることが、標的型サイバー攻撃を防ぐ手立てとなるでしょう。

参考記事:ハッキングの目的とハッカーの心理とは?ハッキングの対処方法とあわせて解説

標的型サイバー攻撃の手口・特徴

標的型サイバー攻撃の手口は年々巧妙化しており、正常に動作しているように見えるPCでも、実はバックグラウンドでセキュリティをすり抜け動作しているマルウェアが存在する場合もあります。

標的型サイバー攻撃の手順は、以下の6つから成り立っています。

  1. 事前準備
  2. 初期侵入
  3. 端末制御
  4. 情報探索
  5. 情報集約
  6. データ送出

標的型サイバー攻撃の手順はまず、事前の準備から始まります。次にさまざまな手口で侵入を開始し、端末を制御して情報を探し出し集約すると、データの送信を行います。その後、ログなどを破壊して侵入の形跡を消します。

初期侵入を行う標的型サイバー攻撃の主な手口は、以下のとおりです。

  • スパイウェア
  • マルウェア
  • ランサムウェア
  • フィッシングメール

それぞれの手口の特徴を見ていきましょう。

スパイウェア

スパイウェアとは知らないうちにパソコンにインストールされ、個人情報を盗み出したりユーザーの意図しないときにパソコンを動作させるもので、ウイルスの一種と位置づけられています。

ただし、ウイルスとの大きな違いは他のプログラムに寄生せず、侵入したパソコンに潜み続ける特徴を持つ点です。スパイウェアは外部との通信機能も有していますが、情報収集に特化した活動が多いとされています。

参考記事:スパイウェアとは?種類と主な被害、侵入経路と対策方法まとめ

マルウェア

マルウェアはウイルスやワーム、トロイの木馬、上記のスパイウェアなど、ユーザーのデバイスに不利益をもたらす悪意あるコードの総称です。マルウェアに感染することでデバイス内のデータが破壊され、保管されているデータの一部や全部が閲覧・使用できない状態となってしまいます。

マルウェアに感染した際の対策は、感染したデバイスをネットワークからの遮断、マルウェア対策ソフトのインストール、駆除できない場合は初期化です。

あらかじめ対策を講じた場合でも、100%マルウェア感染を予防できるわけではないため、感染した際にどうするか知っておくことが重要でしょう。

参考記事:マルウェアとは?ランサムウェアとの違いは?種類・症状・原因とあわせて解説

ランサムウェア

ランサムウェアとは身代金を意味するRansomとSoftwareを組み合わせた造語で、感染したコンピュータをロックして使用不可能にした後、元に戻すためには金銭を支払う必要があるという内容のメッセージを送信し、身代金を要求するマルウェアです。

身代金を支払ってロックが解除されることもあれば、されない場合もあります。感染経路はメールに添付されたファイルやリンク、Webサイトの閲覧、ファイルのダウンロード、USBメモリなどからです。

上記の添付されたリンクやファイルをダウンロードする際、事前にしっかりと確認することで感染を防げるでしょう。

参考記事:ランサムウェアの進化(進化の経緯、 RaaSのエコシステム、被害実態について解説)

フィッシングメール

フィッシングメールとは、送信者を詐称した電子メールを送りつける方法です。メールに記載されたURLに接続してしまうと、クレジットカードの番号やサイトのアカウント情報などが盗み出されてしまう危険があります。

近年スマートフォンの普及から、SMSを利用したフィッシングメールも増加傾向にあります。見知った人物や企業からメールが来てもすぐに添付されたサイトへ飛ばず、以前やり取りしたアドレスの確認や、ドメインが正しいものかを公式サイトなどで確認してから開きましょう。フィッシングメールに釣られないため、慌てず落ち着いた行動が必要です。

標的型攻撃の事例(影響と被害)

実際に標的型サイバー攻撃を受けてしまったら、どのような影響や被害が出るのでしょうか。ここからは実際に起きた3つの事例についてみていきましょう。

旅行会社A社(2016年)

旅行会社を商品とするA社は2016年、標的型サイバー攻撃の被害に遭いました。

感染経路は取引会社を装ったメールに添付されていたファイルを開いたことによりますが、メールの内容は疑いようもないほど普通の内容であったため、ウイルスメールとは気づかなかったそうです。

この攻撃により顧客の名前や生年月日、住所からパスポート番号までの重要な情報が漏洩し、793万人もの人に被害をもたらしました。

国内機関B社(2015年)

公的年金に係る運営業務を行うB社では2015年、標的型サイバー攻撃による被害を受けています。標的型メールを124件受信したうち5名の職員がメールに添付されていたファイルを開き、125万件もの個人情報が流出しました。

B社の被害を重く受け止め、サイバー攻撃の脅威は国会でも議論されることとなり、社会問題にも発展しました。

航空会社C社(2014年)

日本の航空会社であるC社は2014年、標的型サイバー攻撃による個人情報の流出を起こしてしまいました。

当初情報流出の規模は75万人にも及ぶとされていましたが、その後の調査結果によると、流出したのは4131名でした。この情報流出は社員のパソコンにウイルスが侵入したことが原因とされています。

C社はより一層の情報管理の強化やシステム運用の見直しなど、セキュリティ強化に努めるとしています。

参考記事:【最新版】サイバー攻撃の手法・種類一覧とやり方の手口まとめ

参考記事:【サイバー攻撃の最新事例】増加傾向のEmotet(エモテット)とは?注目されるEDR

標的型サイバー攻撃の対策と予防

事例を紹介してきたように、標的型サイバー攻撃はたとえ被害にあっていたとしても被害に遭ったと認識するまで時間がかかる場合があり、とても厄介な存在です。

  • セキュリティポリシーの策定
  • エンドポイントのセキュリティソフトを導入する
  • ネットワーク内部での不審な挙動を可視化する
  • メールサーバにおける標的型メールの検出を行う
  • 外部への不正なネットワーク通信や接続を検出する
  • 従業員のセキュリティ教育を徹底する
  • インシデントが起きた際の備えをしておく

上記のような対策と予防を行い、標的型サイバー攻撃に備えましょう。

セキュリティポリシーの策定

セキュリティポリシーとは、企業や組織が情報セキュリティを保つ際の方針や指針を定めたルールです。セキュリティポリシーを策定するには、まず情報セキュリティ委員会などを設置する必要があります。

選ばれた人物で構成された委員会のもと策定しますが、セキュリティポリシーは制定して終わりではありません。導入後にも点検や評価を行い、改善をしていきましょう。

エンドポイントのセキュリティソフトを導入する

エンドポイントとは、スマートフォンやタブレット等の端末機器のことです。現在、働き方改革により場所を選ばない働き方が実現する中で、社内のPCだけではなく社員のタブレットなどを使用して仕事をすることが可能となりました。

このような背景を踏まえ、今までは社内のPCだけで十分だったセキュリティ対策が、エンドポイント端末にも必要である考え方にシフトしてきたおり、セキュリティソフトの導入が必要となってきています。

ネットワーク内部での不審な挙動を可視化する

ネットワーク内部での不審な挙動を可視化することも、標的型サイバー攻撃の対策や予防となります。たとえばログ管理を行いサーバー上を監視することで、いち早く不正なプログラムの侵入に気づけます。

不正プログラムがサーバーに侵入してから時間が経過すると、標的型サイバー攻撃が防げないと思われるかもしれませんが、標的型攻撃は侵入してから情報収集を行うため時間がかかります。

ログの監視は被害の拡大が防げるため、ぜひ行なってほしい方法です。

メールサーバにおける標的型メールの検出

標的型サイバー攻撃の多くはメールに添付されたURLやファイルを開くことによって始まるため、送られてきたメールを安全だと過信し、疑わずに開いてしまう行為に気をつけましょう。

社内ルールやセキュリティポリシーの中に不審なメールの特徴を加え、従業員に標的型メールとはこういった形で送られて来るという周知を行うだけでも効果的です。

外部への不正なネットワーク通信・接続の検出

標的型メールの検出やログの管理でもウイルスの侵入を防げなかった場合、被害を食い止める出口対策が必要です。

具体的にはウイルス感染による外部への不正なネットワーク通信や、接続の検出をした時点で通信を遮断することが効果的です。一刻も早い不正ネットワークや接続を発見するためにも、ログ管理は重要となります。

従業員のセキュリティ教育の徹底

セキュリティポリシー策定にかかわる人だけでなく、従業員のセキュリティ教育の徹底も大切です。社内で定期的な勉強会を開き、デバイスの取り扱いやセキュリティ対策への意識を高めることで、標的型サイバー攻撃への知識も深まり、不意に送られてくるメールにも注意が払えるようになります。

事例を交えて学ぶことで具体的なイメージが湧きやすくなり、よりサイバー攻撃への対策意識が強くなるでしょう。

インシデントが起きた際の備えをしておく

予防や対策だけでなく、実際にインシデントが起きた際にどう動けばいいか予め計画をしておきましょう。インシデントが起きた際は事前に計画していた緊急対応策を実施し、瞬時に分析・対処できます。

インシデント対策について不十分と感じている企業は、起こりうるインシデントをそうていし、事前に対策を考えておくと良いでしょう。

参考記事:インシデント対応とは?インシデント発生時の対応計画から対策の策定までを解説

(まとめ)標準型サイバー攻撃は日々巧妙化しつづけている

標的型サイバー攻撃はターゲットを1社や1組織など非常に狭い範囲に絞り、攻撃を行います。標的型サイバー攻撃は日々巧妙化しつづけているため、予防対策や実際に攻撃に遭った際のインシデントに対する備えも重要です。

標的型サイバー攻撃の特徴や手口を知り、対策を行っていきましょう。

[PR]提供:セキュアワークス