インターネットによる進歩が著しい昨今では、サイバー攻撃における新たな手法も現れ、セキュリティー対策の重要性が増しています。多くの脅威のなかでも、特に危険性が高いとして注目を集めているのが「標的型攻撃」です。標的型攻撃の被害に遭う可能性をできるだけ低くするために、今回はその攻撃の特徴やパターン、対策方法を徹底解説します。

標的型攻撃（APT攻撃）とは、機密情報の取得を目的に特定のターゲットを狙うサイバー攻撃の一種です。特に利用価値の高い知的財産を保有している政府や公共サービス、製造業、IT企業などが狙われやすい傾向にあります。機密情報の取得以外にも、標的型攻撃は次のような目的で実行されます。

セキュリティー上、最も防御が難しいと言われている標的型攻撃ですが、近年では取得した機密情報を人質に企業を恐喝したり、不正な金銭を要求したりといったケースも発生しています。企業活動への影響が大きいことから、対策が急がれています。

標的型攻撃の手口は主に「潜伏型」と「速効型」の2種類が確認されています。さらに標的型攻撃の代表的な手口といわれる「標的型攻撃メール」をはじめ、複数の攻撃パターンが存在します。

現在までに標的型攻撃では、次の2つの型が確認されています。

マルウェアとは有害な動作を実行するプログラムの総称です。速攻型では侵入後すぐに端末の情報の抜き取りを開始する一方で、潜伏型ではより機密度の高い情報を抜き取るために、侵入した端末を踏み台に次の端末への侵入を試みます。そのため、潜伏型の方が被害は大きくなる傾向にあります。いずれにしても標的型攻撃に遭っている企業は、その事実に気づきにくいため、知らずに機密情報の取得を許してしまっているケースが多々確認されています。

標的型攻撃のパターンは大きく分けて次の2種類です。

標的型攻撃の代表的な攻撃パターンが「メール」による攻撃です。攻撃者は、送信相手のことをあらかじめ研究しているため、実際に取引のある人物を名乗ったり、実際の業務内容と関連が高い件名やファイル名を付けたりするなどの工夫を施してくるため、一見普通のメールに見えるのが特徴です。

偽装メールと気づかずに添付ファイルを開いてしまうと、マルウェアによる感染がスタート。デバイスやシステムを乗っ取られ、情報の取得や破壊活動が実行されます。

水飲み場型攻撃とは、個人または企業の社員など、特定の人物が閲覧するWebサイトを改ざんして不正なプログラムを仕込み、ターゲットが閲覧するとウイルス感染するという比較的新しい攻撃手法です。サバンナにある水飲み場に集まる草食動物を、待ち伏せていた肉食動物が捕食する流れを連想させることから「水飲み場型攻撃」と名付けられています。

仕込まれたプログラムはターゲットのIPアドレスを判別し、攻撃を開始します。そのため、ターゲット外であるセキュリティー担当者が、該当のWebサイトを閲覧しても何の問題も検出されません。攻撃にはプログラムの脆弱性に対する修正プログラムが提供されていない「ゼロデイ脆弱性」が利用されているケースが多く、検知や対策が困難なことから被害が拡大しているのが現状です。

2013年には米国労働省のWebサイトにJavaScriptによる不正なプログラムが仕込まれ、閲覧者をマルウェアに感染させる事例が報告されています。

標的型攻撃のなかでも特に「標的型攻撃メール」には次のような特徴があります。

参照：IPAテクニカルウォッチ「標的型攻撃メールの例と見分け方」（IPA 独立行政法人 情報処理推進機構）

標的型攻撃メールはその精度によって見分ける難易度が上がってきます。メールの本文や件名が過去のメールなどと親和性が高い場合は、基本的に自力で見分けるのは困難だと思っておいた方が良いでしょう。ただし、上記のような特徴に複数当てはまる場合は、標的型攻撃メールである可能性が高いため、添付ファイルを開く前に専門家に相談することをおすすめします。

標的型攻撃を防ぐためには次のような対策が有効です。

複数の対策を行い、各対策の脆弱性を補うことで強固なセキュリティー環境を築けるようになります。このなかのどれかを行っておけば万全を期せるというわけではないので、複数の対策を実施するよう社内で検討することをおすすめします。

OSやソフトウェアは開発段階でも十分にセキュリティーへの配慮がなされています。しかし、攻撃者側も柔軟に手法を変化させながら攻撃を試みるため、開発当初は対策ができていたとしても時間の経過とともに不十分になってきます。これに対してOSやソフトウェアも新たな脅威や脆弱性への対策として随時修正を行い、アップデートを実施しています。OSやソフトウェアを最新の状態に保つことで、現在までに見つかっている脅威・脆弱性への対策が可能です。

ただし、古い機種の場合は最新のOS・ソフトウェアが対応していないケースもあります。この場合、「アップデートができない」、または「アップデートにより動作がおかしくなる」といったことがあるので、対応OS・ソフトウェアに該当するかを確認のうえ、アップデートを実行しましょう。

サイバー攻撃は入口で侵入を防ぐことが重要です。その基本となるのが、セキュリティーソフトやツールの導入です。セキュリティーソフトやツールのなかでも標的型攻撃に対応したものを導入することで、マルウェアの検知・駆除を図ることができます。100％安全とは言いきれませんが、導入していない状態よりも確実に安全な状態を保てます。

また、セキュリティーソフトやツールは、定期的にアップデートを行っています。最新版がリリースされるたびにアップデートを行っていれば、後発の攻撃手法やウイルスなどに対応できるため、より高いセキュリティー環境の構築が可能になります。

セキュリティーソフトやツールを導入していたとしても、標的型攻撃は100％防ぎきれないのが実情です。そのため、セキュリティーソフトやツールの導入と合わせて、ログ管理を徹底し、侵入された場合を想定したセキュリティー対策を講じる必要があります。

標的型攻撃は完全に防ぐことが難しい攻撃なので、いくらセキュリティー環境を整えていたとしても被害に遭うことはあります。被害に遭ってから慌てて対応を考えている間にも攻撃の手は止まないため、被害を拡大させることになります。

そのため、万が一のために、攻撃に遭った場合の体制を整備しておくことも大切です。流出した情報や攻撃対象となったデバイスの特定、関係各所との連携や利用者への周知などがスムーズに行えれば、被害を最小限に留められます。

標的型攻撃の主要な手法である標的型攻撃メールの被害の起点は、従業員が添付ファイルやURLを開くことからです。そのため、標的型攻撃メールの事例や特徴を従業員に共有し、少しでも怪しい点が確認されれば「開かない」ことを徹底すれば、攻撃による被害を防いでいくことができるでしょう。

つまり、被害を最小限に留めるには、普段から従業員のセキュリティーに対する情報リテラシーを高めておく必要があるということです。デバイスの取り扱いはもちろん、セキュリティーに関する知識、標的型攻撃の対象になった場合の対処法など、事例を用いて全社的に共有できる機会を設けることで、被害に遭う確率を下げられるでしょう。

標的型攻撃は予防が難しいといわれるサイバー攻撃です。しかし当然ですが、まったく対策をしていないよりはセキュリティー対策を行っている方が、標的型攻撃の脅威から自社を守れる可能性は上がるでしょう。特にセキュリティー対策ソフトやツールは自動的にマルウェアの感染を検知・駆除してくれるので、導入は必須となります。まだ導入していない、もしくは導入済みのセキュリティーツールでは不安が残る場合は、自社に最適なツールの導入を早急に検討することをおすすめします。

【関連コンテンツ】