2024.04.30

標的型攻撃とは？主な手法や被害事例、防ぐための対策について解説

著者株式会社SHIFT　マーケティンググループ

Introduction

近年、特定の個人や企業を狙った標的型攻撃が増えています。標的型攻撃とは、特定の個人や組織、企業などから、機密情報を盗む目的で行われるサイバー攻撃です。手口が巧妙なので、攻撃を防ぐことがむずかしいといわれています。

この記事では、標的型攻撃について、主な手法や攻撃の流れ、被害事例、攻撃を防ぐための対策を解説します。

標的型攻撃とは？

標的型攻撃とは、サイバー攻撃の手法のひとつで、特定の個人や組織、企業などを狙って行われるものです。

ここでは、標的型攻撃とはどのような性質のサイバー攻撃なのかをご説明します。

特定の個人・組織から機密情報を盗むことを目的としたサイバー攻撃のこと

標的型攻撃とは、特定の個人や組織、企業などから、機密情報を盗む目的で行われるサイバー攻撃です。ポイントは、攻撃対象を定めて、特定の個人、組織、企業などを狙う点です。

たとえば、特定の企業と取引がある、実在する企業名や担当者名を名乗ってメールを送り、メール本文もそれらしくつくりこまれているケースなどがあります。そのようなメールを受けとった場合、取引先からのメールと勘違いして、添付ファイルを開いてしまうこともあるでしょう。その結果、ウイルスや不正なプログラムが強制的にインストールされ、情報が盗まれてしまうのです。

無差別に行われるサイバー攻撃とは異なり、巧妙に仕組まれている点が大きな特徴といえます。

標的型攻撃は「潜伏型」と「速攻型」にわけられる

標的型攻撃には、長期間潜伏する潜伏型と、数時間から数日で情報を抜きとっていく速攻型があります。

潜伏型の場合、感染したウイルスや不正なプログラムが、長い期間にわたってパソコンやネットワークなどに潜伏するのが特徴です。その間、機密情報などを取得しつづけ、ほかのパソコンやネットワークに感染を広げていきます。そのため、早急に対処しないと、知らないうちに被害が拡大してしまうでしょう。ゆっくりと攻撃が行われ、コンピュータのリソースをあまり消費しないため、攻撃に気づかないことが多いです。

速攻型の場合は、感染して数時間から数日で狙った情報を抜きとっていき、長く潜伏することはありません。狙った情報を取得できない場合もあるので、数回にわたって攻撃をしかけてくることが多いです。攻撃の際に、急激にコンピュータのリソースを消費するため、動作が重くなることが多く、攻撃に気づきやすい傾向があります。

無差別型攻撃との違い

無差別型攻撃とは、特定の組織などを標的とせず、広い範囲に対して行われる攻撃です。たとえば、ツールで無作為にウイルスを添付したメールを送信するなど、不特定多数のユーザーに対して行われます。

一方、標的型攻撃は、特定の企業の担当者などに狙いを定めて行われ、ある程度の時間をかけて計画されています。標的となる担当者の名前や、実際の取引先企業の情報を記載されたメールを送信するなど、無差別型攻撃と比べて手口が巧妙です。広範囲への攻撃ではありませんが、ターゲットを定めて確実に攻撃をしかけてきます。

標的型攻撃の主な手法

標的型攻撃には、メールによる攻撃などいくつかの手法があります。ここでは、主な標的型攻撃の手法について解説します。

標的型攻撃メール

独立行政法人情報処理推進機構（IPA）による『標的型攻撃／新しいタイプの攻撃の実態と対策』によると、標的型攻撃メールは以下のように定義されています。

標的型攻撃メール

情報窃取を目的として特定の組織に送られるウイルスメール

悪意あるプログラムやウイルスをメールの添付ファイルに仕込み、ファイルを開くと不正プログラムが強制的にインストールされる、ウイルス感染するなどの被害が起こります。また、不正なサイトのURLを添付することもあります。

標的型攻撃メールの場合、ターゲットの情報をある程度把握したうえでメールを送ってくるので、リスクが高いといえるでしょう。送信元のアドレスや件名、メールの本文などがつくりこまれているため、ターゲットが安易に信じてしまう可能性が高いです。

水飲み場型攻撃

水飲み場型攻撃とは、攻撃のターゲットがよく訪れるWebサイトに、不正なプログラムを仕込む攻撃方法です。ライオンなどの肉食獣が水辺に潜んで、訪れた獲物を襲うように攻撃をしかけます。

Webサイトにそのような罠が仕込まれているとは気づかない場合が多く、しかけをみわけることは困難です。そのため、非常に危険な脅威といえるでしょう。

ゼロデイ攻撃

ゼロデイ攻撃とは、OSやソフトウェア、アプリケーションなどの脆弱性が公表される前、修正プログラムが修正される前などに行われる攻撃のことです。セキュリティソフトで検知するのがむずかしく、防御することが非常に困難です。

ゼロデイ攻撃についてはこちらもご覧ください。
＞＞ゼロデイ攻撃とは？名前の由来やその脅威、企業がとるべき対策について解説のページへ

標的型攻撃の流れ

標的型攻撃が行われる際の流れは、以下のとおりです。

1．事前準備
ターゲットの選定や偵察などを行い、ターゲットを決定します。また、ターゲットに仕込む不正プログラムなどを準備します。

2．初期侵入
標的型メールや水飲み場型攻撃などによる攻撃を実施し、ターゲットの環境に侵入します。

3．端末制御
侵入した端末との通信を確立し、遠隔操作を行える環境を整えます。

4．情報探索、横展開
侵入した端末や周辺のネットワークなどの情報を探索します。ほかの端末やネットワークに侵入し、攻撃基盤を拡大していきます。

5．情報収集
どのような情報が格納されているのか、ほかに侵入できる箇所がないかなどの情報を収集します。

6．情報入手、破壊活動など
目的の機密情報や個人情報を入手します。また、サーバーダウンを起こす、データを消去するなどの破壊活動を行う場合もあります。

標的型攻撃による被害事例

標的型攻撃を実際に受けた場合、どのような被害が起こるのでしょうか。ここでは、実際に起きた標的型攻撃による被害事例について解説します。

大学での被害事例

2023年に、大学内のパソコンが標的型攻撃メールの攻撃を受け、マルウェア感染しました。

問題の標的型攻撃メールは、前年の2022年7月19日に受信しています。教員が在宅勤務で使っていたパソコンがメールを受信し、マルウェア感染していました。調査の結果、2023年5月23日に、パソコンに保管されていた情報が盗まれた形跡があり、以下の情報が流出した可能性があります。

・教職員、学生、卒業生の情報（2,409件）
・パソコンを利用していた教員が所属する学会、参加したイベントの情報（1,082件）
・パソコンを利用していた教員による授業の受講生の情報（796件）
・過去の学生の成績や試験問題（24件）
・所属教員の評価（30件）

上記の内容から、潜伏型の標的型攻撃メールによる攻撃で、長期間にわたり脅威が教員のパソコンに潜伏していたことがわかります。

民間法人での被害事例

2015年に、ある民間法人から個人情報が流出したインシデントが発生しました。これは、標的型メール攻撃によるもので、合計124通の標的型攻撃メールを受信しています。職員個人の業務用メールアドレスに送られたものでした。

流出した個人情報の件数は、約125万件と膨大な量でした。氏名、生年月日、住所などの情報が流出しています。

標的型攻撃の被害を防ぐための対策

標的型攻撃の被害を防ぐための対策は、いくつかあります。ここでは、普段から対応しておきたい、標的型攻撃への対策をご説明します。

ウイルス対策ソフトを利用する

ウイルス対策ソフトをすべての端末にインストールし、更新を定期的に行って、つねに最新バージョンにしておく必要があります。既知のウイルスやマルウェアなら、ウイルス対策ソフトが検知し、対処を行うことが可能です。

ただし、ウイルス対策ソフトをインストールするだけではなく、つねに最新の状態に保つ必要があります。多くの端末を保有している場合、使っていない端末の更新が行われない場合などもあり、危険です。ただインストールするだけではなく、ソフトウェアの更新管理もしなければなりません。

不審なメールや添付ファイルを安易に開かない

標的型攻撃メールによる攻撃を受けることを防ぐために、不審なメールや添付ファイルを安易に開かないことが重要です。

無差別型攻撃メールの場合は、稚拙な文面のメールであることも多く、気をつけていれば防げる可能性が高いです。しかし、標的型攻撃メールは、ターゲットの状況をある程度知っており、実際の取引先からの連絡のように、偽装して送られてくる場合もあります。そのため、管理体制を強化して、メール運用の社内ルールを明確にする、セキュリティ研修を行うなどの対策も必要です。

OSやソフトウェアを最新の状態に保つ

ウイルス対策ソフトだけでなく、OSやソフトウェアの状態を最新に保つ運用も必要です。更新が不十分だと脆弱性を放置することになり、不正プログラムの侵入を許してしまうことがあります。

標的型攻撃メールにより、脆弱性をついたサイバー攻撃がしかけられることもあるため、OSやソフトウェアの更新を怠ってはいけません。従業員数が多いと、管理すべき端末やソフトウェアなどが増えるため、効率よく確実に管理しましょう。

ログを継続的に取得・分析する

不正プログラムの侵入を防ぐためには、アクセスログやイベントログなどの監視を行うことも効果的です。そのためには、普段からログを収集し、分析しやすい状態にしておく必要があります。また、ログを監視する体制も整えておく必要があるでしょう。

データを暗号化する

社内の重要なデータを暗号化しておくことで、万が一データが流出しても、内容が外部に漏れることを防げます。重要な機密情報や個人情報などはとくに、日ごろから厳重に管理しておく必要があるでしょう。

▽あわせて読みたい▽
＞＞暗号化とは？仕組みやアルゴリズムの種類、メリット・デメリットを解説のページへ

サンドボックスを導入する

サンドボックスとは、社内ネットワークなど、侵入されると困るエリアから隔離された空間のことです。不審なメールの添付ファイルやURLを開く際に、サンドボックス環境で展開して、中身が安全かを確認します。そうすることで、万が一不正なプログラムやウイルスが仕込まれていたとしても、社内ネットワーク内などに影響をおよぼすことはありません。

社内でセキュリティ教育を行う

ウイルス対策ソフトやログ監視、データの暗号化などによる対策だけではなく、セキュリティ教育による従業員の意識改善の対策も重要です。

従業員のセキュリティに関する意識が低く知識が乏しいと、怪しいメールを開くとどのような問題が起こるかを知らず、安易に開いてしまうかもしれません。日ごろからセキュリティ教育を行っておけば、従業員それぞれがセキュリティに対する高い意識をもつようになるでしょう。

定期的な脆弱性診断を受ける

標的型攻撃メールなどによるセキュリティ攻撃を受ける際には、OSやソフトウェアなどの脆弱性を悪用されることもあります。そのため、脆弱性が放置されたままだと、セキュリティリスクが高まります。

そこで、定期的に脆弱性の有無や、影響度合いを診断する脆弱性診断を受けておくことが重要です。脆弱性診断を受けることで、社内システムに脆弱性が潜んでいないかを診断できます。また、定期的に診断を受けることで、新たに登場した脆弱性への対策も行えるでしょう。

脆弱性診断についてはこちらもご覧ください。
＞＞脆弱性診断とは？診断の種類や必要な理由、やり方やツールについても解説のページへ
＞＞脆弱性診断の適切な頻度とは？項目ごとの違いやタイミングについて解説のページへ

＜SHIFTの脆弱性診断＞

＞＞脆弱性診断サービス特設ページへ

標的型攻撃の被害にあった場合の対処法

万が一、標的型攻撃の被害にあったことが判明した場合には、感染元の端末やネットワークを隔離し、状況をすみやかに分析する必要があります。そして、情報を収集して影響がどこまでおよんでいるか、どのような攻撃なのかを分析し、対策が必要です。対策の実施、顧客や取引先へのアナウンス、再発防止策の検討などを行っていきます。

このような被害にあった場合の対処方法について、あらかじめマニュアル化しておき、各部署の連絡体制を強化しておくことが重要です。

まとめ

この記事では、標的型攻撃について、主な手法や攻撃の流れ、被害事例、攻撃を防ぐための対策について解説しました。

ターゲットを絞って、巧妙にしかけられた標的型攻撃は、防ぐのが困難といわれています。そのため、日ごろから十分に対策を行っておく必要があるでしょう。

SHIFTでは、社内システムに潜む脆弱性について、正確に把握して対策を講じるための脆弱性診断を行っています。セキュリティ基準の高い金融業界の導入実績も多く、高品質の診断サービスをご提供いたします。セキュリティ対策についてお悩みの場合は、お気軽にご相談ください。

SHIFTの脆弱性診断サービスはこちらをご覧ください。
＞＞セキュリティ（脆弱性）診断サービスページへ

ご相談はこちらから
＞＞お問い合わせページへ
＞＞料金についてページへ

引用元：

独立行政法人情報処理推進機構（IPA）｜標的型攻撃／新しいタイプの攻撃の実態と対策

この記事を書いた人

著者株式会社SHIFT　マーケティンググループ

SHIFTは「売れるサービスづくり」を得意とし、お客様の事業成長を全力で支援します。無駄のないスマートな社会の実現に向けて、ITの総合ソリューションを提供する会社です。

サービスサイト：https://service.shiftinc.jp/
コーポレートサイト：https://www.shiftinc.jp/
X（旧Twitter）：https://twitter.com/SHIFT_cp

ご支援業種

製造、金融（銀行・証券・保険・決済）、情報・通信・メディア、流通・EC・運輸、ゲーム・エンターテイメント

など多数

前のページへ

次のページへ

コラム一覧に戻る

標的型攻撃とは？主な手法や被害事例、防ぐための対策について解説

Introduction