標的型攻撃の手順とその対策

標的型攻撃の手順

最近になって、さまざまな企業や組織において多発している情報漏洩事件。
その手法として「標的型攻撃」という言葉がよく聞かれるようになりました。

標的型攻撃とは、文字通り特定の標的を狙う攻撃です。
その特徴は、標的のことを詳細に調べ上げ、その標的のためだけにマルウェアを作成するということです。そして、気づかれないように標的内に潜伏し、長い時間をかけて重要な情報を盗み続けます。
具体的には、次のような段階を踏みます。

標的型攻撃は、標的の入念な調査から始まります。
例えば、標的となった企業や組織のウェブサイト組織図や一部の従業員の名前などを調べて、その情報をもとに、FacebookやTwitterから従業員の情報を把握し、標的型メールを送ります。このメールは、受信者がうっかり開いてしまうような巧妙なものです。例えば社長や上長などの職務上関係のある人を装って送られます。

恐ろしいのは、多くの場合メールの内容に不審な点はなく、添付ファイルを開いても普通に内容が表示されるということです。しかし、その裏ではカスタマイズされたウイルスが実行されています。
こうしたウイルスは、PDFやFlash、Javaなどの脆弱性を悪用するものです。また、カスタマイズされたウイルスなので、一般的なウイルス対策ソフトでは検知できないのです。
パソコンに感染すると、ウイルスはバックドアを開き、さまざまな機能を持つ複数のウイルスをダウンロードします。

ウイルスは企業の組織内のネットワークを使って感染を拡大し、重役など機密情報にアクセスできるような高い権限のあるパソコンを特定します。そこから重要なデータを盗み出し、バックドアからサイバー攻撃者が管理するC&C（コマンド＆コントロール）サーバに送信していきます。
十分に情報を盗み出したら、ウイルスは自らを消去し、痕跡も消し去っていきます。このため、データを盗まれたことにさえ気づかない組織も多いといわれています。

標的型攻撃への対策

標的型攻撃は、これまで述べたようにいくつかの段階があります。
被害を最小限に抑えるためには、より早い段階で攻撃を検知し、対策する必要があります。
例えば、標的型メールが届いた時点で検出できれば、そこで攻撃を止められるでしょう。
そのためには、従来のウイルス対策ソフトだけでなく、危険性のある添付ファイルを隔離された場所で実際に動作させる「サンドボックス機能」のあるメール対策製品や、ふるまいやレピュテーションにより悪意のあるファイルを検出する機能が有効です。

また、組織内でウイルス感染が広がるのを防ぐには、組織内のネットワークを監視して不審な通信を検出するソリューションが必要です。例えば、ネットワーク内のパソコンへ順番に通信を行うようなことは通常ありえないので、そうした通信が検出されれば、標的型攻撃かもしれないと疑いを持つことができます。
また、C＆Cサーバとの通信を検出することも有効な対策のひとつです。標的型攻撃は非常に巧妙な手法が多いため、最近では、こうした「侵入前提」の対策が求められています。

複数の対策による「多層防御」を行っていても、それを突破される可能性があります。
そこで最終的な対策となるのが「データベースの暗号化」です。
データベースを暗号化しておくことで、たとえデータを盗まれても開くことができないからです。

標的型攻撃に限らず最近のセキュリティ対策は、攻撃に手数が必要になるような「多層・多段階防御」と「侵入されていることを前提とした対策」が有効といえます。

【参照】

【注意喚起】ウイルス感染を想定したセキュリティ対策と運用管理を | IPA