トレンド解説

企業を狙う「標的型攻撃」とは? 被害を防ぐための対策

アイキャッチ
目次

2023年11月28日 www.soliton.co.jp より移設


特定の組織内の情報を盗み取るために行われる標的型攻撃。企業はこのサイバー攻撃から重要な情報を守り、顧客や取引先との信頼関係を維持する社会的責任があります。ここでは、一般的な標的型攻撃の概要と企業が受ける被害、予防のためにとれる対策について説明します。

標的型攻撃とは

標的型攻撃は海外ではAPT(Advanced Persistent Threat:高度で継続的な脅威)と呼ばれ、サイバー攻撃の手法のひとつとして知られています。悪意のある攻撃者が組織や企業などを標的として、機密情報や個人情報を中心に、さまざまな方法を使って盗み取ろうとします。日本国内でも政府や民間の大企業を中心に標的型攻撃によって機密情報が盗み取られる事件が発生しています。

標的とした組織に所属する社員や関連会社の社員などを装って、ウイルスが含まれたメールを送信し、そのメールを開いた端末を感染させる手法が知られています。
また、標的の企業が大企業でセキュリティが固い場合などは、直接狙うのではなく、セキュリティ対策が十分ではない関連会社や取引先から攻撃して踏み台とし、最終的に標的の企業への攻撃につなげることもあります。これは「標的型攻撃」とは別に、「サプライチェーン攻撃」と呼ばれます。

標的型攻撃で企業が受ける被害

標的型攻撃の目的はデータの窃取だけではなく、金銭目的やいやがらせ、社会的信用を落とすといったものも含まれます。

企業がもつ重要情報が漏えいしてしまうと、企業は顧客や取引先にも多大な被害を与えることとなり、副次的な被害が連続的に発生します。この場合、謝罪のための金銭的な問題だけではなく、企業の社会的信用の失墜と顧客離れや取引の停止、さらには株主からの追求や株価の下落など、会社の存続に関わる事態に発展するおそれもあります。

一度社会的信用が落ちてしまうと、元に戻すまでには多額のコストと時間がかかります。離れていった顧客を取り戻すための戦略の練り直しや新たなキャンペーンの展開などで挽回を図りながら、一方でサイバー攻撃に遭わないための対策も行わなければならないため、何重にもコストがかさんでしまいます。

標的型攻撃による被害を防ぐための対策

標的型攻撃に遭わないための対策としては、事前に社員やスタッフを教育する人的な部分での対策と、社内のコンピュータやOS、ソフトウェア、ネットワークをチェック・アップデートするなどのIT面の対策が必要です。

人的な部分でできる対策としては、全社の従業員に対して標的型攻撃の脅威と予防方法を周知しITリテラシーを高く保つことです。標的型攻撃では実行ファイル(exeなどの拡張子をもつプログラムなど)から利用者に直接実行させる形式の手法が全体の7割以上を占めていると言われ、同業者や取引先、顧客に偽装したメールを不用意に開かない・送信元をチェックする・おかしな添付ファイルは管理者に確認・報告し削除するなどの対応が取れるように情報共有を行うなどが必要です。

異常が発生したときのために組織内のどこへ連絡するかを決め、連絡の手順の立案と確認・連絡を受けた部門の初動対応の作成・事前の訓練も実施し、万が一に備えるようにしましょう。

IT面での入口対策としては、メールのフィルタリングや最新のウイルス対策ソフトの導入・標的型攻撃に関する最新情報の確認・脆弱性をカバーする対策が有効です。OSやアプリケーションを最新の状態に更新し、セキュリティ面での不安を最小限にすることも予防策の基本のひとつです。

標的型攻撃には内部対策や出口対策も重要

標的型攻撃は不特定多数への攻撃と異なり、マルウェアが特注品のようなものであり、前例がないため、検知しにくいという特徴があります。実際に、その被害を完全に防ぐことは難しいとされていますが、入口対策と同時に被害を受けることを前提とした内部対策や出口対策も同じく重要です。

内部対策のひとつに、端末のプロセスを監視し、脆弱性を利用した攻撃コードの実行そのもの検知・ブロックするEDR製品があります。様々なソフトウェアのゼロデイ脆弱性におけるコード実行型攻撃(脆弱性攻撃)にも対応します。従来のウイルス対策製品とは異なり、パターンファイルを持たない製品もあり、パターンファイルの更新などによる端末負荷がかからないメリットがあります。

また、標的型攻撃では多くが検知まで長時間かかっており、他組織から指摘されて初めて気づいたケースもあります。そのため、サーバやアプリケーションなど、システムのログを取得し異常な通信をすばやく発見する対策も有効です。ログを取得すれば、侵入が発覚してから被害の内容や実情の特定を速やかに行うことが可能であり、効果的な対策方法を検討するためにも重要な情報源となります。また、警察への被害届や裁判での証拠として使われることもあります。

出口対策には、マルウェア感染後に外部への不審な通信が発見され次第遮断する方法のほか、データ流出後、情報にアクセスできないようにあらかじめデータを暗号化しておく対策も予防に力を発揮します。

その他、同一のネットワーク上で被害を拡大させないためのネットワーク分離や、ファイルを分析・分解してマルウェアの可能性があるスクリプトやマクロなどを取り除いて再構築するデータの無害化なども標的型攻撃への対策方法のひとつです。

標的型攻撃はさまざまな手法を使って行われ、社員や関係者に偽装して侵入を試みるサプライチェーン攻撃も行われています。企業活動に甚大な被害を与える可能性が高く、十分な対策と情報の周知・共有が必要不可欠となっています。入口・内部・出口対策を必ず実施し、万が一に備えてしっかりと対策を行いましょう。

記事を書いた人

ソリトンシステムズ・マーケティングチーム