標的型攻撃とは、多数の企業や組織を手当たり次第に攻撃するのではなく、特定の組織に照準を合わせて狙い撃ちにするサイバー攻撃のことを言います。IPAの情報セキュリティ10大脅威にも毎年選出されているこの脅威について、本記事では種類や手口、標的型攻撃メールの特徴、実際のインシデント事例、対策などについて紹介します。ビジネスメール詐欺やランサムウェア攻撃など、混同されがちな攻撃手口との違いについても解説するので、標的型攻撃がどんなものなのかイメージが掴みづらいという方にとっても参考になれば幸いです。
- 情報セキュリティ10大脅威 2024で第4位
- メールの添付ファイルや本文記載のリンクからマルウェアに感染させる
- 改ざんされたWebサイトからマルウェアに感染させる
- 不正アクセスにより組織内部へ侵入する
- 話題や内容の特徴、例
- 本文や文字表記に関する特徴、例
- 添付ファイルやアドレスに関する特徴、例
- 標的型攻撃とビジネスメール詐欺(BEC)の違い
- 標的型攻撃とランサムウェア攻撃の違い
- 標的型攻撃と水飲み場型攻撃の違い
- 標的型攻撃とAPT攻撃の違い
- マルウェア感染による情報漏洩
- マルウェア感染後、不審メール送信の踏み台に
- 「なりすまされる側」になった事例
- 従業員教育
- 入口対策
- 出口対策
- 対応体制の整備
標的型攻撃とは?概要を簡単に
標的型攻撃とは、その名の通り、不特定多数の組織をランダムに狙うのではなく、特定の組織に標的を絞って行われるサイバー攻撃のことです。機密情報等を窃取することや業務を妨害することなどを目的に、メールの添付ファイルや悪意あるWebサイト、または脆弱性を突いた不正アクセスなどの手段を通じて組織を攻撃します。
情報セキュリティ10大脅威 2024で第4位
IPA(独立行政法人情報処理推進機構)は毎年、前年の情報セキュリティ動向を踏まえて特に影響が大きかった脅威のトップ10を「情報セキュリティ10大脅威」として選出しています。このランキングには、「標的型攻撃による機密情報の窃取」という脅威が9年連続でランクインしており、2024年版でも4位という高い順位に入っていることから、標的型攻撃は引き続き日本国内での重要度が高い問題だと言えます。
<2024年版 情報セキュリティ10大脅威(組織編)>
標的型攻撃の種類と手口
標的型攻撃を仕掛ける手段として最も一般的なのが、実在する組織からの連絡や業務に関連する連絡などに見せかけたEメールを用いるというものです。このほか、ハッカーによってあらかじめ改ざんされたWebサイトを通じてマルウェアに感染させたり、脆弱性を突いた不正アクセスによってシステム内部へ侵入したり、窃取または漏洩した認証情報を使って正規の経路でシステムへ侵入するといった手口も使われます。
<標的型攻撃の手口>
- 標的型攻撃メール
- Webサイトの改ざん(水飲み場型攻撃)
- 不正アクセス
など
メールの添付ファイルや本文記載のリンクからマルウェアに感染させる
ターゲットとなる組織に合わせてカスタマイズされたEメールを使い、情報窃取などを目的としたマルウェアに感染させようとする手口です。「標的型攻撃メール」と呼ばれるこのメールには、マルウェアの仕込まれたファイルが添付されていたり、悪意あるリンクが本文に埋め込まれていたりします。こうしたファイルを開封してしまったり、リンクをクリックしてしまうと、端末へマルウェアがインストールされる恐れがあります。
また、1通目のメールでマルウェアを送り込むのではなく、やり取りを複数回行うことで相手を油断させ、不信感を取り除いてから有害な添付ファイルを送り付ける「やり取り型攻撃」という手口も報告されています。
改ざんされたWebサイトからマルウェアに感染させる
標的組織が頻繁に利用するWebサイトを改ざんしてマルウェアを仕掛けておき、その組織の従業員や職員が当該サイトへアクセスした際にPCがマルウェアに感染するようにしておくという攻撃手法です。猛獣がオアシスなどの水場に潜んで獲物を待ち伏せし、水を飲みにきた動物に襲いかかる様子になぞらえて「水飲み場型攻撃(Watering Hole Attack)」とも呼ばれます。
<水飲み場型攻撃のイメージ>
多くの場合、攻撃者はWebサイトへの訪問者をIPアドレスで確認し、狙った組織からのアクセスがあった場合にのみマルウェアを感染させます。つまり、標的以外の組織がこのサイトを閲覧しても感染は起こらないため、Webサイト改ざんの発覚が遅れる可能性があります。
不正アクセスにより組織内部へ侵入する
標的組織が利用するクラウドサービスやサーバー、VPN機器などの脆弱性を悪用して不正アクセスを行い、組織内部へ侵入するという手法です。脆弱性の悪用以外にも、何らかの手段で不正に入手した認証情報(※)を使って正規の経路でシステムへ侵入する場合もあります。
※認証情報はフィッシングやスティーラーマルウェア(情報窃取型マルウェア)などを使って窃取されたり、ブルートフォース攻撃の手口で破られてしまうことがあります。認証情報漏洩の経路やリスクなどについて、詳しくはこちらの記事をご覧ください:
標的型攻撃メールの特徴と例
前述のように、情報窃取などを目的として、ごく少数または多数ながら特定された範囲のみに対して送られる、利用者のPCをマルウェアに感染させることを目的としたメールを標的型攻撃メールと呼びます。標的型攻撃メールには、主に以下のような特徴があります。
- 組織の担当者が業務に関係するメールだと信じてしまうような巧妙な作り。
- 一見して不審な点があまりなく、気がつきにくい。
- 受信側の興味を引いたり、読まなければならないと思わせたりするような細工がされている。
- メールの受信者に関係がありそうな送信者を詐称している。
- 添付ファイルや本文中のURLリンクを開かせるため、件名・本文・添付ファイルに細工が施されている(業務に関係するメールを装っていたり、興味を惹かせる話題に触れていたり、添付ファイルの拡張子が偽装されているなど)。
- ウイルス対策ソフトで検知しにくいマルウェアが使われる。
もう少し具体的には、以下のような特徴が見受けられます。
話題や内容の特徴、例
- 社内の連絡メールを装っている
例)人事情報、新年度の事業方針など
- 業務に関連する内容
例)子会社・取引先からの連絡を装っている、契約関連の内容など
- 関係省庁や政府機関からの情報展開を装っている
例)災害情報、感染症情報など
- メール本文の URL や添付ファイルを開かざるを得ない内容
例1)新聞社や出版社からの取材申込や講演依頼
例2)製品やサービスに関する問い合わせ、クレーム など
本文や文字表記に関する特徴、例
- 日本語の言い回しが不自然
例)「です・ます」調と「だ・である」調が入り乱れている など
- 日本語では使用されない漢字(繁体字、簡体字)が使われている
例)來、车、顺など
- メール署名の内容が間違っている
例1)組織名や電話番号が実在しない
例2)電話番号がFAX番号として記載されている など
- 本文記載のURLの一部に、実在する名称が含まれる
例)microsoft、googleなど
- 表示されている URL(アンカーテキスト)と実際のリンク先のURL が異なる(HTML メールの場合)
例)アンカーテキストは「http://microsoft.com/〜」だが、
実際のリンク先URLは「http://microsoft.com.xx/〜」になっている など
添付ファイルやアドレスに関する特徴、例
- フリーメールアドレスから送信されている
例)Gmail、Yahoo!メールなど
- 差出人のメールアドレスとメール本文の署名に記載されたメールアドレスが異なる
- 実行形式ファイルが添付されている
例)exe、scr、cplなど
- ショートカットファイルが添付されている
例)lnkなど
- アイコンが偽装されている
例)実行形式ファイルなのに文書ファイルやフォルダのアイコンとなっている
標的型攻撃とその他の攻撃手法との違い
ここでは、標的型攻撃と混同されてしまいがちな以下の攻撃について、違いをそれぞれ簡単に説明します。
標的型攻撃とビジネスメール詐欺(BEC)の違い
ビジネスメール詐欺(BEC)とは、海外の取引先や自社の経営者、また外部の第三者などになりすました攻撃者が、企業の従業員へ偽のEメールを送って入金を促すタイプの詐欺のことを言います。先ほど紹介した2024年版情報セキュリティ10大脅威でも第8位にランクインしており、国内での注目度が高い脅威である点は標的型攻撃と同様です。
<標的型攻撃メールとビジネスメール詐欺(BEC)の違いと共通点>
- 両者の大きな違いは、目的にあります。標的型攻撃は情報窃取(諜報活動)や業務妨害を目的に行われるケースが大半であるのに対し、ビジネスメール詐欺は金銭の獲得を目的とした詐欺手法です。
- 一方で、受信者に偽メールが本物の正当なメールであると信じ込ませるために、メールの件名や宛先、内容、メールアドレス、添付ファイルなどにさまざまな工夫を施している点はいずれにも共通しています。
※ビジネスメール詐欺について詳しくは、こちらの記事をご覧ください:ビジネスメール詐欺(BEC)とは?2023年の事例と併せて手口や対策を解説
標的型攻撃とランサムウェア攻撃の違い
ランサムウェア攻撃とは、ランサムウェアと呼ばれるマルウェアを使ってターゲットのシステムやデータを暗号化し、これを解除するための復号鍵と引き換えに身代金を要求するというサイバー攻撃です。近年では、暗号化の前にデータを窃取して「データをリークされたくなければ金銭を支払え」と恐喝するケースが増えています。
<標的型攻撃とランサムウェア攻撃の違い>
- 標的型攻撃は攻撃対象を絞り込んで行われる攻撃です。ランサムウェア攻撃も特定の組織を狙い撃ちにするケースはありますが、不特定多数の組織を無差別に狙うような攻撃も過去に報告されています。
- 標的型攻撃の主な目的は情報窃取や偵察行為であるのに対し、ランサムウェア攻撃は主に金銭の獲得を目当てに実施されます。
- ただし、時には標的型攻撃メールの添付ファイルなどを利用してランサムウェアが送り込まれるケースもあります。
※ランサムウェア攻撃について詳しくは、以下の記事をご覧ください:
標的型攻撃と水飲み場型攻撃の違い
前述の通り、水飲み場型攻撃とは、ターゲットが日常的に閲覧するWebサイトにマルウェアなどの不正なプログラムを仕掛け、次回このターゲットが当該サイトを閲覧した際に、閲覧に使用されたPCをマルウェアに感染させるという攻撃手法のことです。
水飲み場型攻撃は数ある標的型攻撃の手法の1つであり、前者は特定の手法を指す具体性の高い用語であるのに対し、後者はより広義な概念である点が異なっています。
標的型攻撃とAPT攻撃の違い
APT攻撃も、標的型攻撃の一種に位置付けられています。「APT」は「Advanced Persistent Threat」の略語ですが、日本語へは「高度サイバー攻撃」、「高度標的型攻撃」、「高度持続型脅威」、「高度持続的脅威」などと訳されています。APT攻撃も標的型攻撃の一つではあるものの、水飲み場型攻撃のように具体的な手口を指すわけではありません。主に技術的に高度かつ、長期にわたって持続的に行われる標的型攻撃が総じてAPT攻撃と呼ばれます。
<標的型攻撃とAPT攻撃の違い>
- APT攻撃の多くはいずれかの国家や政府の後援を受けた攻撃者によって実施されますが、一般的な標的型攻撃は個人によって首謀される場合もあります。技術面でも、APT攻撃者の方がはるかに高度なことがほとんどです。
- APT攻撃は標的ネットワークへの侵入後、密かに長い時間潜伏して偵察やネットワーク内での移動を行ったのち、重要な情報を盗み取ろうとするという「持続的」な点が特徴です。その他の一般的な標的型攻撃にも、長期的に何度も攻撃メールを送りつけたり、長期間システム内に潜伏するといった長いスパンで行われるものもありますが、一方で短期間で攻撃が完結するものもあります。
標的型攻撃の実際のインシデント事例
マルウェア感染による情報漏洩
2023年10月、ある国立大学が標的型攻撃メールによるマルウェア感染および情報漏洩の可能性について公表した。これは、同学の教員1名が在宅勤務時に使用していたPCが2022年7月19日に受信した標的型攻撃メールによりマルウェアに感染し、その後2023年1月18日に感染の事実が発見されたというもの。その後の調査によりPC内の情報窃取の形跡が発見され、教職員や学生、卒業生等の個人情報を含む情報数千件などが漏洩した可能性があることが発覚した。
マルウェア感染後、不審メール送信の踏み台に
ある総合印刷会社が、2022年1月28日に「メールウイルス感染に伴う不審メール発生に関するお詫びとお知らせ」と題したインシデント通知を公開した。これによれば、2022年1月25日に社内のPCが取引先を装う標的型攻撃メールを受信し、従業員が添付ファイルを開いたことで当該PCがウイルスに感染。その後27日に、ウイルスの影響により同社を装った不審メールが送信されていることが発覚したとのこと。
「なりすまされる側」になった事例
2022年3月18日、電気機械器具や工事材料の販売などを行う会社が、同社の名前を騙った標的型攻撃メールが複数人に届いた旨を報告。ウイルス感染の恐れや個人情報の開示を促すサイトへ誘導される恐れがあると注意喚起し、添付ファイルの開封やメール本文中のURLのクリック、返信等の操作を行わないよう呼びかけた。
標的型攻撃への対策
従業員教育
標的型攻撃では、標的型攻撃メールが初期段階の手法として使われるケースが多くあります。このため、従業員に標的型攻撃メールの特徴や見分け方などを周知して、疑わしいメールが届いても添付ファイルを開封したりリンクやURLをクリックしないよう指導しておくことが重要です。また、不審なメールが届いた際の連絡窓口や報告ルールを事前に定めておくことも求められます。
※その他、一般的な情報セキュリティ教育についてはこちらの記事もご覧ください:情報セキュリティ教育はなぜ必要?「人」が原因のリスクや教育内容について解説
入口対策
攻撃者の侵入を防ぐための対策としては、以下のようなものが挙げられます。
- ファイアウォールを導入する
- 最新のアンチウイルスソフトを導入する
- メールセキュリティソフトを導入する
- IDS(不正侵入検知システム)やIPS(不正侵入防御システム)を導入する
- エンドポイントセキュリティ製品(EDRなど)を導入する
- 脆弱性対策(定期的なOS/ソフトウェアアップデート、脆弱性情報の収集など)
- アプリケーション許可リストの整備
- 適切なパスワード運用、多要素認証の有効化
など
出口対策
標的型攻撃においては、侵入を許してしまった場合に備えた対策も講じる必要があります。たとえ事前対策をすり抜けられてしまったとしても、攻撃者に最終目的(情報窃取など)を達成させないようにするための多層防御を実施することが重要です。
- マルウェアの社内蔓延防止(端末間、他部署間のネットワーク通信の制限)
- ネットワークのセグメント分離
- ネットワークログやサーバーログの取得・分析
- アクセス制御
- 通信経路の制御(社内端末からの外部通信はプロキシを経由させるなど)
- プロキシサーバーの認証ログの監視・分析
- 社内ネットワークトラフィックの監視
- 重要サーバーのインターネットからの隔離
- ゼロトラストアプローチの採用を検討する(※)
など
※ゼロトラストセキュリティについて、詳しくはこちらの記事をご覧ください:ゼロトラストセキュリティとは?5つの構成要素と対策の具体例
対応体制の整備
実際に標的型攻撃を受けてしまった際の対応フローを定めるなど、対応体制を事前に整備しておくことも大切です。
<インシデント対応体制の整備>
- CISOの配置
- CSIRTの構築
- インシデント対応計画の策定、社内周知
- 策定した対応フローの運用訓練
- 社内および外部の連絡窓口、協力依頼先などの整理
- 社内規則の整備
など
※インシデント対応やCSIRTについては、以下の記事もご覧ください:
最後に
標的型攻撃に備えるためには、標的型攻撃メールを阻止するための従業員教育やその他の基本的な入口対策だけでなく、万が一攻撃者に侵入された場合を想定した出口対策やインシデント対応体制の構築も重要です。前述のIPAによるPDF資料「情報セキュリティ10大脅威 2024」には、標的型攻撃の概要や手口、主な対策が掲載されています。こうした資料を参照しながら、被害に遭わないため、または攻撃されたとしても被害を最小限にとどめるための体制を構築していきましょう。
自社のみでの対策が難しい、知見が足りない、といった課題がある場合には、セキュリティコンサルサービスの利用を検討してみるのもお勧めです。株式会社マキナレコードでも、情報セキュリティ教育からCSIRTなどのセキュリティ体制構築、規定やガイドラインの策定まで、情報セキュリティに関する支援を幅広く行っております。弊社サービスについて、詳しくはホームページをご覧いただくか、以下のバナーより無料の資料をご請求ください。
ランサムウェアレポート無料配布中!
以下のバナーより、ランサムウェアのトレンドを扱ったSilobreaker社のレポート『2024 Ransomware? What Ransomware?』の日本語訳バージョンを無料でダウンロードいただけます。
<レポートの主なトピック>
- 主なプレーヤーと被害組織
- データリークと被害者による身代金支払い
- ハクティビストからランサムウェアアクターへ
- 暗号化せずにデータを盗むアクターが増加
- 初期アクセス獲得に脆弱性を悪用する事例が増加
- 公に報告された情報、および被害者による情報開示のタイムライン
- ランサムウェアのリークサイト – ダークウェブ上での犯行声明
- 被害者による情報開示で使われる表現
- ランサムウェアに対する法的措置が世界中で増加
- サプライチェーン攻撃を防ぐため、手口の変化に関する情報を漏らさず把握
- 複数の情報源と脅威インテリジェンスツールを活用することが依然不可欠
Writer
2015年に上智大学卒業後、ベンチャー企業に入社。2018年にオーストラリアへ語学留学し、大手グローバル電機メーカーでの勤務を経験した後、フリーランスで英日翻訳業をスタート。2021年からはマキナレコードにて翻訳業務や特集記事の作成を担当。情報セキュリティやセキュリティ認証などに関するさまざまな話題を、「誰が読んでもわかりやすい文章」で解説することを目指し、記事執筆に取り組んでいる。