企業のIT担当者にとって、近年、特に警戒しておきたいサイバー攻撃の一つに標的型攻撃があります。不特定多数を狙うのではなく、特定の企業や組織をターゲットとし、あらゆる手口で侵入を試みる非常に巧妙な攻撃です。アンチウイルスソフトの防御を突破する可能性もあるため、それだけでは安心できません。

そこで本記事では企業が取るべき標的型攻撃の対策をご紹介します。適切な対策を取るにあたって知っておきたい標的型攻撃の手口や特徴、対策時の注意点も解説しているので、ぜひ参考にしてみてください。

〈この記事を読んでわかる内容〉

標的型攻撃とは、特定の企業や組織を狙い、機密情報の窃取や業務妨害などを目的として行われるサイバー攻撃の一種です。

不特定多数を対象とするサイバー攻撃とは異なり、攻撃者は事前に標的の組織構造や利用システム、担当者のメールアドレスなどを詳細に調査します。そのうえで、標的の担当者が警戒心を抱きにくい巧妙な手口で攻撃を仕掛けてくるのが特徴です。

そんな標的型攻撃の対策を取るために、まずはどのようなサイバー攻撃なのか、以下の項目に分けて詳しく見ていきましょう。

標的型攻撃の主な目的は、主に以下のようなものが挙げられます。

このように目的は様々です。例えば、企業の持つ顧客情報や技術情報、開発計画などは、攻撃者にとって非常に価値のあるものと捉えられている可能性があります。情報によっては身代金を要求されるケースも考えられます。また、重要インフラを狙った攻撃では、社会機能の停止を目的としているのかもしれません。

攻撃者はそうした目的を達成するために、長期間にわたって標的のシステムに潜伏し、内部情報を探ったり、不正な操作をしたりします。手口は巧妙化の一途を辿っており、発見が困難なケースも少なくありません。

標的型攻撃と無差別型攻撃の最も大きな違いは、攻撃対象が特定されているかどうかです。

無差別型攻撃は、インターネット上に広くばらまかれたウイルス付きメールや不正なWebサイトなどを通じて、不特定多数のコンピューターに感染を広げることを目的としています。

一方の標的型攻撃は、特定の企業や組織を事前に調査し、弱点や関係者を綿密に調査したうえで、ピンポイントに攻撃を仕掛けます。そのため、無差別型攻撃に比べて攻撃メールの内容がより具体的で巧妙であったり、標的が普段利用するWebサイトが改ざんされていたりするなど、防御が難しい傾向にあります。

従来のアンチウイルスソフトは、既知のマルウェアのパターンファイルに基づいて脅威を検知する仕組みです。そのため比較的新しい標的型攻撃の手法や、標的の環境に合わせてカスタマイズされたマルウェアに対しては、十分な効果を発揮できない場合があります。

標的型攻撃では、攻撃者は検知を逃れるために既存のマルウェアを改良したり、全く新しいマルウェアを開発したりするケースもあります。マルウェアを使用せずに、正規のツールやOSの機能を悪用するファイルレス攻撃といった手法も用いられるため、多層的なセキュリティ対策が不可欠です。

標的型攻撃のターゲットは大企業だけではありません。むしろ、中小企業の方が狙われやすいともいわれています。標的型攻撃の攻撃者は、必ずしも直接的な機密情報を狙うとは限らないためです。

中小企業が持つ特定の技術や顧客情報、大企業との取引関係などを足がかりに、より大きな組織への侵入を試みるサプライチェーン攻撃の踏み台として利用される可能性があります。

大企業のシステムは厳重です。一方の中小企業はセキュリティ対策が手薄であると見なされやすく、攻撃者にとって比較的容易に侵入できる標的になるのです。

標的型攻撃の手口は多様化しており、常に新しい手法が登場しています。ここでは、代表的な手口と種類を4つご紹介します。

標的型攻撃メールは、標的の組織の部署や担当者になりすましたり、取引先や関係者を装ったりして巧妙なメールを送信する手口です。メールに添付したファイルを開かせたり、不正なURLをクリックさせたりします。最も代表的な標的型攻撃の手法です。

メールの内容は、業務に関わる内容や緊急性を装うなど、受信者が警戒心を抱きにくいものになっています。記載されているURLや添付ファイルもプロジェクトに関係のある名前がついているため、非常にわかりにくい点に注意が必要です。

水飲み場攻撃とは、標的がよくアクセスするWebサイトを特定し、そのサイトを改ざんすることで、アクセスした標的をマルウェアに感染させる攻撃手法です。水飲み場に獲物が現れるのを待ち伏せて襲うような攻撃であることから、水飲み場攻撃と呼ばれます。

標的が日常的に閲覧するWebサイトの他にも、公的機関のサイトが改ざんされるケースもあるため、怪しいサイトの閲覧を控えるだけでは、攻撃を回避できない点も非常に厄介です。

自社の内部システムをどれだけ強化していても、従業員がリンクを開いてしまうと攻撃が広がります。「いつも使っているから安心」という利用者の心理を逆手に取った手口です。

標的型攻撃の中には、脆弱性のあるネットワーク機器やサーバー、アプリケーションなどを悪用し、不正にシステム内部へ侵入する手口もあります。

なかでも、まだ発見されていない脆弱性を突いた攻撃をゼロデイ攻撃といいます。通常、システムやネットワークは定期的な脆弱性診断が行われ、脆弱性が発見されればパッチを適用して修正されます。ゼロデイ攻撃は、そのような対策が行われる前の脆弱性を狙って攻撃する手法です。

脆弱性に対する修正パッチの適用などの対策日を1日目と数え、対策を講じる前の0日目に攻撃することからゼロデイ攻撃と呼ばれています。

ゼロデイ攻撃は、未然に対策することが難しい攻撃であり、標的型攻撃の中でも大きな脅威となるでしょう。

標的型攻撃に対して企業ができる対策は多岐にわたりますが、ここでは従業員一人ひとりが対策すべきことと、企業が組織として対策すべきことに分けてご紹介します。

まず、セキュリティ意識を高めることが、標的型攻撃対策の基本です。

以下のようなセキュリティ対策を、従業員全員ができるようにしておきましょう。

こうした基本的な対策を徹底できるかが重要です。同時に社内でのセキュリティ教育や訓練を定期的に実施し、従業員のリテラシー向上を図るようにしましょう。

標的型攻撃へ企業が組織として対策すべきこととしては、以下のようなものがあります。

ウイルス対策としては、多層的なセキュリティ対策が求められます。ファイアウォールの導入と適切な設定、侵入検知・防御システム（IDS/IPS）の導入、エンドポイントセキュリティの強化など、複数の方法で検知・対策を取れるようにしておきましょう。システムやネットワークの定期的な脆弱性診断やペネトレーションテストを実施するなど、セキュリティ製品を導入して終わりではなく、継続的なアップデートが重要です。

また、標的型攻撃用の訓練メールを送るのも効果があります。従業員の現在のリテラシーレベルを把握することができ、教育のきっかけにすることができます。

他にも、標的型攻撃の対策をする際に注意したいポイントがあります。

どんなに強固なセキュリティ対策を講じても、100%攻撃を防げるわけではありません。万が一、被害に遭ってしまった場合の対応手順を事前に策定しておくようにしましょう。慌てずに対応できるようになります。

被害状況の把握や影響範囲の特定、復旧手順、関係各所への報告体制などを明確にし、被害を最小限に抑えられるように準備しておくと良いでしょう。被害が発生したケースを想定した訓練をするのもオススメです。

専門のIT担当者がいる場合、情報を共有しておくのも重要です。標的型攻撃の手口は日々進化しているため、IT担当者は常に最新の情報や脅威に関する知識を持っておきましょう。

IT担当者は外部のセキュリティ関連情報やセミナーなども積極的に活用し、組織全体のセキュリティレベル向上に努める必要があります。セキュリティ対策を従業員の意識だけに任せるのではなく、IT担当者が組織として対策を取るようにしましょう。