サイバー攻撃の手法の1つである「標的型攻撃」は、特定の組織を攻撃対象として行う攻撃です。
標的型攻撃にはどのような特徴があるのでしょうか。また標的型攻撃に対し、各企業が取れる対策はないのでしょうか。標的型攻撃による被害事例に基づき、説明します。
増加する標的型攻撃被害の特徴
近年、標的型攻撃の被害は増加傾向にあり、その対象は大企業のみならず中小企業にまで及びます。これまで、サイバー攻撃の標的の多くは大企業でした。攻撃対象が広がる今、中小企業こそセキュリティレベルを上げる必要に迫られています。
セキュリティが弱い中小企業が狙われやすい
大阪商工会議所は、『「中小企業向けサイバー攻撃対策支援事業の開始」ならびに「中小企業におけるサイバー攻撃対策に関するアンケート調査結果」について』という詳細な調査資料を作成、公開しています。この資料によると、大阪近郊の中小企業が実際に受けたサイバー攻撃のトップ3は、次のとおりです。
1位が「標的型攻撃メールの受信」で18%、2位が「ランサムウェアへの感染」で7%、3位が「自社ホームページの改ざん」で3%です。この調査結果から、多くの中小企業が標的型攻撃の対象となっていることが分かります。
中小企業が標的型攻撃に狙われる理由として、大手に比べてセキュリティ対策が甘いことが挙げられます。上記調査でも68%の企業が「現在の情報セキュリティ対策は十分ではない」とし、その理由として60%の企業が「経費がかけられないため」と回答しています。中小企業の中には財政状況が厳しい企業もあり、十分なセキュリティ対策を施せていないことも多いのです。
しかし財政状況が苦しいからといって、セキュリティ対策を怠っていては危険です。その理由として、サプライチェーン攻撃の存在が挙げられます。サプライチェーン攻撃とはセキュリティの脆弱な企業へ攻撃し、そこを経由してターゲットとなる企業にサイバー攻撃を仕掛けるものです。
サプライチェーン上に複数の企業が関わる場合、企業ごとにセキュリティレベルが異なります。セキュリティの低い企業があれば、サプライチェーン上の企業全体がサイバー攻撃の被害にあう可能性があるのです。他企業に迷惑をかけないためにも、経費を割いてセキュリティ対策を強化する必要があります。
システムの脆弱性より個人の方が狙いやすい
攻撃者の多くは、企業全体のネットワークをいきなり攻撃するのではなく、はじめに従業員などの個人を攻撃します。
企業インフラに対しては修正パッチの適用やOSの最新アップデートなど、IT管理者が脆弱性を塞ぐための基本的な対応を一括して実施している企業が大半です。これに対し、従業員が個々に管理するPCやデバイスは、基本的な対応がおろそかになっている傾向があります。そのため攻撃者は、管理が手薄な個人を狙います。
従業員個人を攻撃するときに、頻繁に用いられる手法が「標的型攻撃メール」です。攻撃者は不正プログラムを組み込んだ標的型攻撃メールを作成し、それを攻撃対象の従業員に送り付けます。
標的型攻撃メールには、不正プログラムが組み込まれたファイルやWebサイトへのリンクが添付されています。従業員が会社内でその不正プログラムをダウンロードすると、使用中のPCやデバイスがウィルス感染する、という仕組みです。
サイバー犯罪者は感染した従業員のPCを足がかりに、企業内ネットワークに侵入します。個人のウィルス感染から企業全体の被害に繋がるため、日ごろから従業員に対してセキュリティ教育を施しておくことが需要です。
標的型攻撃の被害事例
標的型攻撃によって実害を被ってしまう理由には、単純にシステム上の脆弱性だけではなく、セキュリティに携わる人間の怠慢や認識不足も大きく関与しています。セキュリティに対する認識の甘さから発生した、標的型攻撃の被害事例を紹介します。
日本年金機構情報漏洩事件
2015年5月、日本年金機構が標的型攻撃を受け、125万件の個人情報が外部に流出しました。漏洩した個人情報は、年金加入者の氏名・基礎年金番号・生年月日・住所といった情報です。
この日本年金機構を狙った事件は、不正プログラムへの感染確認後の対応によって被害が拡大したとされています。
事件の大きな流れは以下の通りです。
ある職員が標的型攻撃メールを開封し、不正プログラムによって端末がウィルス感染しました。ウィルス感染の確認後、日本年金機構は"外部に情報を流出するタイプの攻撃ではない"という判断を下しました。さらに標的型攻撃メールの送信元アドレスを、受信拒否すらしなかったのです。
日本年金機構が情報漏洩について発表したのは、最初の攻撃が発覚してから約1ヶ月後。流出した情報は非常に重要な個人情報であるにもかかわらず、公表が遅すぎたと言わざるを得ません。このような攻撃を受けたときの検証の甘さと対応の遅れから、複数の標的型攻撃を誘発し被害が拡大する結果となりました。
事例からわかる回避策
先述したような標的型攻撃を回避するため、企業はどのような対策を講じるべきか、基本的な対策を紹介します。
セキュリティポリシーの策定
社内で情報セキュリティポリシーやルールが策定されていない場合は、早急に作成します。例えば、社内で使用している機器やアプリケーションに脆弱性が発覚したとき、修正パッチをいつ・誰が・どのように適用するのかをセキュリティポリシー上に明記します。
また、セキュリティポリシーを策定したら、社内にルール順守の周知徹底を図ることが重要です。先述の日本年金機構の情報漏洩事件では、「やむを得ずサーバ内に個人情報を格納する場合にはパスワードをかける」ことがルール化されていましたが、ルールが守られていなかったことが発覚しています。
標的型攻撃メールの特徴を社内で共有
標的型攻撃メールの件名は「前回セミナー企画会議の議事録の送付」など、組織で業務をしている者ならば、つい開封してしまうようなフレーズで書かれていることが大半です。件名の他にも、不自然な日本語の言い回しや日本語のフォントがおかしい、見覚えのない送信元やフリーアドレスからのメールなど、注意すべき点は多岐に渡ります。あらかじめこれらの特徴を知っておくことで、怪しいメールを開封する危険を十分に回避できます。そのため、従業員に標準型攻撃メールでよく利用される特徴を共有しておくことが大切です。
実際、日本年金機構の情報漏洩事件での標的型攻撃メールは、フリーアドレス(yahoo)から送信されていました。従業員のITリテラシーを高め、標的型攻撃メールに個々人が勘付く確率を上げていくことが、こうした被害を回避する上でのカギなのです。
不正アクセス防止サービスを利用
ファイアウォールなどに代表される侵入防止策として、セキュリティサービスを導入することも重要です。ウィルスや不正アクセス方法は日々進化しています。それらにも万全な体制を整えるためには、常に最新のサイバー犯罪情報を保持しているセキュリティサービスを利用しましょう。
標的型攻撃対策を含めセキュリティ対策には、検知・分析・封じ込め・根絶といったいくつかのフェーズが存在します。それらすべてで、最新の情報に基づく対策が行われる必要があります。そのためには、統合的なセキュリティを導入することが大切です。
まとめ
標的型攻撃を行う者は、まず小規模企業を攻撃し、そこから、サプライチェーン上の大企業のネットワークへと、侵入する突破口を開きます。
仮に、不正プログラムに感染したのが従業員1人だったときも、対策をおろそかにしてはいけません。初動の遅れが大規模な情報漏洩事件のきっかけになってしまう危険は十分にあります。また、企業内ネットワークに侵入するときの手口も巧妙化しているため、企業全体のITリテラシーを底上げし、信頼できるセキュリティサービスを導入しましょう。
