標的型攻撃は英語で「APT(Advanced Persistent Threat)」 と呼ばれ、世界的に恐れられているサイバー攻撃の一種です。国内では2015年に日本年金機構で起こった125万人の個人情報流出事件により、一気にその知名度が上がりました。
実はその数年前から標的型攻撃は世界的に広がっており、2013年にはYahoo! JAPANへの不正アクセスにより、最大2,200万件のIDや148万件のパスワードが流出し話題になりました。(https://tech.nikkeibp.co.jp/it/article/NEWS/20130518/477761/)
現在では「標的型攻撃による被害が落ち着きつつある」という見解もありますが、多くの攻撃者は虎視眈々と、同じ手法で企業を攻撃することを狙っていることは間違いありません。
本稿では、そもそも標的型攻撃対策とは何かを解説し、具体的にどのような対策を取ればよいのかを分かりやすく解説します。
標的型攻撃のシナリオ
標的型攻撃の始まりはメールを利用したものが多いです。攻撃者はターゲットとなるユーザーが身を置く業界について入念に下調べを行った上で新規顧客を装い、ユーザーの興味関心、取引状況に関連するメールを送信します。そして、それらのメールには不正プログラムが組み込まれた添付ファイルや、不正サイトへ誘導するリンクが含まれています。標的型攻撃と気づかず添付ファイルを実行してしまったり、リンクをクリックしてしまったりすると、端末がマルウェアに感染してそこから被害が急速に広がっていきます。
日本年金機構で発生した標的型攻撃もこのタイプで、悪質な添付ファイルだと気づかずにファイルを実行した職員の端末からネットワークを介して、大量の個人情報が流出しました。
他にも標的型攻撃のきっかけとして悪用される攻撃の1つに“水飲み場攻撃”というものがあります。これは、サバンナで池や川に水を飲みに来た草食動物を狙うライオンの姿にちなんだサイバー攻撃であり、信頼性の高いWebサイトやそれに似せた疑似サイトに不正プログラムを組み込み、そこにアクセスしたユーザーの端末に不正プログラムを自動的にダウンロードさせるような攻撃です。
いずれの方法にしても、攻撃を受けた側は巧妙に仕組まれているため攻撃と判断できずに、普段の仕事と錯覚してしまうところが怖いところになります。
標的型攻撃対策とは?
現代ビジネスにおいて業務システムやそれを利用するための業務端末は必要不可欠であり、様々なツールを駆使しなければいけません。更に、インターネットへのアクセスを制限することは、組織の生産性を下げることにも繋がるため、サイバー攻撃によるリスクと常に隣り合わせで仕事をする必要があります。
そこで重要なのは、何らかの対策を実行して標的型攻撃やその他のサイバー攻撃から業務端末や業務システム、機密情報等を護ることです。では、標的型攻撃対策とは具体的に何をすればよいのでしょうか?
基本的な対策例は以下の通りです。
不審な添付ファイル・リンクを絶対にクリックしない
標的型攻撃の多くはメールを介して、不正プログラムが組み込まれた添付ファイルを実行させたり、Webサイトのリンクをクリックさせようとしたりします。ですので、少しでも不審に感じたメールに添付されているファイルやリンクは絶対にクリックしないことが、一番の標的型攻撃対策です。添付ファイルの場合はアイコンがOfficeドキュメントのものにもかかわらず、拡張子が「.exe(実行ファイル)」のような「Officeファイルの拡張子以外のもの」になっている場合は特に要注意です。拡張子を表示させる設定を行うことで、この点に気付く可能性が高まります。
OSやソフトウェアのバージョンを最新状態に保つ
標的型攻撃の中には、OSやソフトウェアの脆弱性を突くものがあります。脆弱性とはいわばセキュリティ上の欠点であり、サイバー攻撃がつけ入る穴のようなものです。多くのOSやソフトウェアには脆弱性が隠れていますが、ベンダーがそれらの欠点をカバーするためのセキュリティプログラムの更新を定期的に行っています。この更新にしっかりと対応して、OSやソフトウェアのバージョンを常に最新状態に保つだけでも標的型攻撃対策として効果を発揮します。
基本的なセキュリティ対策製品を導入する
今ではすっかり当たり前になっているウイルス対策ソフトやファイアウォール等のセキュリティ対策製品も、標的型攻撃対策に貢献します。最近では標的型攻撃を想定したパターンファイルの更新も積極的に行われているので、既存の基本的なセキュリティ対策製品を見直すというのも1つの対策だと言えるでしょう。
セキュリティに関する社内教育を徹底する
標的型攻撃とは何か?どのような経路で攻撃を受けるのか?攻撃を許してしまうとどのような被害が発生するのか?こうした情報をもとに、セキュリティに関する社内教育を徹底することで、組織全体でセキュリティ意識を高め、従業員全員が常にアンテナを張って仕事やメールのやり取りに当たれるようにしましょう。
インシデント情報を迅速に共有する
“インシデント”とは企業が受けたサイバー攻撃案件を意味します。社内のどこかでサイバー攻撃が確認された時には、インシデント情報を組織全体へ共有することが大切です。攻撃者の多くは組織内に複数のターゲットを作るため、インシデントが確認されたら、その情報を共有することで、組織全体の警戒レベルを上げることができます。
日常的にログをチェックする
サーバーやWebアプリケーション等のログを日常的にチェックするのも標的型攻撃対策の1つです。この対策では標的型攻撃を未然に防ぐことはできなくても、不審なログを発見しすぐに対処することで、被害を最小限に食い止められる可能性があります。あるいは、攻撃者がネットワーク内を徘徊している段階でその痕跡を発見できれば、実害が起きる前に攻撃を止めることができるでしょう。
Trellixソリューションで標的型攻撃対策を!
上記でご紹介したような従来型のアプローチでも、一般的な既知の攻撃であれば、アンチウイルス、IPS、次世代ファイアウォールなどのブラックリスト、シグネチャ型の従来型セキュリティ対策が有効です。しかし、標的型攻撃に多く用いられる未知の脅威に対しては万全とは言えません。進化する攻撃者はシグネチャをすり抜けるような未知の脅威を準備し、最新の複雑化した攻撃手法を用いて、攻撃を行うのです。
Trellix社の提供するソリューションは、これまで蓄積してきたサイバー攻撃に関する膨大な情報を活かし、標的型攻撃対策に特化したインテリジェンスなセキュリティ対策製品を提供しています。パターンファイルでも検出できない情報を取り込み検査し、他のセキュリティ対策製品との連携も行うことで標的型攻撃を防ぐことができます。
疑わしいファイルやWebサイトリンクは独自の仮想環境で実行・アクセスし、不正プログラムが組み込まれていないかを検証します。そのため、ユーザーは標的型攻撃に神経をすり減らすことなく、安心してメールでのやり取りや仕事に集中することが可能です。
効果的な標的型攻撃対策を実現したい、従業員のセキュリティ教育には限界がある、と感じている場合は、ぜひ導入をご検討ください。その際には弊社NVCにご連絡ください。
この記事に関するサービスのご紹介
- トピック:
- セキュリティ対策機器
- サイバー攻撃
- ネットワーク
- IT資産/データ
- Trellix