従来、企業ネットワークに外部から攻撃する手法として一般的なのはコンピュータウィルスに代表されるマルウェアです。
マルウェアは基本的にスパムメールを通じてばら撒かれ、そこに記載されているURLをクリックさせたり、添付ファイルを開かせたりして感染します。
それに対し、「標的型攻撃」は、マルウェアも攻撃手段として使用しますが、「ばら撒く」のではなく、特定の企業や組織のみを狙います。
IPA(情報処理推進機構)が毎年発表する「情報セキュリティ10大脅威」において、3年連続で組織部門の脅威第1位に挙げられており、企業の情報セキュリティを担当する者として最優先で備えなければならない脅威の1つと言えるでしょう。
① あらかじめ標的の調査を行う
標的と定めた企業や組織から取れるものは全て取ってしまおうという悪意を持って攻撃を仕掛けるのが「標的型攻撃」の特徴ですので、標的について以下のようなことを徹底的に調べ上げます。
・標的の業種、業態
・取引先企業や主要取引金融機関
・内部の人間関係(従業員のSNSが調査対象として悪用されます)
・内部で使用しているコンピュータのOSのバージョンやソフトウェアの種類
・導入しているセキュリティ対策ソフト
・ルーターやファイアウォールなどのネットワーク機器のメーカー
② 侵入を試みる
侵入の手段として主にメールを使用します。
差出人は上司や取引先など、標的である従業員に合わせて差出人を偽り、メール本文内のURLをクリックさせたり、添付ファイルを開かせたりといった、マルウェア感染にも使われる手法が用いられます。
どの従業員にメールを送るのかも計画しており、ITリテラシーが低そうな人物を調査した上で選んでいます。
③ C&Cサーバとの通信を確立させる
標的型攻撃の最も重要な手順で、侵入が成功し、マルウェアに感染させたら、バックドアを設置します。
そして、攻撃者が用意した「C&Cサーバ」との通信を秘密裏に確立します。
「C&Cサーバ」とは、「コマンド&コントロールサーバ」の略で、感染したコンピュータに攻撃命令を発したり、制御(乗っ取り)したりするサーバのことです。
つまり、「C&Cサーバ」との通信が確立されるということは、攻撃者がいつでも企業内のコンピュータを自由に遠隔で操作できる状態になってしまうということを意味します。
④ よりアクセス権限の高いコンピュータへの侵入を試みる
この段階では、標的である企業のより機密性の高い情報を窃取するために、起点となったコンピュータを利用して、企業内のネットワークを探索します。
そして、より高度なアクセス権限を持つユーザもしくはコンピュータを見つけては、キーロガーなどを仕込んでID、パスワードを盗み、さらに高い権限を持つユーザやコンピュータへと侵入を繰り返すことで、企業ネットワークの最深部を目指します。
⑤ 機密情報など情報資産へのアクセスを試みる
これまでの不正アクセスでは、攻撃が成功すると一気に情報を窃取するという荒っぽい手法が一般的でした。
ところが、標的型攻撃では、中長期に渡って情報資産を窃取し、標的に損害を与えることが目的です。そのためには秘密裏に情報を盗み出すことが重要です。
つまり、欲しい情報にアクセスできる人間が、実際にその情報にアクセスするタイミングに合わせて少しずつ情報を窃取してデータを集めます。
不審だと思われる振る舞いは一切せず、通常の業務の延長上に紛れ込ませ、情報収集を繰り返します。
⑥ 情報を外部へ送信し、痕跡を消去する
集められた情報はC&Cサーバを経由して外部に送信されます。
このとき、当然企業内のコンピュータがC&Cサーバと通信したログが残ります。
しかし、標的型攻撃は、このログ情報を改ざん・消去してしまうために痕跡が残りません。そのため、情報セキュリティ担当者は情報が窃取されたことに気づくことができず、対策を立てることもできないという最悪の事態に陥ってしまいます。
この段階まで攻撃が進むと、先に述べたように、中長期的に情報資産を窃取することが可能となります。
ここまでの手法・手順を見ると、標的型攻撃は、従来型の「ばら撒き」攻撃とは以下の点で全く異なります。
・周到に情報収集が行われている
・じっくりと時間を掛ける
・秘密裏に情報を窃取するため、異常な振る舞いは一切しない
・痕跡を残さない
標的型攻撃は日々生まれる最新の攻撃手法を盛り込み、その手法も高度に専門化されたものです。これに対応するためには、情報セキュリティを専門に扱う人材を育成・確保し、外部の専門家の意見を取り入れながら、どんな小さな情報も外部に漏らさないよう徹底した情報管理が重要になります。
これからの情報セキュリティ対策には、システム的なものだけでなく人的な部分での対策も必須と言えるでしょう。