テクニカルコラム「標的型攻撃」

今回のInst. Tech Viewは、最近注目を集めている「標的型攻撃」についての話題です。

最近、雑誌やニュースなどで「標的型攻撃」という言葉を目にする機会が増えました。

標的型攻撃とは、金銭や知的財産権等の重要情報の不正取得を目的として、特定の企業や組織に対して行われるサイバー攻撃です。

標的型攻撃は以前から存在しましたが、近年、複数の攻撃手法を組み合わせ、特定の標的を執拗に攻撃するケースが増えており、被害に遭う企業や組織が後を絶ちません。

## ちなみに、欧米では、こうした新しいタイプの標的型攻撃を##「APT（Advanced Persistent Threat）」と呼んでいます。

例えば、海外では原子力施設が攻撃され、内部で使用していた制御ソフトウェアが乗っ取られるという事件が起こりました。

また、日本では防衛産業企業に対する標的型攻撃により、内部情報が流出するという事件が起こりました。

「セキュリティ対策を行っている（であろう）組織が、なぜ被害に遭うのか？」
疑問に思った方もいらっしゃるのではないでしょうか。

以下に紹介する標的型攻撃の特徴に、この問いに対する答えがあります。

典型的な標的型攻撃（APT）は、以下のような流れで行われます。

（1）標的型メールの送信
関係者に成りすまして、標的組織の人間に標的型メールを送信する。このメールにはセキュリティホールを悪用するマルウェア（悪意のあるソフトウェア）が添付されており、受信者が添付ファイルを開封すると、PCがマルウェアに感染する。（標的型メールの代わりに、USBメモリでマルウェア感染させる場合もある。）

（2）マルウェアの進化・拡散
マルウェアは外部の指令サーバと通信を行い、新たなマルウェアを呼び込んだり、内部ネットワークに拡散し、感染範囲を広げたりする。

（3）不正行為の実行
マルウェアは指令サーバ（攻撃者）の指示に従い、内部システムの不正操作や、収集した機密情報の送信を行う。

注目すべきは（1）の部分です。

従来のサイバー攻撃では、インターネットサーバやデータベースサーバなど、一部のコンピュータが攻撃対象になることが多かったのですが、標的型攻撃では、組織内の全ての人間のPCが攻撃対象となります。セキュリティ意識の低い社員のPCが狙われてしまった場合、これを防ぐことは難しいでしょう。

さらに、（2）（3）にも注目すべき点があります。

内部ネットワークに侵入したマルウェアは、自ら外部の指令サーバや攻撃者のPCと通信を行い、指示に従って不正な行為を実行します。

内部ネットワークと外部ネットワーク（インターネット）との境界には、一般的にファイアウォールやIPS等が設置されていますが、これらのセキュリティデバイスは内部から開始された通信に関してはチェックが甘いことが多く、マルウェアと外部の指令サーバ、攻撃者PCの通信を許可してしまう可能性があります。

標的型攻撃のような新しいタイプの攻撃を防ぐためには、従来型のセキュリティ対策だけでは不十分だということがお分かりいただけたかと思います。

一人ひとりが標的型攻撃の脅威や特徴をしっかりと認識し、当事者意識を持つことがセキュリティ対策の第一歩です。

現在、ＣＴＣテクノロジーでは、標的型攻撃をはじめとする様々な攻撃手法の仕組みや、セキュリティ対策について学習するトレーニングコースを開発中です。このコースの詳細情報（カリキュラムや日程等）については、弊社のホームページにて公開しておりますので、是非ご確認ください。

コースの詳細情報はこちら：
リンク