サイバーセキュリティ 
組織内の重要なアカウントを不適切に共有してしまうと、
標的型攻撃から企業や組織を守るためには、社内のセキュリティ対策と管理はもちろん、従業員の教育なども重要になってきます。
情報処理推進機構IPA日本で起きた情報セキュリティ10大脅威 2024版によると、標的型攻撃による機密情報の窃取が第4位の組織のサイバー脅威としてランクインしています。
標的型サイバー攻撃はますます巧妙化しており、多数の企業や政府機関を標的にしています。日本の組織もこれらの攻撃により被害を受けており、重大なサイバーセキュリティの脅威となっています。
このブログでは、標的型攻撃によく使われる手口と、実際にあった被害、組織や企業が被害に遭わないための対策方法をご紹介します。
標的型攻撃対策としてログイン情報管理見直しませんか?
Keeperの14日間の無料体験でその安全性・利便性をお試しください。
標的型攻撃とは?
標的型攻撃(Targeted Attack)は、特定の組織や個人を狙って行われるサイバー攻撃の一種です。これらの攻撃は、被害者に関する事前の情報収集を基に、メールやソーシャルメディアを通じて信頼を得るなど、狙いを定めた標的に対して特別に設計された手法を使用します。攻撃者は、機密情報の窃取、システムの乗っ取り、マルウェアの感染拡大など、特定の目的を持って行動します。
標的型攻撃4つの種類と手口
標的型攻撃の中でも特に警戒すべき主要な4つの種類について説明します。
スピアフィッシング
スピアフィッシングは、別名「標的型攻撃メール」とも呼ばれ、フィッシング攻撃の一種で、特定の個人や組織を標的とします。攻撃者は、ターゲットの知り得る信頼のある人になりすまし、信頼性のある情報を使ってメールやメッセージを送ります。これにより、被害者は悪意のあるリンクをクリックしたり、機密情報を提供したりしてしまいます。
この際、ソーシャルエンジニアリングという詐欺の技術を利用してくることが多いです。
スピアフィッシングの攻撃は非常に巧妙で、被害者が疑いを持たずに情報を漏洩してしまうことがあります。
水飲み場型攻撃
水飲み場型攻撃(Watering Hole Attack)は、標的となる組織や個人が頻繁に訪れるウェブサイトを侵害し、そこに悪意のあるコードを仕込む方法です。この攻撃は、特定のグループや組織のメンバーが使用するウェブサイトを狙い、それらのユーザーを感染させようとします。訪問者が感染したサイトにアクセスすると、自動的にマルウェアがダウンロードされ、攻撃者は標的のネットワークに侵入することができます。
ゼロデイ攻撃
ゼロデイ攻撃は、ソフトウェアの未知の脆弱性を悪用するものです。この「ゼロデイ」という用語は、公に知られている脆弱性に対する修正がまだ存在しない状態を指します。攻撃者は、これらの脆弱性を見つけ出し、開発者が修正パッチをリリースする前に攻撃を行います。ゼロデイ攻撃は非常に危険であり、検出が難しいため、防御が困難です。
APT攻撃(Advanced Persistent Threat)
APT攻撃は、長期にわたり特定の組織を狙い、潜在的に高度な手法を用いて侵入を試みる攻撃です。これらの攻撃は非常に巧妙で、多くの場合、国家や大規模な犯罪組織によって実行されます。APT攻撃の目的は、データの盗難やスパイ活動、サイバー攻撃のための基盤の確立など多岐にわたります。APT攻撃者は、侵入したネットワーク内で長期間潜伏し、検出を避けながら活動を続けます。
標的型攻撃の仕組み
標的型攻撃は、サイバー攻撃者が特定の個人や組織を狙って、計画的かつ巧妙に実行する攻撃手法のことです。標的型攻撃の仕組みは、ランダムなものではなく、ターゲットに合わせてカスタマイズしたサイバー攻撃を準備し、攻撃者による詳細な準備と情報収集に基づいています。
最初のステップは、攻撃者がターゲットに関するできるだけ多くの情報を収集することから始まります。これには、公開されている社員の連絡先情報、使用している技術やソフトウェア、さらには社内のセキュリティ対策まで、様々な情報が含まれます。攻撃者は、ソーシャルメディア、業界レポート、または以前に侵害した組織からの情報など、さまざまな手段を通じてこれらのデータを集めます。
次に、収集した情報をもとに攻撃者は標的のシステムやネットワークに侵入するための最適な方法を探ります。これには、ソフトウェアの未修正の脆弱性や人的要因を利用したフィッシング攻撃など、様々な手法を試みます。
侵入方法が決定されると、攻撃者は標的に対して実際の攻撃を開始します。これは、悪意のあるリンクを含むメールの送信、マルウェアの直接的な送信、またはネットワークへの侵入を試みることによって行われることがあります。この段階で、攻撃者は標的のシステムにアクセスし、さらなる悪意のある活動を行うための足掛かりを得ます。
システム内に侵入した後、攻撃者はネットワーク内でさらにラテラルムーブメント攻撃を仕掛けたり、より多くのシステムへのアクセスを試み、重要な情報を探したり、追加の攻撃を仕掛けたりします。このプロセスでは、攻撃者は可能な限り検出を避けながら、標的の組織内で自由に動き回ることができます。
最終的に、攻撃者は機密情報の盗難、システムの破壊、ランサムウェアの展開など、攻撃の目的に応じた活動を行います。攻撃が成功すると、攻撃者は可能な限り証拠を消去するなど、様々な最悪なシナリオケースが考えられます。
標的型攻撃による被害とは?
標的型攻撃によって、企業や会社が一般的に報告されている被害としては以下のようなものが考えられます。
機密情報の漏洩
標的型攻撃による最も深刻な被害の一つが、機密情報の漏洩です。攻撃者は、標的のセキュリティシステムを侵害して機密データにアクセスし、それを盗み出すことができます。これには、顧客の個人情報、内部文書、知的財産、財務情報などが含まれます。情報の漏洩は、標的にとって重大な信用失墜を招き、長期的な影響を与える可能性があります。
金銭的損失の被害
攻撃によって直接的、間接的な金銭的損失を被ることもあります。直接的な損失には、攻撃者による金銭の窃盗やランサムウェア攻撃による身代金の支払いが含まれます。間接的な損失には、被害の調査と修復、システムのダウンタイム、法的訴訟や罰金、さらには損害賠償請求にかかるコストが含まれ、これらは組織にとって大きな財務的負担となります。
業務の中断
標的型攻撃は、システムのダウンタイムや業務プロセスの混乱を引き起こすことがあります。攻撃によってシステムが侵害された場合、組織は業務を一時停止し、問題を解決する必要があります。これにより、生産性の低下、顧客サービスの遅延、市場での競争力の喪失など、組織にとって重要な業務への影響が出る可能性があります。
コンプライアンス違反による罰金
標的型攻撃によって機密情報が漏洩し、それが個人情報保護法違反に該当する場合、組織は法的な責任を問われることになります。違反が確認された場合、個人情報保護委員会から指導や勧告、命令が出され、これに従わない場合には罰金が課されることもあります。さらに、重大な違反行為に対しては、刑事罰の対象となることもあり得ます。
標的型攻撃による大きな被害例
標的型攻撃による大きな被害例をここではいくつかご紹介します。
大手旅行代理店
2016年6月には、大手旅行代理店がそのターゲットとなりました。
この事件では、約678万件以上の個人データが不正に流出したと報告されています。
この問題の始まりは、その数ヶ月前の3月に大手旅行代理店の子会社の従業員が受信した一通の標的型攻撃メールでした。
このメールは、実際にビジネス上で使われている会社内から送信されたように見え、使用された社名、部署名、担当者名、そしてメールドメインもすべて実在するものでした。
メールには、北京行きのEチケットを示すPDFファイルが添付されており、このファイルに悪意のあるマルウェアが埋め込まれていたことが後に明らかになりましたが、事件が解決するまでその事実は見抜けませんでした。
その後、その旅行代店会社で不審なネットワーク通信が検出され、サーバー上でデータが不正に作成されたり、削除されたりしている証拠が発見されました。これらのデータには、個人情報が含まれていることが判明し、結果的に大量の個人情報流出へと繋がる事態になりました。
日本年金機構
2015年6月、日本年金機構は、標的型攻撃メールによる大規模な個人情報漏洩事件の被害を受けました。この攻撃で、約125万人分に相当する101万4,653件の個人情報が流出したことで知られています。
事件は、日本年金機構のスタッフ宛てに送られた一通の標的型攻撃メールから始まりました。このメールはYahoo!メールを使って送信され、該当のスタッフがメールを開封し、添付ファイルをダウンロードしたところ、そのパソコンからウイルスが侵入したことが判明。
年金機構は以前から「不審なメールに対する注意喚起」の警告はしていたものの、メールの具体的な内容に関する詳細な指示や情報の共有は行っていませんでした。
その後、連続する攻撃により、感染した端末はさらに拡大しました。
標的型攻撃から身を守る5つの対策方法
標的型攻撃は、特定の組織や個人を狙ったサイバー攻撃であり、深刻な被害を引き起こす可能性があります。特に組織は以下のような保護する対策を講じることが効果的です。
1. 不審なメールを開かない
フィッシングメールは、標的型攻撃において一般的に使用される手法の一つです。不審なメールや、未知の送信者からのメールは開かないことが重要です。特に、リンクや添付ファイルが含まれるメールには注意が必要で、信頼できる送信者からのものであっても、リンクやファイルを開く前に二重に確認することが推奨されます。
リンクを確認する際は、Googleの透明レポートを利用するのも効果的な対処法です。
2. 組織内で最小権限の実施
最小権限原則(Principle of Least Privilege, PoLP)とは、従業員に必要最低限のアクセス権限のみを与えることです。これにより、攻撃者がシステム内で横移動する際の動きを制限し、被害の拡大を防ぐことができます。従業員は自分の業務遂行に必要な情報やシステムにのみアクセスできるようにするべきです。
3. OSやソフトウェアを最新の状態にする
ソフトウェアの脆弱性は、攻撃者が侵入するための一般的な手段です。オペレーティングシステム(OS)や使用しているソフトウェアを常に最新の状態に保つことで、既知のセキュリティ脆弱性を修正し、攻撃のリスクを低減することができます。自動更新機能を有効にすることで、これらの更新を逃さずに実施することが可能です。
4. 企業内の各アカウントに強力なパスワードの設定
強力なパスワードを設定することは、標的型攻撃をはじめとしたサイバー攻撃対策として有効です。
簡単に推測されない、長くて複雑なパスワードを利用しましょう。大文字、小文字、数字、記号を組み合わせた最低16文字以上のパスワードを設定することを推奨します。
強力なパスワードを作成するための6つのポイントが以下の方法です。
- パスワードは16文字以上にする
- 大文字、小文字、数字、記号を組み合わせて使用する
- 連続した数字や文字を使用しない
- 個人情報(ペットの名前、自宅の住所など)を使用しない
- 他のサービスで利用している同じパスワードを使い回さない
これにより、パスワードの推測やクラッキングが困難になります。このようなパスワードを効率的に作成し管理するためには、パスワードマネージャーの利用を推奨します。パスワードマネージャーは、強力なパスワードを自動的に生成し、それらを安全に保存してくれるツールです。これにより、複雑なパスワードを覚える必要がなくなり、ユーザーは一つの強力なマスターパスワードを記憶しておくだけで済み、同じパスワードを使いまわさないように徹底できます。パスワードマネージャーはまた、定期的なパスワードの変更を促すリマインダー機能を持っているものもあり、セキュリティ維持の手間を軽減します。
5. 従業員の教育
従業員は、サイバーセキュリティの第一線にいます。フィッシングメールの見分け方、安全なインターネットの利用方法、パスワードの管理など、基本的なセキュリティ対策に関する定期的な教育やトレーニングを行うことで、従業員が標的型攻撃のリスクを理解し、適切に対応できるようにすることが重要です。
まとめ:企業を標的型攻撃から守るためにログイン情報の管理から!
標的型攻撃は、あなたやあなたの組織を狙ったカスタマイズされたサイバー攻撃です。このような攻撃から守るには、自分や職場でのセキュリティ意識を高めることが大切です。
例えば、ご紹介したような、怪しいメールは開かない、必要最低限のアクセス権限を従業員に与える、常にソフトウェアを最新に保つ、従業員の教育と訓練を行ったり、強力なパスワードを各アカウントに利用することなどは基本的な標的型攻撃から守る第一歩です。
また、組織内のパスワードの管理方法を改善することは、セキュリティを向上させる上で非常に効果的な手段です。多くの人が使い回しや簡単なパスワードを設定しがちですが、これは攻撃者にとっては容易に突破可能な弱点です。ここで、パスワードマネージャーの利用が推奨されます。パスワードマネージャーは、強力なパスワードの生成、管理、保存を簡単に行うことができるツールであり、一つ一つのアカウントにユニークで複雑なパスワードを設定することができます。
この機会に14日間のビジネスプランのフリートライアルを試してみてはいかがでしょうか。
