標的型攻撃

標的型攻撃は、対象とする組織のインフラを匿名性を保ちながら積極的に追跡し、セキュリティを侵害する脅威です。標的型攻撃を行う攻撃者らは、長期間にわたる作戦を遂行する特定のレベルの専門知識と十分なリソースを有しています。また、ユーザによる防御に対抗するために攻撃を変化、調整または改良することが可能です。

 

標的型攻撃の背景

 

標的型攻撃では、不正メール、正規Webサイトの改ざんや不正なWebサイトの利用、エクスプロイトや不正プログラムの利用といった、従来のWebからの脅威で確認されてきたものと同様の手法を頻繁に利用します。一方、標的型攻撃には従来の脅威との相違点も多数あります。 

  • 標的型攻撃は、一般的にキャンペーン(作戦活動)として実施される。持続的標的型攻撃は、通常単独の攻撃ではなく、対象とするネットワーク内により深く侵入するためにトライアンドエラーを何度も繰り返すキャンペーンとして実施される。
  • 標的型攻撃は通常、企業、政府機関や政治団体のような特定の組織を標的とする。政治的利益、金銭的利益や企業に関するデータの搾取を含むさまざまな目的を達成するため、攻撃者らは長期的なゴールを視野に入れている。 

攻撃者は、対象とする組織の特性に応じて手法を頻繁にカスタマイズ、更新および改良し、実行中のすべてのセキュリティ対策を回避します。

標的型攻撃の段階

 

  • 事前調査:サイバー犯罪者は、攻撃をカスタマイズするために標的に関する公開情報を確認および収集する。この初期段階では標的のIT環境だけでなく、同時に組織構造上の情報といった方策上の情報の取得が目的。搾取される情報は、その企業が利用するビジネスアプリケーションやソフトウェアから、このようなアプリケーション上に存在する役職や関連図まで多岐に渡る。またこの段階では、最近の出来事、仕事関連の問題や懸念事項および標的の他の分野についての興味に関する情報を悪用する、ソーシャルエンジニアリングの手法を利用する。
  • 初期潜入:サイバー犯罪者は、標的のインフラに侵入するためさまざまな手法を用いる場合がある。よく利用される手法には、カスタマイズされたスピアフィッシングメール、ゼロデイまたはソフトウェアに存在する脆弱性を悪用したエクスプロイト、「Watering Hole(たまり場という意味)」型攻撃などがある。攻撃者は、インスタントメッセンジャー(IM)やソーシャル・ネットワーク・サービス(SNS)を利用して、標的となるユーザにリンクをクリックさせたり不正プログラムをダウンロードするよう促すこともある。最終的には、標的とする組織との通信経路を獲得する。
  • コマンド&コントロール(C&C)通信:セキュリティが突破された後、サイバー犯罪者は不正プログラムと常に通信し、企業ネットワーク内で不正活動の実行や情報搾取を行う。サイバー犯罪者はこのような通信を隠ぺいかつ監視下で不正活動を続行する手法を用いる。
  • 情報探索:攻撃者がネットワーク内に侵入すると、価値のある情報を探し求めて組織のネットワーク内を縦横無尽に動き、他の重要なコンピュータへも感染する。
  • 情報集約:重要な情報またはデータを特定し、それらを送信するために一箇所に集約させる。サイバー犯罪者は、価値のある情報および重要資源を含む「縄張り」にアクセスする。そして、これらのデータは「Remote Access Tool(RAT)」、カスタマイズされたツールや正規のツールを介して確認および転送される。この情報集約の段階で利用される可能性のある手法は、さまざまなディレクトリ内のファイルリストを返送して攻撃者が価値のあるファイルを特定する方法である。
  • 情報送出:持続的標的型攻撃の最終目的は、こうして窃取した機密情報を攻撃者が制御する環境へ送信することである。窃取された情報は、一度に送信されることもあれば、何段階かに分けて送信されることもある。標的型攻撃では、ネットワーク内での検出を避け続けて企業の最重要機密や価値のあるデータへのアクセスを増やす努力が行われる。価値のあるデータには知的財産、取引上の機密や顧客情報が含まれる。加えて、攻撃者は、政府や軍事関連組織の最重要文書のような他の機密情報を探索することもある。

 

標的型攻撃に成功して情報送出の段階まで達すると、攻撃者は容易にデータを抽出します。標的となった企業が侵入されると、企業の顧客には攻撃を知られずに顧客のデータが危険にさらされます。その結果、攻撃が達成された場合は企業の評判も傷つく場合があります。

 

なぜ各企業は標的型攻撃に注意する必要があるのですか。

トレンドマイクロは英Quocircaの調査を資金援助し、標的型攻撃で最も頻発している被害は金融関連データの損失であることを突き止めました。この調査は、サイバー犯罪者らが利益の増加という野望を募らせていることとハクティビズムが増加していることより、攻撃がより標的型へ向かっていると述べています。このため、サイバー犯罪者らが目をつける資産は金融関連のデータであるのも当然です。監視下にある個人データや知的財産と並んで、金融関連データの流出は企業にとって大きな損失となります。

 

トレンドマイクロの製品は企業を守れますか。

攻撃からの防御を超えて攻撃を事前に検知する機能を採用することが標的型攻撃の封鎖において最善の手法となります。標的型攻撃による企業の機密情報の流出を避けるため、早期の検出が極めて重要です。組織や大企業は、ネットワーク監視ソリューション製品「Trend Micro Deep Discovery」のような高度なセキュリティ対策製品が必要です。この製品はさまざまなセキュリティ関連技術および世界各国のスレットインテリジェンスを通して、標的型攻撃によるリスクを軽減します。「Trend Micro Deep Discovery」の基幹技術である「カスタムディフェンス」は、リアルタイムでローカルおよびグローバルのスレットインテリジェンスを提供します。スレットインテリジェンスはIT管理者が攻撃への対応中、その攻撃の性質を理解するための補助となります。また、ネットワーク全体でのセキュリティ関連事例の収集や解析を含む脅威対策を後押しし、IT管理者が問題点の改善や攻撃計画の阻止を行えるようになります。