ここでは、近年深刻化している標的型攻撃メールの対策方法についてまとめています。ぜひチェックしてみてください。
標的型攻撃とは、無差別に多数の人を攻撃するのではなく、特定の業界や組織、エリアなどを対象とした攻撃を意味します。数多く存在する標的型攻撃の中でも「APT」と呼ばれる標的型攻撃は、法人組織を対象に重要情報窃取や妨害工作をねらいとして、時間や手法、手段を問わず継続的に行われるのが特徴です。
主な攻撃主体は「State-Sponsored(国家背景)」と呼ばれていますが、「標的型サイバー攻撃」や「持続的標的型攻撃」などとも称されます。
標的型攻撃メールは、近年深刻さを増している「標的型攻撃」に分類される形態です。特定の企業や組織、時には個人を標的として、機密情報窃取のためにサイバー攻撃を仕掛けます。送信したメールを介してマルウェア感染などを促し、大切な情報を外部へ流出させるという手口です。
標的型攻撃メールは、業務関係のメッセージに見せかけるなど、思わず開封してしまうテクニックが駆使されています。犯人はターゲットを調査してからメールを作成・送信しており、被害者と関係の深い件名や差出人名でメールが来るため、悪意のあるメールだと気付かず被害に遭うケースが多いです。
大学での標的型メール攻撃の被害事例です。実在する組織の担当者を装った人物からの講演依頼メールが届き、日程調整のためのやり取りをする中で、教員がメールに記載されたURLをクリックしたことでPCがウイルスに感染しました。最終的に「講演が中止になった」と連絡があったため、URLをクリックした教員は被害に気づきませんでした。この攻撃で、教職員や学生の個人情報や過去の試験問題など約4,341件が流出した可能性があるとのことです。
宇宙航空研究開発機構(JAXA)がサイバー攻撃を受け、内部ネットワークに不正アクセスされました。不正アクセスを受けたのは、一般業務用の管理サーバーです。修正されたばかりのネットワーク機器の脆弱性を悪用されたものと考えられています。今回は、一般業務用のサーバーが不正アクセスを受けたため、幸い機密情報の漏洩にはいたりませんでしたが、これを踏み台にされて、ネットワーク内の機密情報を扱うサーバーに侵入される可能性もありました。
重工関係企業が所属する業界団体の職員のPCがウイルスに感染。関係企業とのメール情報が盗まれた事例です。ウイルス付きのメールが業界団体に送られ、職員のPCがウイルス感染しました。盗まれたメールを使用され、関係企業に対して標的型攻撃メールを送付されました。その標的型攻撃メールによって、重工関係企業で被害が拡大。11拠点83台のPCやサーバが感染し、一部の情報を抜き取られた可能性があります。また抜き取られた情報を攻撃者のサーバへ送付された可能性もあります。
ゼロデイ攻撃とは、ソフトウェアやOSに存在する脆弱性が修正される前に、その脆弱性を悪用して行われるサイバー攻撃です。この「ゼロデイ」という名称は、脆弱性が発見されてから修正パッチが提供されるまでの「0日間」を指し、対策が存在しない状態で攻撃が行われることを意味します。脆弱性を見つけたら、不正なプログラムを作成し、標的となるシステムに侵入。不正アクセスやマルウェア感染、情報窃取などを実行します。再侵入を可能にするため、バックドアと呼ばれる不正プログラムをシステム内に設置することがほとんどです。攻撃者は盗んだ情報を外部に送信したりして、他のシステムへの攻撃を拡大させます。
ゼロデイ攻撃は未知の脆弱性を利用するため完全な防御は困難ですが、ソフトウェア更新やEDR(Endpoint Detection and Response)の導入、サンドボックス技術、WAFの導入といった対策が有効です。
標的型攻撃メールなどを通じて組織内部に侵入し、ネットワークを探索しながら、より重要な情報が保管されているサーバへのアクセスを試みます。侵入後の活動は、情報窃取や業務妨害に直結するため、非常に深刻な脅威です。ログ改ざんやトラフィック暗号化などで痕跡を隠し、長期間発覚しないようにします。
内部ネットワーク監視ツールやEDR(Endpoint Detection and Response)の導入で、不審な挙動を早期検知する技術的対策や定期的なセキュリティ監査と脆弱性診断で潜在的なリスクを排除する運用面の強化、インシデント対応計画といった対策が必要です。
攻撃対象の関係組織の職員のPCをウィルスに感染させ、その組織とやり取りしていたメール情報を盗み、関係企業に対して標的型攻撃メールを送付するといった手口です。直接的なターゲットである大企業や政府機関ではなく、その関連会社や取引先など、セキュリティが比較的弱い組織を足がかりにして侵入し、最終的な目的を達成します。
セキュリティ基準の統一やゼロトラストセキュリティモデルの導入、ネットワーク監視ツールやEDR(Endpoint Detection and Response)の導入といった対策が有効。防御が弱い部分を狙うため、防御側としてはサプライチェーン全体で強固なセキュリティ体制を構築することが重要です。
メールはもちろん、Webの利用にはさまざまな脅威が潜んでいることを常に念頭に置かなければなりません。そのため、アンチウィルスソフトや次世代アンチウィルスソフトといったセキュリティソフトの導入は欠かせないポイントです。
また、OSやアプリと同じように、ウイルス対策ソフトも日ごろから最新状態にアップデートしておきましょう。
従来のセキュリティモデルである「境界型防御」は、外部からの攻撃を防ぐのが目的のため、社内のプライベートネットワークは無条件で信用してしまいます。しかし、セキュリティ脅威はあらゆる箇所に存在するので、「ゼロトラストモデル」に基づいた新しいセキュリティモデルを利用するのがおすすめです。
ゼロトラストモデルは、「決して信用せず確認せよ」という考えに基づき、すべての通信・端末を検証します。マルウェア検知・対応ソフトウェア「EDR」は、ゼロトラストの考え方に沿った製品群です。安全性を高めるために、従来型のセキュリティソフトと組み合わせで利用しましょう。
標的型攻撃メールは、国内で被害の発生が確認されてから長い年月が経過しています。それでも被害が少なくならないのは、手口が進化を続けているからです。そのため、対策を行うには継続的な学習が欠かせません。
また、教育や訓練を実施してからある程度の期間が経つと、危機感が薄れてしまいます。常に危機感を抱いておけるよう、定期的ならびに継続的にサイバーセキュリティ研修を実施し、セキュリティ対策における意識を高めておくのが重要です。
標的型攻撃メールは、社内の人間が誰か1人でも騙されてしまえば重大な被害につながります。そのため、社員が標的型攻撃メールを開いてしまわないよう、組織全体で標的型攻撃メール訓練を定期実行するのが重要です。社員全員に適切な対策方法の教育やセキュリティ対策に関する意識向上を行いましょう。
こちらの研修では、標的型攻撃の特徴や手法、対策に関する知識を習得できます。これからセキュリティ対策を学ぼうと思っている人を対象としているため、前提知識を身に着けておく必要はありません。
カリキュラムは、標的型攻撃の概要や騙しの手口、正しい対策方法で構成されています。
経産省の資料では、サイバーセキュリティに関する組織体制において、IT、デジタル部門の開発、運営者・事業部門などの「実務者・技術者層」、セキュリティ部門・監査部門などの「戦略マネジメント層」、取締役・執行役員などの「経営層」、の3つに分類され、必要なスキルや具体的にやるべきこと(タスク)が定義されています。
該当の対象者に向けた研修を展開しているおすすめの会社を合わせて見られるようにしているので、検討している受講者の欄からご覧ください。
CompTIA CASP+やCySA+など上位資格を学べる研修ラインナップ。CompTIAプラチナパートナーとして上位資格を一気通貫で学べる国内数少ない会社です。
実務や技術者が仮想空間で手を動かしながら実践的にスキルを習得できる点が特徴です。
CompTIA(Pentest+、CASP+、CySA+他)、EC-Council(CEH、CCT他)、ICT(OT)、SecuriST、インシデント対応、ペネトレーションテスト、フォレンジック など
セキュリティ事故などインシデント対応者に必要な知識を学べる専用プログラムが特徴。
基礎的な知識から、デジタルフォレンジックやマルウェア解析など専門技術を内製できる企業向けにもコースを展開しています。
インシデントレスポンス、マルウェア解析、セキュリティオペレーション、デジタルフォレンジック、脆弱性ハンドリング、情報セキュリティ事故対応 など
企業のリスクマネジメントを支援するコンサルティング業務を主軸としており、企業経営の推進力を高めるリスクマネジメント力が身に着く研修を提供しています。
経営層向けだけで3段階のコースを展開し、着実なステップアップができます。
経営層向けサイバーセキュリティ対応能力向上、CSIRT構築、情報セキュリティ入門、組織サイバーレジリエンス力向上 など
