ある日の午後,生活雑貨メーカー「いろは物産」のCIOである小林はメールをチェックしていた。そこに,情報システム部課長の山下がやって来た。
山下:部長,取引先のABCホーローが標的型攻撃の被害にあったそうです。購買部に電話で連絡がありました。社内にウイルスが侵入して,取引情報を盗み出されてしまったということです。
小林:わが社への影響はあるのか。
山下:わが社が発注した製品の情報も流出してしまったようです。ただ,発注や請求処理はSaaS経由だったため,わが社のネットワークに直接の影響はありません。
小林:メールのやりとりはしていたんじゃないかね。メールを介してウイルスが伝染してきている可能性はないだろうか。
山下:メール・サーバーとファイアウォールのログ,それから受信したメールそのものを念のため確認しました。伝染はありませんでした。
小林:そうか…。よかった。しかし,標的型攻撃とはいったいどんなものなのかな。
山下:それはですね…。
深刻な「標的型攻撃」
近年,企業や組織を取り巻くセキュリティ上の脅威として最も深刻なものの1つが「標的型攻撃」である。これは文字通り,特定の企業や組織を狙った攻撃だ。典型的な攻撃パターンは,(1)攻撃者が添付ファイルやWebサイトへのリンク付きのメールを送信してくる,(2)メールを開いた社内ユーザーが添付ファイルを開いたりリンク先のWebサイトにアクセスすることでウイルスに感染する,(3)ウイルスの活動によっての機密情報が攻撃者のサイトに送られる――だ(図1)。
「標的型攻撃」が深刻なのは「攻撃対象に特化した手口」が用いられるためである。その理由は大きく分けて2つある。
まず1点目は,誘い出すメールの送信元として,標的となる企業や組織と実際に何らかの関係がある実在の組織や人物の名前が騙られるという点である。
最近では,セキュリティに関するリテラシ教育が浸透し,「不審なメールの添付ファイルは開かない」というのは少なくとも社会人にとっては常識となっている。この場合の「不審」とは,送信元に見覚えがない,もしくは自分あてにメールを送ってくることが想定されない相手と言い換えられる。
しかし,もし送信元が実際にメールのやり取りがありうる実在の組織や人物であれば,どうであろうか? 油断して開いてしまう人は少なくないであろう。攻撃者はこの心理を巧みに利用し,誘い出すメールの本文も極めて「本物らしく」作る。
実際にあった事例では,監督省庁の名を騙り,添付の報告書を開くように促すメールが送りつけられたケースがあった。添付されていた報告書は,不用意に開けばマルウエアに感染するように作られていた。
2点目は,既存のウイルス検知ソフトでは検知できない場合が多いという点である。攻撃に使われる添付ファイルが多くの場合,標的向けに特化して作られた「特製」のものであるため,ワクチンベンダが検体を手に入れることが難しい。アプリケーションの公知になっていないぜい弱性を悪用する,「ゼロデイ攻撃」と組み合わされることも多い。
小林:う~ん,こりゃ確かに厄介だ…。当社が標的型攻撃で狙われる可能性はあるんだろろうか?
山下:標的型攻撃は,実際に攻撃を受けた企業が被害を公表することはあまりないですし,個々の事象だけ取り出せば規模が小さいので,メディアなどが取り上げることもほとんどないようです。そのため表立って論じられることは少ないのですが,現実の被害は,官公庁や大企業に限らず発生しているのだそうです。
小林:被害の実態などはわからんのか?
山下:IPA(情報処理開発機構)やJPCERT/CC(JPCERTコーディネーションセンター)の報告書によれば,数自体は決して多いとは言えませんが,やはり標的型攻撃を受けたことのある企業は確かに存在するようです。しかも官公庁や大企業に限った話ではないようです。
[参考]
「近年の標的型攻撃に関する調査研究 - 調査報告書 -」(IPA)
http://www.ipa.go.jp/security/fy19/reports/sequential/index.html
「標的型攻撃について」(JPCERT/CC)
https://www.jpcert.or.jp/research/2007/targeted_attack.pdf
小林:そうか…。わが社も対策を考えなければならないな…。「標的型攻撃」対策といっても,基本的にはウイルス感染の防止と同じだろうから,ソフトウエアのぜい弱性対策は必須だな。それから万一感染したときのことを考えて,外部への通信を制限するというのも必要かな。
山下:はい,その2点は当然施すべき対策ですし,すでにウチでは対応済みです。
小林:そうだな。ほかには何が必要なんだ?
「標的型攻撃」には様々な形態があるため,対策もそれぞれの形態に応じて異なる。ここでは,電子メールを介してソーシャル・エンジニアリング的手法でマルウエアに感染させるという一般的な手口を対象として,対策を紹介する。
