「標的型サイバー攻撃」と呼ばれるサイバー脅威があります。「持続的標的型攻撃」、「APT(Advanced Persistence Threat)」などとも呼ばれるこの攻撃は、明確な目的を持つ攻撃者が、目的完遂のために、巧妙な攻撃手段を複雑に組み合わせて継続的に仕掛けてくる攻撃と説明されます。同様の攻撃は以前から存在していましたが、特に日本では2010年頃からその存在がより明らかになり、一般の認知が急激に高まってきました。
現在、トレンドマイクロでは標的型サイバー攻撃を「特定の組織に不正に侵入し、時間、手段、手法を問わず、目的達成に向けその標的に特化して継続的に行われる一連の攻撃」と定義しています。標的型サイバー攻撃は、攻撃の存在を隠蔽する活動によって発覚しにくいという特徴を持ち、個々の攻撃は一手段に過ぎず手段は必要に応じ刻々と変化していきます。
昨今、標的型サイバー攻撃への対策の重要性が説かれていますが、標的に特化して攻撃が隠蔽され攻撃手段が変化する性質から、その実態が広く認知されているとは言えません。実態の認知が進んでいないがために、例えば特別な製品しか対策の効果がない、あるいは政府機関や大企業しか攻撃されないといった誤解も多いようです。
本特集ではこれまでにトレンドマイクロが実際に確認した複数の標的型サイバー攻撃への対応、調査、分析を基に、標的型サイバー攻撃の本質を解き明かすとともに、取るべき対策方法について提言をします。第1回では、標的型サイバー攻撃がどのように行われるか全体的な流れについて説明します。
6段階ある標的型サイバー攻撃
トレンドマイクロでは実際の調査、分析から、標的型サイバー攻撃の全体像を表1の6段階に分類しています
表1●標的型サイバー攻撃の流れ
| 1 | 事前準備 | 攻撃先決定、偵察、初期潜入用不正プログラム準備、C&Cサーバー準備 | 侵入前活動 |
| 2 | 初期潜入 | 標的への侵入(標的型メール送信、受信者による添付不正プログラム実行など) | 侵入時活動 |
| 3 | 端末制御 | C&C通信による遠隔操作の確立、感染環境確認 | |
| 4 | 情報探索 | 内部活動ツール送出、LAN内情報探索 | 侵入後内部活動 |
| 5 | 情報集約 | 攻撃目的である有益情報の収集 | |
| 6 | 情報送出 | 収集した情報の入手 |
