前回は「標的型サイバー攻撃」の全体像と攻撃の流れ、各段階で行われる攻撃の目的と内容について簡単に説明しました。今回は実際に確認した標的型サイバー攻撃事例から、その具体的攻撃の傾向と変化を攻撃者の視点から解説します。
標的型攻撃の特性は「継続」「隠蔽」「変化」
トレンドマイクロでは、これまでの標的型サイバー攻撃事例への対応、調査、分析から見いだした、その本質を表す特性として「継続」「隠蔽」「変化」の3つを挙げています。
攻撃者は攻撃目的の完遂に大いなる執念を持っており、目的達成まで執拗に攻撃を「継続」します。そして、標的組織への侵入を果たした後は、最終目的である情報の窃取達成のために、攻撃自体が発覚しないようよう活動の「隠蔽」を試みます。また攻撃者は、一度確立した攻撃手段に囚われることなく、標的組織のセキュリティ対策状況や攻撃成功のための必要に応じて、柔軟に攻撃を「変化」させます。
この「継続」「隠蔽」「変化」を表す例として、「初期潜入」段階での侵入方法、「端末制御」段階での通信方法、「内部活動」での活動隠蔽方法について説明します。
ユーザーをだます手法で確認された「変化」
標的型サイバー攻撃の遂行にあたって、攻撃者にとっての最初のハードルは標的組織ネットワークへの侵入です。攻撃者は何らかの方法で標的組織のネットワーク内で不正プログラムを実行させ、遠隔操作を確立させようとします。
この際に多用される攻撃手段が「標的型メール」です。攻撃者にとって、組織内のユーザーは常に存在するセキュリティ上の「弱点」であり、そのユーザーに対して直接に攻撃を仕掛けられる標的型メールは、最も効果的な攻撃方法と言えます。
標的型メールで攻撃者は「事前準備」段階で収集した情報を元にユーザーをだます「ソーシャルエンジニアリング」を使います。例えば社内や取引先の実在の人物からの仕事上のメールを偽装し、添付した不正プログラムを開かせるなどの手口です。
