攻撃者は企業の重要資産を狙って攻撃を仕掛ける。その手口は巧妙で大規模、長期にわたるという特徴がある。攻撃の段階を知り、対策に役立てたい。
最適な対策を見極める――。そのために重要なのは、自社が防ぎたい攻撃を把握することだ。企業をターゲットにする攻撃は、ここ1~2年で巧妙化、大規模化、長期化している(図1)。ウイルスをばらまくだけではなく、特定企業を狙い撃ちにする攻撃が横行しており、新たな対策が必要になっている。対策を立てる前に、今起こっている攻撃の特徴を知っておこう。
図1●攻撃は「巧妙化」「大規模化」「長期化」へ
攻撃者は効率的に、かつ確実に攻撃し、目的を達成しようとする
攻撃の手口は多岐にわたる。このPART3では企業にとって特に注意しておきたいものとして、「標的型攻撃」「水飲み場型攻撃(正規Webサイトを利用した標的型攻撃)」「リスト型アカウントハッキング(アカウントリスト攻撃)」「Webシステムの脆弱性を狙う攻撃」の四つを取り上げる。これらはIPAが2014年版の「情報セキュリティ10大脅威」として挙げた中でも上位にランクインしている。
各攻撃のポイントを見よう。標的型攻撃は、特定企業に狙いを定め、社員のPCをウイルスに感染させるなどして機密情報を盗み取る(図2)。メールでウイルスを送りつける場合が多い。
図2●標的型攻撃
標的とする組織に対しウイルスを添付したメールを送り付け、社員のPCをウイルスに感染させて社内から情報を盗む。ウイルス感染の手口がWebサイト経由などでも、攻撃の手順((1)~(7))は共通している
[画像のクリックで拡大表示]
IPAによると標的型攻撃は七つのステップを通して計画的に実行される。ソフトバンク・テクノロジーの辻 伸弘氏(技術統括 セキュリティ技術本部 シニアセキュリティエバンジェリスト)は「攻撃に段階があるので、対策を考えるための良いモデルケースになる。各段階が守るポイントになる」と指摘する。