標的型攻撃とは、特定の企業を狙ったサイバー攻撃を指す。ワームプログラムをネットワークに放ったり、マルウエアを添付したメールをばら撒いたりする不特定多数を狙った攻撃ではない。
標的型攻撃の被害は、ニュースなどでも報じられることがあるが、その多くが大企業や政府機関だ。そのため、「大企業は大変だな」とか「ウチは大企業ではないし狙われるような情報はないので関係ない」と思うかもしれない。
しかし、これは大きな間違いである。「うちには狙われるような情報はない」と判断しているところがあったら、企業規模に関係なく、もう一度情報資産の棚卸をすべきだ。そして脅威分析、リスク分析をし直した方がいい。
標的型攻撃メールを利用
標的型攻撃とは「特定の相手を狙ったサイバー攻撃」と定義できる。一般に標的型攻撃は、特定企業や組織の個人アドレスや部署のグループアドレスなどに直接メールを送り、添付ファイルに忍ばせたマルウエアを実行させ、侵入、サイト改ざん、情報窃取などを行う。
「特定の相手」という条件に重きをおけば、特定サイトのダウンを狙ったDDoS攻撃やハクティビストによる特定サイトの改ざんや情報窃取も標的型攻撃と言える。これと区別するため、特定の相手を想定したメールを使った攻撃ということで、標的型メール攻撃という用語を使う専門家もいる。
また、標的が企業など団体であれば、特定個人ではなく組織に属する誰かを狙うこともある。業界向けのサイトにマルウエアを仕込む攻撃(業界や標的を限定した水飲み場攻撃)も、分類が難しい。直接の手法は相手を特定しない水飲み場攻撃を利用するが、それが標的型攻撃の一部を構成していることがあるからだ。
次に攻撃手法。一般的な手口は、取引先、同じ会社の人間、上司、あるいは利用しているサービス事業者などを装った添付メールを送り付けること。こうして標的の社員のPCなどに侵入して、攻撃を始める。アンダーグラウンドマーケットから名簿やアカウント情報などを入手して、攻撃しているケースもある。
攻撃メールを受け取った被害者は、取引先や上司のメールだと思い、添付ファイルを開封する。大抵の場合、添付メールは偽物でマルウエアが仕込まれており、開封によってマルウエアが起動し、侵入や情報漏えいを許してしまう。
攻撃手法は年々進化しており、メールの文面から不審な点を見つけることが難しくなっている。取引先のメールアドレスや担当者の名前を騙られたら、よほど意識していないと信用してしまうし、多少不審に思っても、仕事のメールに見えれば開かざるを得ないこともある。