「標的型攻撃」から情報を守るためのポイントとは

課長、おはようございます～。

おはよう！　あれ？　もう一汗かいてるの？

ゴミ出しですよー。今月は私、当番なんです。

ペーパーレスが進みつつあるけど、まだまだゴミが多いからね。ご苦労様。

ゴミ箱の鍵が開いたままになっていたので、しっかり閉めましたよ。

武石さん！　それはダメだよ。標的型攻撃では企業のゴミ箱まで漁るから注意しないと、セキュリティ担当失格だよ。ちゃんとシュレッダーにかけたかな？

ええっ。標的型攻撃ってゴミ箱を漁るんですか？　サイバーじゃないんですか？

本格的な標的型攻撃は事前の情報収集を徹底的にやるからね。清掃員に化けて社内に侵入するなど、ソーシャルエンジニアリングの手法も活用するんだ。

なんだかスパイみたいですね。。。標的型攻撃について、もっと詳しく教えてください。

最近は標的型攻撃の手法が一般的なマルウェア攻撃に使われているけど、例えば背後に国家組織がいると思われる高度な標的型攻撃は現在も行われているよ。IPAでは、それを「高度標的型攻撃」と呼んで、次の攻撃ステップがあるとしているんだ。

• 1：計画立案
• 2：攻撃準備
• 3：初期潜入
• 4：基盤構築
• 5：内部侵入・調査
• 6：目的遂行
• 7：再侵入

高度標的型攻撃の攻撃シナリオ
出典：「『高度標的型攻撃』対策に向けたシステム設計ガイド」（IPA）
https://www.ipa.go.jp/files/000046236.pdf

なんだか、会社のプロジェクトみたいですね。

まさしく、今のサイバー犯罪者は組織化されていて、チームを作って標的型攻撃を請け負ったりしている。投資対効果にもこだわるけど、高度な標的型攻撃は潤沢な予算があるから、例えばマルウェアの開発にもお金をかけられる。

それに見合う価値のある情報を盗むわけですね。国家機密とか。

製薬業とか軍事産業、製造業の開発情報も狙われるよね。盗んで先に開発すれば、潤うからね。

それでゴミ箱を漁るわけですね。

最近はSNSを活用するらしいよ。SNSを根気よく調べれば、社内の人間関係もわかるからね。それで標的型メールを送る相手を決めるんだ。

それが「攻撃準備」ですね？

その通り。標的型メールやマルウェアを外部からコントロールするC＆Cサーバーもこの段階で用意されるんだ。そして、「初期潜入」では標的型メールが送られるほかに、標的と何回かメールのやり取りをする「やり取り型」や、業界的によくアクセスされるWebサイトにマルウェアを仕込む「水飲み場攻撃」も活用されているよ。

さすがに巧妙。手が込んでいますね。

「基盤構築」では、マルウェアに感染させ、同時に攻撃者はマルウェアと通信するためのC＆Cサーバーを用意し、マルウェアに指示を送ったり、追加のマルウェアをダウンロードして、社内ネットワークを調査する。そして「内部侵入・調査」では社内ネットワークを移動し、最近ではActive Directlyのコントローラーに侵入し、自身の権限を昇格させる。

そして重要なデータを見つけて盗み出すのが「目的遂行」のステップだね。C＆Cサーバー経由で情報を盗み出したら、痕跡を消して引き上げたり、再度侵入するためのバックドアを置いていったりするケースもあるんだ。情報を盗むとともにランサムウェアを仕込み、二重、三重の脅迫を行うケースもある。

気づかないまま機密情報を盗まれちゃうんですね。怖いです。

標的型攻撃のステップ
出典：「『高度標的型攻撃』対策に向けたシステム設計ガイド」（IPA）
https://www.ipa.go.jp/files/000046236.pdf

有効な標的型攻撃対策を教えてください。

標的型攻撃対策は、大きく侵入対策と内部対策に分かれるんだ。侵入対策はメールとWebサイトの対策。内部対策は内部での不審な動きを検知する対策になるね。ここでは侵入対策について説明しよう。

侵入対策はセキュリティ対策ソフトになるんですか？

メールとWebサイトへのアクセスの2つがあるから、それぞれに対策が必要だね。でも、従来型のセキュリティ対策ソフトで守るのは難しくなっているね。巧妙な標的型メールはすり抜けてしまうんだ。それと、URLフィルタリング機能のあるセキュリティ対策ソフトもあるけれど、水飲み場攻撃は正規のWebサイトを改ざんするから効果があまり高くないんだよね。

効果的なメール対策には、例えばシマンテックのクラウド型ゲートセキュリティサービス「Symantec Email Security.cloud Service（ESS）」があるよ。ESSはメール対策に特化しているから、標的型メールはもちろん、マルウェアやフィッシング、スパム、ビジネスメール詐欺まで検知できるんだ。ニュースレターやマーケティングメールも検知するから、ビジネスに不要なメールを排除できる。

それを実現しているのが、複数の検知技術の採用だよ。例えばメールやファイルの特徴から不審なメールを洗い出したり、コードを分析したり、世界最大規模の脅威情報などを活用したスキャン技術を採用しているんだ。明確に不審なものと判断できない場合は、サンドボックス上で実際にファイルを実行して、危険かどうかを判断する機能もある。

メールに記載されているURLについては、そのリンク先の安全性を検証するんだけど、リダイレクトされる場合はその先まで検証する。危険な場合はアクセスを遮断するから安心だよね。ESSはクラウドサービスだから導入しやすいし、管理もしやすいからセキュリティ担当者にも便利だよね。

危険なリンクを知らずにクリックしても安全なんですね。すごい！

Webアクセスの対策にも、シマンテックのクラウド型ゲートセキュリティサービスESSが有効だよ。ESSはメール対策ソリューションだから、メールに記載されているURLをチェックする機能もある。URLがリダイレクト（転送）される場合には、その転送先までチェックして危険性を判断するんだ。

しかも、ユーザーがメールを開いた時点でチェックを行うから、最新の状況を判断できる。例えば広く利用されている一般的なサイトが一時的に改ざんされることがあるんだけど、それも検知できる。普通のURLフィルタリングにはできないことだね。メールとWebの両方から初期潜入を防御できるから、標的型攻撃にも効果的なんだよ。

ESSのURLチェック機能の概要

なるほど～。これなら標的型攻撃の侵入対策だけでなく、メールとWebの幅広い対策に効果的ですね！　さっそく提案してみようと思います。課長、ありがとうございました。