標的型攻撃

出典: フリー百科事典『ウィキペディア(Wikipedia)』
移動: 案内検索

標的型攻撃とは、「特定の情報」を狙って行われるサイバー攻撃の一種である。

概要[編集]

標的型攻撃は、明確な意思と目的を持った人間が特定のターゲットに対して特定の目的のために行うサイバー攻撃の一種である。人間が攻撃を行っているため通常のコンピュータウイルスとは区別されるが、攻撃の過程でコンピュータウイルスなどを含む。不正プログラムが使われることもあるため、見た目などで明確な区別ができるわけではない。 

特徴[編集]

標的型攻撃は、コンピュータウイルスなどの不正プログラムのように「明確な攻撃」を識別できない場合も多い。標的型攻撃では攻撃者が攻撃そのものが発見されないようにする意思があるため、自らの攻撃の痕跡を消去してしまうことが一因として考えられる。故に攻撃を受けた企業・組織も、実際に攻撃を受けたのかどうか、また何の情報が盗まれたのかなど被害の実態を把握することが難しい場合が多い。

標的型攻撃は、被害に遭ったことが明確に分からないため、半年から1年以上も前から攻撃を受けて情報が盗まれていたにも関わらず、専門家による詳しい調査を行うまで全く気付かなかったというケースもあるとされる。

ただし、被害を受けた企業・組織も情報が窃取された事実などを、あまり明らかにはしたくないため、報道発表などをしておらず、内部の関係者だけが知っているという状態も多いと考えられる。攻撃者は情報を盗み出すまで執拗に攻撃を繰り返すことがあるため、そのような標的型攻撃は「持続的標的型攻撃(Advanced Persistent Threat)」とも呼ばれている。

攻撃者の目的[編集]

攻撃者の目的は様々である。

企業や組織から「特定の情報」盗み出すことが目的の場合もあれば、破壊的な活動の場合もある。攻撃者にとっての利点は、情報を窃取することで金銭を受け取ったり、自らの政治的なものも含めた欲求を満たすことにある。ビジネスとして成立している場合は、依頼内容を完遂するまで手法を変えながら攻撃を繰り返す。

政治的な意図、国家間の紛争などに起因する標的型攻撃の場合は、サイバー戦争サイバーテロと混同されることもあるが、標的型攻撃は「情報の窃取」が目的であるため、「サイバー攻撃やサイバーテロなどを実施するために必要な情報を集める行為」であると考えられる。

標的型攻撃のターゲット[編集]

標的型攻撃のターゲットとして挙げられるのは、軍需産業、化学産業、政府機関など機密性の高い情報を持っている組織が対象になることが多い。また、特殊な技術や新製品の情報などを持つ民間企業を標的にした攻撃も増加している。

攻撃手法の例[編集]

ソーシャル・エンジニアリングを悪用した標的型メールによる攻撃[編集]

攻撃者が標的型攻撃を開始する際に行われる手法として多いのが、ソーシャルエンジニアリングを悪用して標的のユーザに対して不正プログラムを送りつける「標的型メール」と呼ばれる手法である。標的型攻撃を効率的に行う際、企業・組織の内部サーバへ侵入する必要があるが、まずは一般社員の端末を不正プログラムで感染させることで支配下に置き、内部ネットワークへの入り口とすることがある。

例えば、外部の業者などと取引の多いマーケティング部の社員に対して、実際に存在する取引先の担当者に偽装して不正プログラムを送り付けて感染させる。不正プログラムはドキュメントファイルに偽装されており、メールの文面には、書面の確認を依頼する旨の内容が書かれている。実際に取引を行っている人間からのファイルのため、疑うことなく不正ファイルをクリックしてしまう。クリック後は、端末が不正プログラムの支配下に置かれ、内部ネットワークの入り口となってしまう。

攻撃者は標的型メールのような「偽装メール」を送るために、ソーシャルメディアなどWeb上で公開されている情報を綿密に調査し、会社名、取引先など詳細な情報を入手する。内部ネットワークへの侵入の手口/正規のアクセス情報を手に入れる企業・組織の内部ネットワークに侵入した攻撃者は、辞書攻撃やブルートフォース攻撃(総当たり攻撃)で、サーバのDomain Admin権限を奪取しようとする。これらの攻撃は、膨大な回数のログインと認証エラーがログとして残るため、サーバへのアクセスログをチェックしていれば発見できる攻撃ではあるが、企業のサーバ管理者としての業務を行う中では、そこまで作業をするリソースがなく、その隙を突かれていると言える。

一度Domain Admin権限を奪取されてしまうと、自由に内部ネットワーク内で活動をできるようになり、情報を盗み出される可能性が高くなる。さらには、正規のIDとパスワードを使用してログインされているため、攻撃者の不正アクセスが「正規のアクセス」となり、発見をすることが難しくなってしまう。

関連項目[編集]

外部リンク[編集]