標的型攻撃 対策指南書
1.1. 標的型攻撃とは
標的型攻撃は、海外ではAPT(Advanced Persistent Threat)と呼ばれるサイバー攻撃の手法の一つです。日本においては、情報セキュリティ対策推進会議*2 が定義した「高度サイバー攻撃」*3 に含まれる攻撃手法を指します。
なお、標的型攻撃の詳細に関しては、「Cyber GRID View vol.1」をご覧ください。
標的型攻撃の攻撃者は、狙いを定めた組織からまずは様々な情報を窃取しますが、そのためには手段を選びません。その手口は年々巧妙化・多様化し、目的を達するまでは執拗に繰り返します。現在においてもメールにウイルスを添付して直接送り付ける手法が多く悪用されていますが、2013年に入り、未知の脆弱性を悪用*4 し、特定の攻撃対象組織からの閲覧者に限ってウイルス感染させるようにウェブサイト改ざんを「水飲み場型攻撃」*5 が日本でも初めて確認されました。
下の表1は、2014年12月に当社が公開した「Cyber GRID View vol.1」に掲載した、標的型攻撃事案からの抜粋です。言うまでもなく、これらは氷山の一角にすぎません。
攻撃者は、メールでのウイルス添付や、利用者が普段よく訪れるウェブサイトの改ざん、ソフトウェアのインストール・更新時の悪用など、あらゆる手段で標的対象組織のパソコンにウイルスを仕込もうとします。いまでは、ウイルスに感染したことのない組織はまず見当たらないと言っていいでしょう。
| 日付 | 報道された主な標的型攻撃の内容 |
|---|---|
| 2009/11 | 世界の石油・天然ガスなどのエネルギー関連企業や製薬会社などへのサイバー攻撃 |
| 2010/1 | Googleを含む米国企業へのサイバー攻撃 |
| 2010/6 | イランの核燃料施設を標的としたサイバー攻撃 |
| 2011/4 | ソニーの米国子会社へのサイバー攻撃により個人情報が流出 |
| 2011/9 | 三菱重工へのサイバー攻撃 |
| 2011/10 | 衆議院へのサイバー攻撃によるウイルス感染で議員のパスワードが流出 |
| 2012/5 | 原子力安全基盤機構における情報流出 |
| 2012/7 | 財務省でウイルス感染による情報流出 |
| 2012/11 | 三菱重工(宇宙関連の事業所)におけるウイルス感染 |
| 2013/1 | 農林水産省からTPP関連などの機密情報が流出 |
| 2013/2 | 外務省ネットワークから外部への情報流出 |
| 2013/5 | Yahoo! JAPANへの不正アクセスにより、最大2200万件のIDや148万件のパスワード(ハッシュ)、およびパスワードを忘れてしまった場合の再設定に必要な情報が一部流出の可能性 |
| 2014/1 | 高速増殖炉もんじゅ および国立がん研究センターが、GOM Playerの利用時におけるアップデート通信で不正なプログラムを実行される*6 |
| 2014/2 | はとバス・ヤマレコにIEのゼロデイの脆弱性を悪用する攻撃コードが埋め込まれる*7 |
| 2014/8 | 日本で、インターネットサービスプロバイダ(ISP)、学術機関、大学関係者などを対象とするEmEditorの更新チェッカーを悪用した水飲み場攻撃*8 |
| 2015/6 | 日本年金機構に標的型攻撃。125万件の個人情報が流出*9 |
標的型攻撃では、攻撃者は例えば、標的組織やそこに所属する社員について情報収集し、その組織や関連組織の社員、外部から問い合わせをする人などになりすまし、ウイルスに感染させるためのメールを“継続して(執拗に)”送ります。
組織内のパソコンがたった1台でもウイルス感染させられると、攻撃者はそのパソコンとネットワークに関する情報を収集し、それを踏み台に組織内の他のパソコンへの不正アクセスを繰り返します。最終的には社内のシステム管理者などの高い権限を取得して組織内の複数のパソコンを制御し、以降、継続的に組織を観察し、メールや文書ファイルの窃取などを行います。管理者権限が得られない場合でも、感染時の利用者の権限で窃取可能な、Webブラウザに登録されているアカウント情報やメールや文書ファイルなどの情報を盗み取ります。
標的型攻撃で標的型メール(成りすましメール)が使われた場合の、当社サイバー救急センターが実際に対応した被害企業で確認された添付ウイルスの割合は、図2になります。
確認された標的型メールのうち、実行ファイル(拡張子がexe、LNKやマクロファイルなど)のように利用者による直接実行を狙ったものが全体の76%を占めており、利用ソフトの脆弱性を悪用し感染を狙うものより大幅に多く「利用ソフトを最新にしておく」という企業の管理者側の管理では感染を止められない実態が明らかになっています。つまりメールによる攻撃の標的となっているのは実行ファイルの区別が付かないITリテラシーの低い利用者であることが明白です。
- *2 現在のサイバーセキュリティ対策推進会議。
- *3 標的型攻撃などを含む、組織的・持続的な意図をもって外部から行われる情報の窃取・破壊等の攻撃(「高度サイバー攻撃対処のためのリスク評価等のガイドライン」(平成26年6月25日 情報セキュリティ対策推進会議)
- *4 ソフトウェアベンダからの脆弱性情報や修正プログラムの公開前に、その脆弱性を悪用して攻撃すること。また、脆弱性そのもののこと。
- *5 正規のウェブサイトを改ざんし、そこに標的対象とする組織の利用者が訪れた時のみウイルス感染させる攻撃手法
- *6 正規のソフトウェアのアップデートで、不正なプログラムが実行される事案について | セキュリティ対策のラック
コンピュータウイルス感染に関する調査結果について 日本原子力研究開発機構:プレス発表
http://www.ncc.go.jp/jp/information/20140206.html - *7 「はとバス」「ヤマレコ」のサイト改ざん、IEへのゼロデイ攻撃を仕込まれていた可能性 -INTERNET Watch Watch
- *8 http://jp.emeditor.com/general/更新チェックによるウイルス感染の可能性/
- *9 日本年金機構、標的型攻撃で年金情報流出 | 日経 xTECH(クロステック)
