標的型攻撃の種類と攻撃手順について

 2017.01.30 Secure Enterpriseポータル

多くの企業や組織が標的型攻撃の被害を受け情報を搾取されています。

今回は日々深刻化する標的型攻撃に対しセキュリティ意識を高め、今取るべき対策について理解していただくために、標的型攻撃の攻撃手法や攻撃段階などを解説していきます。 

標的型攻撃の手法の種類について

ターゲットを絞り、綿密な計画を立てた上で実行される標的型攻撃にはどのような種類(手法)があるのか?

代表的な攻撃手法である“標的型攻撃メール”と“水飲み場攻撃”、さらに“潜伏型・速攻型”と“ゼロデイ攻撃”の特徴について解説します。

標的型攻撃メール

「標的型攻撃」と聞いて標的型攻撃メールがまず思い浮かぶ方は多いでしょう。直近の大規模な情報漏えい事件に関しても、標的型攻撃メールが原因であり、最も警戒すべきサイバー攻撃の一つでもあります。

標的型攻撃メールの主な目的は、メールに添付したファイルあるいはURLを展開させ、対象端末を不正プログラムに感染させることです。

そのために攻撃者は業務上の関係者を装うなど、狡猾な手口で安全なメールだと信じ込ませターゲットを陥れます。

添付ファイルもURLも基本的に偽装されているので、一見して標的型攻撃メールだと気付くのは困難です。

水飲み場攻撃

水飲み場攻撃とは、ライオンが水飲み場で獲物を待ち伏せする姿に例えられた標的型攻撃です。ターゲットが日常的に閲覧するWebサイトに不正プログラムを組み込み、マルウェア感染や内部ネットワークへの通信を試みます。

水飲み場攻撃そのものが登場したのはごく最近であり、米国のストレージハードウェアベンダーであるEMCコーポレーションのセキュリティ部門RSAセキュリティにより認識されました。

標的型攻撃メール同様に一見して不正プログラムが組み込まれているとは気付きにくく、多くの日本企業が被害に遭っています。

潜伏型と速攻型

標的型攻撃における内部活動では、潜伏型と速攻型という2つのタイプが存在します。

潜伏型は文字通り内部ネットワークに長期間潜伏し、機密情報を搾取するまで展開されるタイプの標的型攻撃です。

一方速攻型は前者のような“攻撃基盤の拡大”は行わず、数時間~1日程度のごく短時間での情報搾取を行います。

しかし速攻型では単発的な攻撃で終わらず、1回1回の情報搾取は最低限に留め、最終的な機密情報搾取を達成するまで継続的に繰り返していきます。いずれのケースにおいても企業は標的型攻撃に遭遇していると気付くにくく、知らぬ間に機密情報搾取を許してしまっているケースが少なくありません。

ゼロデイ攻撃

ゼロデイ攻撃とは標的型攻撃の手法そのものではなく、不正プログラムを用いてセキュリティパッチが提供されていないソフトウェアの脆弱性(セキュリティホール)を狙った攻撃を指します。

なぜこの場で解説しているかと言うと、標的型攻撃を侵入初期段階として実行し、ゼロデイ攻撃によって脆弱性を突いた攻撃が多発しているためです。ハッカーはWebサイトを経由して情報を搾取していくことになります。

従って企業は標的型攻撃に向けた対策だけでなく、ゼロデイ攻撃なども想定した包括的セキュリティ環境を構築する必要があります。

標的型攻撃の攻撃手順について

ここでは潜伏型を例に、一般的な標的型攻撃の“攻撃手順”について解説していきます。手順を理解することで何をどのように防げば良いかのヒントになれば幸いです。

1. ターゲットの身辺調査を開始

攻撃者はまず、ターゲットが日々どのような関係者とやり取りしているか、日常的に閲覧しているWebサイトは、そして情報システムが導入しているサーバーの種類や主要ソフトウェアなどのシステム環境を調査します。

こうした情報は意外にも、Web検索などの比較的簡単な手法で調査することができ、システム環境に至ってもある程度特定することは難しくありません。

2. パーソナライズされた攻撃手法で内部に侵入

次に、内部ネットワークへ侵入するきっかけを作るための攻撃を実行します。その攻撃手法は先に解説した標的型攻撃メールや水飲み場攻撃が主流であり、時として複合型の攻撃も見受けられます。

3. C&C通信による感染端末の制御

C&C(コマンド&コントロール)サーバーとはマルウェア感染した端末を制御するための攻撃用サーバーであり、攻撃者は対象端末のマルウェア感染に成功するとC&Cサーバーによって端末との通信を確立します。

4. 権限を奪取し機密情報にアクセス

C&Cサーバーによって操作されている端末は、まるで内部ネットワークを徘徊するように動き回り、管理者権限の奪取を試みます。アカウントIDとパスワードのハッシュをダンプしたり、権限を昇格させることによって管理者権限を奪取した攻撃者は機密情報が眠るデータベースなどにアクセスします。

5. 各システムから搾取した情報を集約

各システムから顧客情報やプロジェクト情報などの機密情報を奪取した攻撃者は、一度情報を集約して外部送信へと備えます。

6. 集約した情報を外部サーバーへ送信

集約した情報は一度にアップロードするのではなく、いくつかに小分けして外部へ送信します。情報送信を小分けにすることで不正通信を発覚しにくくし、秘密裏に機密情報を外部へと持ち出します。

7. 証拠隠滅と持続的な攻撃

最終的にはログ消去などの証拠隠滅により、情報搾取を行った痕跡を完全に消します。しかしこれで終了というわけではなく、攻撃者によっては持続的に情報搾取を実行するケースが少なくありません。

標的型攻撃に対する対策のポイント

現代の標的型攻撃に対し、“不審なメールを開封しない”や“怪しいWebサイトを閲覧しない”といった“意識的なセキュリティ対策”だけではもはや太刀打ちできません。また、従来のマルウェアソフトやファイアウォールなど、基本的なセキュリティ製品だけでは防ぎ切れないのが現状です。

つまり標的型攻撃に対する対策のポイントとは、“多方面からの脅威を想定した上で包括的なセキュリティ環境を整える”ことが重要です。

エンドポイントセキュリティや単純な境界防御のみを講じたとしても、標的型攻撃やその他のサイバー攻撃を完全に防ぐことはできません。また、マルウェア感染や内部ネットワークへの侵入を想定した内部対策も非常に重要となります。

こうした包括的なセキュリティ環境はすべての企業が持つ“最優先事項”の経営課題だと言えます。

まずは脆弱性診断で自社環境をヘルスチェック

標的型攻撃をあ始め、様々な手段で仕掛けてくるサイバー攻撃を想定し、企業の規模や事業内容に関わらず、全ての企業が何かしらセキュリティ対策を必要としています。

社内のコンプライアンス強化や注意喚起と行った意識改革や制度の整備を始めるとともに、まずは自社のインフラがどのような状態にあるか正しく把握することが必要です。

いくつもの診断サービスがあり、目的に応じてコンサルティングやセキュリティベンダーの診断サービスを利用することができます。攻撃のリスクが高い分野でありながら、比較的手軽に実施できるのがWebアプリケーションの脆弱性診断です。当ブログからもシマンテック社のセキュリティ診断サービスの内容をご紹介しておりますので、ぜひこの機会のご確認ください。