標的型攻撃メールの被害事例と防御方針

 2017.01.05 Secure Enterpriseポータル

一般社団法人JPCERTコーディネーションセンターに寄せられたセキュリティインシデントの報告によると、標的型攻撃の報告件数は減少傾向にあるだけでなく少なく感じてしまうかもしれません。

出典:JPCERT/CC インシデント報告対応レポート

一方、平成28年3月17日に発表されました警察庁の広報資料によると、警察が連携従業者から報告を受けた標的型攻撃メールは3,828件と過去最大を記録し、事態の深刻さは依然として増していることが伺えます。

多くの企業が被害に遭い情報漏洩を許してしまっているのが“標的型攻撃メール”です。攻撃者は、手を替え品を替え、巧妙に偽装したメールを送信し、不正プログラムを組み込んだ添付ファイルやURLをクリックさせることで対象者のデバイスのマルウェア感染、そして内部ネットワークへの侵入を狙います。

今回は、こうした標的型攻撃メールによる実際の被害事例をご紹介します。近年発生した5つの被害事例を紹介すると同時から、その対策に関してご紹介いたします。

ホワイトペーパー:公開ウェブサイトに安心感を! 脆弱性診断のススメ

標的型攻撃メールによる被害事例

某旅行会社 – 678万8,443件の個人情報流出の可能性

旅行大手企業の子会社であるインターネット販売事業を展開する企業は、標的型攻撃メールを受け678万8,443件(発表当時は約793万件で後に重複分を修正)の個人情報流出の可能性があると2016年6月に発表しました。

事件は発表から約3ヵ月前、同社職員が受信したメールに添付されていたファイルを開封したことがきっかけです。

メールは実在する取引先の社名・部署名・担当者名・メールドメインで精巧に偽装され、内容に関しても実際の業務に関連するものだったことから、マルウェア感染は回避できなかったと発表しています。

事件概要から推察するに、攻撃者は入念な身辺調査を行った上で攻撃を実行しており、場合によっては内部精通者がいるとも考えられます。

あくまで“個人情報流出の可能性”であるため一律補償は考えておらず、実害が出た際に個別対応するとしていますが、それでも信頼性の低下に伴う事業低迷は免れないでしょう。

特殊法人 – 101万4653件の個人情報流出

2015年最大の個人情報流出として記憶された国からの委託事業を運営する特殊法人では、101万4,653件の個人情報流出とそれに伴い10億円の損害を被ったと発表しています。

同事件では、情報流出へ至る以前に標的型攻撃メールによるマルウェア感染が発生しているにも関わらず、社内喚起において具体的なメール内容の申し送りがなかったため、その後他の職員が受信した標的型攻撃メールの添付ファイルを開封してしまったことが原因です。

結果、特殊法人内ネットワークの端末19台がマルウェア感染し、101万4,653件もの個人情報の流出を許してしまいました。ちなみにメール内容は業務に関連するものでした。

公益経済団体- 1万2,139件の個人情報流出の可能性

公益経済団体でも個人情報が流出した可能性が浮上しました。

標的型攻撃メールの具体的な内容や受信したメールアドレスの情報は非公開ですが、同所職員が不正プログラムを組み込んだ添付ファイルを開封したことで情報流出を許してしまいました。

同事件はJPCERTコーディネーションセンターから「標的型攻撃を受けているおそれがある」と報告を受けて発覚に至りましたが、実は外部からの報告によって標的型攻撃に気付くという事例は非常に多く、トレンドマイクロ社の脅威レポートによると9割以上の企業が独自に標的型攻撃を検知できないことが発表されています。

私立大学 – 3,308件の個人情報流出

2014年12月には、某私立大学宛てに送付された“医療費通知”を装った標的型攻撃メールにより、同大学の職員・学生・派遣社員を含む3,308件の個人情報流出が発生しました。

攻撃者はマルウェア感染した端末を制御し、大学管理サーバの設定ファイルに残されていた管理用パスワードを盗んだ上で情報を搾取しました。

情報流出が発覚したのは約半年後の2015年6月であり、やはり外部機関からの連絡でC&Cサーバとの通信が確認されたようです。

航空会社 – 4,131件の個人情報流出

某航空会社では2014年9月に、標的型攻撃メールにより最大で75万件の個人情報が流出したと発表し、後に4,131件の個人情報流出と確定しました。

狙われたのは航空会社の個人情報管理システムであり、同システムにはマイレージ会員情報が約2,800万件保管されています。

マルウェア感染していたPCは23台、内12台が個人情報管理システムへ接続可能なPCであり、場合によってはかなり大規模な個人情報流出もあり得た事件です。

さらに、事件発生以前にはサンプル的に抜き取られた可能性もあり、入念な計画のもと攻撃が実行されたようです。

標的型攻撃メールの被害事例から浮かび上がる特徴

以上5つの標的型攻撃メールにより被害事例をご紹介しました。

これらの事例はどれも巧妙な手法で関係者を装い厳格にターゲット化されている特徴があります。

セキュリティ教育などは企業や組織にとって必要不可欠ではありますが、このような標的型攻撃メールに関して言えば、教育の有無にかかわらず感染してしまう確率はかなり高いと言えるでしょう。つまり、ユーザーのセキュリティ意識の改革だけでは “標的型攻撃メールを防御できない”ということです。

特にどの事例も業務と密接に関係する内容の標的型攻撃メールを受信した場合、かなりの確率で添付ファイルを開封してしまうことは間違いありません。

また、最近の攻撃は、開封時もマルウェア感染を悟られぬようダミープログラムを生成するため、リアルタイムに標的型攻撃を受けていると気付くことは非常に困難です。

従ってエンドユーザーのセキュリティ意識に依存しない、システム的な防御策が不可欠になりなるでしょう。

求められる防御の考え方

各事例の企業・組織では、その規模から基本的なセキュリティ製品の導入はもちろん、堅牢なセキュリティ環境を構築していると推察できます。

それにも関わらず内部ネットワークへの侵入と情報流出を許してしまっている現状から、 “従来型のセキュリティ対策だけでは昨今の高度化するサイバー攻撃に対応しきれなくなっている”ということが言えるのではないでしょうか。

標的型攻撃には「入口対策」に加えて「出口対策」「内部対策」が必要であると考えています。

入口対策として、日々大量に受信するビジネスメールに対し高度な添付ファイル・URL解析などマルウェア感染と攻撃者の侵入を防ぐ仕組みが必要でしょう。

また、侵入を前提として内部対策も必要になります。具体的には内部ネットワークの通信監視による防御です。具体的には不正Webサイトへの接続やサーバ群への不正通信を検知、さらには不審な挙動をサンドボックス上で実行するような仕組みで内部対策を万全化します。

出口対策では情報漏えいと言った最終目的をゲートウェイ製品などで防御します。

まとめ

標的型攻撃メールを利用した「気付けない攻撃」による損害を防ぐためには、攻撃者の攻撃段階にあわせて対策を講じることが必要です。攻撃者は、標的に合わせて「カスタマイズ」した巧妙な攻撃を行うことから、入口対策だけでは不十分です。侵入を前提とした内部対策はもちろんのこと、情報漏えいといった攻撃者の最終目的を防ぐ出口対策が重要になるのです。

サイバー攻撃のタイプによりセキュリティ施策も変わってきます。1つのソリューションを導入するだけはなく多角的に対策することが必要です。シマンテックもWebサイトを守るための「シマンテック クラウド型WAF」をはじめとして様々なセキュリティソリューションをラインナップしています。ぜひ安全な企業ネットワークの運用にご活用ください。