標的型攻撃|サイバーセキュリティ.com

  1. ホーム /
  2. セキュリティ用語集 /
  3. 標的型攻撃
             

標的型攻撃

標的型攻撃(Targeted Attack) とは、特定の個人や組織を狙い、重要情報の窃取やシステムの破壊を目的に、計画的かつ組織的に行われるサイバー攻撃のことです。標的型攻撃は、事前にターゲットの情報を収集し、その組織に合わせた手口で慎重に実行されます。企業の機密情報、国家機関の重要データ、個人の金融情報など、攻撃者が標的の資産や情報に応じて目的を持って攻撃を仕掛けるため、一般的な無差別攻撃とは異なる特性を持っています。

標的型攻撃は、多くの準備と高度な技術が必要ですが、攻撃者にとってもリターンが大きいことが多いため、近年では特に企業や公共機関を狙ったサイバー犯罪で使用されることが増えています。また、攻撃の発見が困難であり、発覚までに数カ月から数年かかるケースも少なくありません。

標的型攻撃の特徴と手法

標的型攻撃の代表的な特徴は、特定のターゲットにカスタマイズされていることです。以下のような段階を経て、計画的に実行されるのが一般的です。

1. 情報収集(Reconnaissance)

攻撃者は、インターネットやSNS、企業の公開情報などからターゲットに関する詳細な情報を収集します。この段階で、攻撃対象の組織構成や担当者、セキュリティ環境などを把握します。

2. 攻撃手法の選定

収集した情報をもとに、最も効果的な攻撃手法を選択します。ターゲットのセキュリティ環境や業務内容に基づき、フィッシングやマルウェアの使用などを判断します。

3. マルウェアの作成・配布

攻撃者は、標的のシステムやセキュリティに適したマルウェア(ウイルス、トロイの木馬など)を作成し、メール添付やリンク、USBメモリなどの手段でターゲットに配布します。これにより、外部からの検知を回避しつつ、標的内に感染を広げることが可能になります。

4. 内部侵入と拡散(ラテラルムーブメント)

ターゲット内にマルウェアが潜入すると、システム内部で横方向に拡散し、重要なデータにアクセスできる権限やシステムを探索します。特に標的型攻撃では、権限昇格や内部ネットワークでの移動が慎重に行われます。

5. 情報の窃取・破壊

攻撃者は、アクセスしたデータを外部に送信したり、情報を改ざん、破壊するなどの最終目的を達成します。情報の持ち出しを外部から気づかれないように行うことが多く、情報が破壊された場合でも、攻撃者が特定されることなく目的を達成することを目指します。

代表的な標的型攻撃の手口

標的型攻撃は、ターゲットに合わせた手口で行われるため、一般的な攻撃と異なり、さまざまな方法が組み合わされます。以下は代表的な手口です。

1. スピアフィッシング(Spear Phishing)

特定の人物や組織を狙い、実在する取引先や上司になりすまし、精巧に偽装されたメールでマルウェアやリンクを送信する手法です。受信者がメールに応じてリンクをクリックしたり、添付ファイルを開くと、感染が始まります。

2. ソーシャルエンジニアリング

人間の心理的な隙をつく手口で、電話やメール、SNSを通じて情報を引き出す方法です。ターゲットの組織に関する知識や信頼関係を利用し、パスワードや重要情報を自然に引き出すことで、セキュリティ侵入に利用します。

3. ゼロデイ攻撃

OSやアプリケーションの未発表の脆弱性(ゼロデイ脆弱性)を狙い、パッチが適用される前に攻撃を仕掛ける方法です。セキュリティシステムに検知されにくく、標的の脆弱性が修正されるまでの間に大きな被害が発生することがあります。

4. APT(持続的標的型攻撃)

Advanced Persistent Threat(APT)とも呼ばれ、長期間にわたって標的に侵入し続け、じっくりと内部情報を収集・窃取する攻撃です。通常、特定の組織をターゲットとし、痕跡を残さず持続的に活動を行うため、発見が難しいのが特徴です。

5. サプライチェーン攻撃

取引先やサプライヤーなど、ターゲット組織に関連する第三者のシステムを経由して侵入する攻撃手法です。間接的にターゲットへアクセスするため、検出が難しく、広範囲な影響を及ぼすことがあります。

標的型攻撃の被害例

標的型攻撃は、企業や組織の重要な資産に影響を及ぼす重大なサイバー脅威です。代表的な被害例には以下のようなケースがあります。

  • 金融機関への攻撃:金融取引システムや顧客データベースに侵入し、数億円規模の資金が流出した事例。内部システムに侵入した後、口座情報や取引データを不正に操作しました。
  • 製造業における技術情報の窃取:大手製造企業が開発している新技術や製品設計情報を狙った攻撃が発生。長期にわたって内部に潜伏し、重要な技術データを盗み出されました。
  • 公共機関へのAPT攻撃:政府機関がAPT攻撃により内部情報を窃取され、国の安全に関わる機密情報が外部に流出した事例。攻撃者は、長期間にわたってシステム内で活動し、重要情報を収集していました。

標的型攻撃への対策方法

標的型攻撃は高度な手法であるため、通常のセキュリティ対策に加え、より強固な防御策が必要です。

1. ゼロトラストセキュリティの導入

「すべてのアクセスを信頼しない」ゼロトラストモデルを採用し、アクセス制御を厳密に行います。特に、リモートアクセスや内部システムのアクセスにおいては多段階の認証を要求し、侵入のリスクを軽減します。

2. EDR(Endpoint Detection and Response)の活用

EDRを導入し、エンドポイント(端末)での異常な活動をリアルタイムに監視することで、侵入後の拡散やラテラルムーブメントを早期に検知できます。EDRは、疑わしい活動が検出されると自動で封じ込めを行うなど、内部侵入に対して有効です。

3. セキュリティ教育と意識向上

スピアフィッシングやソーシャルエンジニアリングへの対策として、従業員にセキュリティ教育を行い、不審なメールやリンクに対する注意喚起を徹底します。具体的な被害事例や攻撃手口を共有することで、日常的なセキュリティ意識を高めます。

4. ネットワークセグメンテーション

ネットワークを細分化し、重要なシステムやデータへのアクセス権を厳格に管理します。これにより、仮に侵入されても他のシステムへの拡散を防ぎやすくなります。内部ネットワークのトラフィックを監視することで、異常な移動が検知されるようにします。

5. パッチ管理と脆弱性対策

システムの脆弱性を狙った攻撃が多いため、OSやソフトウェアのパッチ適用を定期的に行い、ゼロデイ攻撃に備えます。また、脆弱性診断やセキュリティテストを定期的に実施し、潜在的な脆弱性を早期に発見・修正します。

まとめ

標的型攻撃(Targeted Attack) は、特定の個人や組織を狙った計画的なサイバー攻撃で、情報収集から内部侵入、情報の窃取や破壊まで、段階的に実行される高度な手法です。標的型攻撃は一般的な無差別攻撃と異なり、ターゲットに合わせて攻撃がカスタマイズされ、長期間潜伏するケースも多く、発見や防御が非常に難しいとされています。

このため、標的型攻撃に対抗するためには、ゼロトラストセキュリティやEDRの導入、セキュリティ教育、ネットワークのセグメンテーションなど、多層的な防御対策が必要です。企業や組織は、日頃からのセキュリティ意識向上と堅固な対策を講じることで、標的型攻撃による被害を防ぐことが求められます。

関連コラム(あわせて、以下の記事もよく読まれています)

製品・サービス(当該コラムの内容に関連する製品・サービスはこちら)


SNSでもご購読できます。