薄井 : 攻撃対象となる企業の規模はどうでしょう。

三浦 : 2万7000件のうち、従業員数が2500名以上のいわゆる大企業が全体の半数を占めています。しかし「中小企業なら狙われない」ということではありません。実際には従業員250名以下の企業が攻撃対象全体の18%を占めていました。攻撃の傾向として、欲しい情報が存在している大企業と取引のある中小企業などを踏み台にするケースもありますので、規模的に「安心なセグメント」というのはないと考えたほうがよいですね。

規模にかかわらず、あらゆる組織が標的型攻撃のターゲットになっている

薄井 : 逆に、中小企業であるがゆえにセキュリティに対する認識が甘いと、標的型攻撃の踏み台として利用されるケースもあるということでしょうか。

三浦 : それはあるだろうと思います。

坂本 : だから「中小企業が狙われやすい」ということは言えないのですが、基本的に他社との取引があり、業務にかかわる重要な情報が社内にある企業は、すべて攻撃対象になり得るというのが現実的なとらえ方だと思いますね。

最初に狙われる「メール」は手口が巧妙化

薄井 : 先ほどの話では標的型攻撃の手口として「多段型」が多いということだったのですが、具体的にその「第1段階」は、どのようなものが多いのでしょうか。

坂本 : やはり一番多いのは「メール」です。かつてのウイルスやワームは、一通のメールの中に添付ファイルとしてプログラムやマクロが含まれており、攻撃の意図が分かりやすいものが多かったのですが、近年の標的型攻撃では、比較的少数のマルウェアを標的を絞ったターゲットに複数回数、段階的に送付することで重要な情報を抜き出すケースが多いですね。

例えば、シマンテックで2011年に検知したマルウェアの上位10種類を見てみると「バックドアを開くもの」「ワームを送り込むもの」といった形で、「次の攻撃の手助けをするものが多く見つかっています。

シマンテック ドット クラウド マーケティングマネジャーの三浦真樹子氏

三浦 : 統計では、標的型攻撃の第1段階がメールであるケースが約90%以上にのぼっています。それだけ、メールでの対策は重要ということになります。また、ウェブサイトを使った攻撃が、昨年との比較で30%増加している点も注意が必要です。メールの添付ファイルによる直接的な攻撃ではなく、攻撃の目的で設置されたウェブサイトをクリックさせるために、メールを送るという流れが多くなってきています。

坂本 : 実際に、メールのウイルス対策はしているけれど、ウェブサイトへの対策は行っていないというケースも多く、そこが狙われる形になってしまっています。また近年では、メールでの攻撃方法もさらに手が込んできています。例えば、ソーシャルネットワーキングサービスなどをベースに「知人からのおすすめ」を装ったり、場合によっては、前段階の攻撃で得た情報をもとに「知人に送ったメールそのもの」を利用してマルウェアを送りこもうと試みるケースもあるようです。さらに、メールタイトルも攻撃対象の組織の人間にとって「より開かれやすい表題」がつけられるなど、手法の開発が進んでいる印象があります。