いまや企業にとって「情報」は最重要資産の1つであり、情報システム担当者に対しては、この情報を守る使命が課せられるようになっている。とはいえ、次々と新しいサイバー攻撃手法が登場するなど、情報セキュリティの世界は覚えなければならない知識が多すぎる。とりわけ中堅・中小企業の情報システム担当者にとっては、一人で行う業務が多岐にわたるなか、とてもセキュリティの勉強にまで時間も手間も割けられないというのが本音だろう。そこで本連載では、“必要最小限”をモットーに、情報システム担当者としてこれだけは知っておかねば“ダメ、ゼッタイ”なセキュリティ用語をテーマ別にコンパクトに解説する。第3回は、「標的型攻撃」についてだ。
世間を騒がせた日本年金機構の個人情報流出事故や、先日のJTB会員情報の流出をはじめ、相次ぐ深刻なサイバー攻撃事件で用いられているのが、「標的型攻撃」と呼ばれる手法である。その脅威の高まりを受けて、いま世界中の企業・組織が対策に頭を悩ませている。
標的型攻撃
「標的型攻撃」とは、その名の通りあらかじめターゲット(標的)を定めて行われる攻撃手法だ。ターゲットとなるのは、特定の企業・組織だけではなく、ある業界全体であったり、特定の職務の人間であったりとさまざまだ。標的型攻撃では、従来からある複数の攻撃手法が組み合わせて使われる。ここでは典型的な攻撃ステップを紹介しよう。まずはWebサイトや電子メール、USBメモリなどを経由してターゲットの組織内のPCやサーバにマルウェアを感染させ、続いて侵入したマルウェアが感染端末にある機密情報の窃取や組織内の他の端末への侵入を開始。その後さらに外部の指令サーバ(C&Cサーバ)と通信しながら、新たな攻撃を実行していく。
ソーシャルハッキング
標的型攻撃の第一ステップでよく用いられるのが、「ソーシャルハッキング」と呼ばれる、コンピューターではなく人間関係における“セキュリティホール”を巧妙に突く攻撃手法である。たとえば、ターゲットが信じやすいように、差出人を偽ったり巧妙に文面を工夫したりしたメールを送りつけ、マルウェアに感染させるといったように、人を騙すアプローチが取られる。
(攻撃用)ツールキット
標的型攻撃がここまで活発化してしまっている要因となっているのが、攻撃用の「ツールキット」の存在である。こうしたツールキットを使えば、専門的な知識やスキルがなくとも、ターゲットに合わせたマルウェアを容易に作成することができてしまう。ツールキットで作成されたマルウェアの多くは既存のマルウェアの亜種となるため、パターンマッチング型のウイルス対策ソフトでは、検知できない可能性が高い点にも注意が必要だ。
監修:ソフォス
ソフォスは1995年の創立以来30年以上ITセキュリティ製品を取り扱うベンダーとして、150ヶ国10万社以上の法人企業と 1億人以上のユーザーに利用されている。さらに同社は、脅威データの収集、相関分析、解析を行い、ユーザーに最善な保護を提供し続ける「SophosLabs」を有し、24時間 / 365日新種の脅威に対処し監視・解析を行っている。
ソフォスのHPはこちらセキュリティ業界の最新情報やソフォスの製品情報をお届けする
SOPHOS INSIGHTはこちら
(マイナビニュース広告企画:提供 ソフォス)