連載
» 2011年11月14日 00時00分 公開

Windows Insider用語解説:標的型攻撃(ターゲット・アタック)

あなたの会社も標的型攻撃の危険にさらされているかも。巧妙に仕掛けられた攻撃を防ぐことはできるのか? 標的型攻撃の特徴や対策を解説する。

[小林章彦,デジタルアドバンテージ]
用語解説
Windows Server Insider


「用語解説」のインデックス

連載目次

 特定の組織を標的としたセキュリティ攻撃のこと。攻撃対象が限定されているため、その組織に特化した工夫がなされており、検知が難しいのが特徴である。そのため、攻撃対象となった組織では、攻撃を受けたこと自体に気付きにくく、情報漏えいなどの攻撃が長期にわたって続くリスクがある。三菱重工業や衆議院など、日本国内の組織が標的となった例も数多く報告・報道されている。

攻撃のパターン

 標的型攻撃は、ウイルスを添付した電子メールが利用されるケースが多い。送信元のメール・アドレスは、社内や官公庁などのドメインに詐称されており、一見しただけでは攻撃メールだと気付かないように工夫されている。また文面も、例えば「来週の会議資料」といったように、内部連絡を装うなどして、普段からウイルスやスパムなどに気を付けていても、添付ファイルを開いてしまうように誘導するものが多い。さらにウイルスは、パスワード付きZIPファイルに含まれるPDFファイルなどに仕込まれており、メール・サーバのウイルス・チェックをすり抜けてユーザーの手元に届くような細工がなされている場合もあるという(メール・サーバのウイルス対策ソフトウェアでは、通常、パスワード付きZIPファイルの中身のファイルはウイルス・チェックが行われない)。

 電子メールに添付されたPDFファイルやDOC/XLSファイルなどを開くと、Adobe ReaderやWord/Excelなどの脆弱性が悪用され、ウイルスに感染し、トロイの木馬などが仕掛けられてしまう。

 標的型攻撃では、攻撃対象が限定的なこともあり、流布しているウイルスの数も少なく、ウイルス対策ソフトウェア・ベンダの検体収集の網にかからないことが多い。また攻撃期間も1週間程度に限定し、別の攻撃対象に対しては新たにウイルスを改変/作成して攻撃を行うなどするため、実質的にウイルス対策ソフトウェアが無力化されているのが現状だ。

 ウイルスに感染した場合、海外のサーバに密かに接続し、別のウイルスをダウンロードしたり、メール・フォルダ/ユーザー・フォルダの内容やキー入力などをサーバに送信したりする。組織内の別のパソコンに対して、ウイルス感染を広めるような動きをするものもある。

標的型攻撃の攻撃例
標的型攻撃では、攻撃対象の組織を研究しており、添付ファイルを開いてウイルスに感染するように誘導するさまざまな工夫が行われている。ウイルスに感染すると、パソコン内の情報などが海外のサーバに送信され、さらにその情報を悪用した攻撃が行われることもある。

標的型攻撃の対策

 このように標的型攻撃の仕組みは非常に巧妙で、組織が攻撃を受けた場合、ウイルスに感染する可能性が高いことを覚悟しておいた方がよい。Windows OS本体だけでなく、OfficeやAdobe Reader、Flash Playerなどの修正プログラムを適用したり、ウイルス対策ソフトウェアをインストールして定義ファイルを最新に更新したりするのは、最低限の対策でしかない。

 そこで組織のメンバーに対して、日ごろから、パスワード付きのZIPファイルは開かない(メール・サーバのウイルス対策ソフトウェアでパスワード付きZIPを一律に検疫または削除することも対策として考えられる)か、もしくは開く前に必ず送信先に確認するようにすること、電子メールの本文に不審な部分があった場合は添付ファイルや本文中のリンクを開かないことを啓蒙する。また、こうした電子メールが届いた場合は、必ず報告してもらい、早期に対策できるようにしておく体制を構築することも必要である。早期に報告が届けば、ほかのメンバーがメールを開く前に警告でき、ネットワークを一時遮断するなどして被害を最小限に留めることができるからだ。

 ただ、攻撃を受けたことに組織のメンバー自身が気付かないこともあるので、日ごろからログの確認なども強化しておいた方がよい。前述のようにウイルスに感染すると、海外のサーバに接続して、別のウイルスをダウンロードするなどして被害を広げるので、常にネットワークを監視して、見慣れないサーバ(それまでアクセスしたことがないサーバ)に接続していないかどうかを日ごろからチェックしておけば、ウイルスに感染しているパソコンの有無が確認できる。

 なお、国内のセキュリティ対策組織の1つである有限責任中間法人 JPCERTコーディネーションセンターでは「予防接種」として、「社員に対して不審なメールへの耐性をつけることを目的して、ファイル削除などの実害を伴わない実行ファイル付きのメールを送信し、メール開封率やクリック率を測定する」ことも対策として考えられるとしている。ただし、対策の効果や法的問題、倫理的問題などの検討の余地が残っている、と述べている。

ゆかい犯から情報・金銭を目的に

 以前のウイルス作成者は、自分のプログラム能力を誇示したり、世間が騒ぎになることを楽しんだりする、「ゆかい犯」が多かった。しかしここ数年、こうしたゆかい犯から、情報や金銭といった実利を得る目的でウイルスを作成、配布するケースが増えているようだ。標的型攻撃は、まさに実利を目的とした攻撃であり、攻撃対象を研究した上で攻撃を仕掛けているため、その対策も容易ではない。残念ながら標的型攻撃には、これだけしておけば万全という対策はない。日ごろから組織のメンバーに対する教育を強化し、こうした攻撃の可能性があることの認知を広めておくことが重要だ。大企業や官公庁は特に攻撃を受ける危険性が高いと思われるが、それ以外の組織も対岸の火事とはせずに、どうしたら標的型攻撃から組織を守れるかを十分に検討しておく必要があるだろう。

「用語解説」のインデックス

用語解説

Copyright© Digital Advantage Corp. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。