今知っておくべき言葉として、多くの企業を悩ませるランサムウェア攻撃に引き続き、IPAが重大脅威として取り上げた「標的型攻撃」が挙げられます。
標的型攻撃とは機密情報などを盗み取る目的で、特定の個人や組織を標的として行われる攻撃です。多くの場合は顧客や取引先などを装ったメールを配信し、そこから相手の信頼を得た後メールに添付されたマルウェアに感染させるなどして組織内に侵入し、遠隔操作により機密情報の窃取などの不正行為を行う攻撃手法です。
日本においても例年多くの国内組織が標的型攻撃によって個人情報や最先端の研究情報流出といった被害を受けています。標的型攻撃の感染方法から情報窃取されるまでの一般的な流れとしては以下のようになります。
(1)攻撃者が顧客や取引先を装い特定の従業員にメールを送信する
(2)メールを受信した従業員がメールに記載されたURLをクリックすると、マルウェア配布サイトに知らずに誘導され、従業員のPCがマルウェアに感染する
(3)攻撃者は攻撃を実行するためのC&Cサーバを経由して、感染させたPCを遠隔から操作する
(4)感染したパソコンを遠隔操作することで、社内サーバなどに不正アクセスし機密情報を窃取する
攻撃者は標的とする組織に対して、目的を達成するために数度のやり取りを通し、粘り強くかつ非常に巧妙な手口を使うため、事前に異常に気付くことが困難である場合が多いです。近年で記憶に残る事例としては、125万件の情報流出が発生した2015年の日本年金機構における事例が挙げられます。
1通の標的型メールから始まり、その攻撃が本格化し、100通を超えるウイルス付きの不審なメールが職員のアドレスに一斉送信され、添付ファイルを開いたことでウイルス感染はネットワーク経由で広がり深刻な状態を招いたと報告されています。
標的型攻撃からマルウェアに感染して情報漏洩までのスピードの速さ、そしてその経営インパクトを考慮すると、今後、重要情報を取り扱う組織においては、このように水面下で発生している可能性のある巧妙な攻撃手口を積極的に発見するための高度な仕組みが求められます。
サイバー攻撃はどの組織にとっても重大かつ深刻なリスクですが、そのリスクを低減するには事前の準備が重要です。そのために必要な攻撃者の情報や感染原因についての知識を持っておくことが肝要です。
定期的にそれらの情報に基づいて自組織の対策を評価し、同様の攻撃が発生した場合、攻撃から自組織を守ることができるかどうか、そして万が一感染した場合においても、迅速な検知や対応ができるかどうか、継続的な見直しと改善に取り組むことが重要です。
コメント