標的型サイバー攻撃
概要
「標的型サイバー攻撃」とは?
標的型サイバー攻撃とは、重要情報の入手を最終目標として、時間、手段、手法を問わず、目的達成に向け、特定の組織を攻撃対象として、その標的に特化して継続的に行われる一連の攻撃を指します。一般に「APT攻撃」、「持続的標的型攻撃」と呼ばれる場合もあります。
攻撃の手法・特徴
- 攻撃目的:攻撃対象の持つ重要情報の入手を最終的な目標として攻撃が実施されます
- 攻撃対象:政府、官公庁、企業など、攻撃者の目的となる重要情報を持つ組織が標的となります
攻撃の「事前準備」段階では標的組織へ侵入するための足掛かりとして、関連する他の組織や個人が一時的な攻撃対象となる場合があります
標的型サイバー攻撃は、組織的な攻撃者によって長期間にわたり段階的な攻撃を継続して行われま
攻撃開始から目的達成まで、標的型サイバー攻撃の攻撃手順は、以下の段階に分類できます
1. 事前準備:攻撃標的の決定、標的とその周辺への偵察による情報入手、初期潜入用不正プログラムやC&Cサーバの準備
2. 初期潜入:標的型メールの送信、受信者による添付不正プログラム実行 、公開サーバへの脆弱性攻撃による侵入
3. 端末制御:感染環境と所属するネットワーク情報の確認、バックドア型不正プログラムによる標的内端末への感染
4. 情報探索:内部活動ツールのダウンロード、ネットワーク内の情報探索
5. 情報集約:重要情報の収集
6. 情報送出:収集した重要情報の外部入手
図:標的型サイバー攻撃の攻撃段階
- 標的型メールにおいては、関係者や関連業務を偽ったソーシャルエンジニアリングを利用して標的ユーザを信用させ、添付された不正プログラムを開かせます
- 侵入後は、C&Cサーバと呼ばれる攻撃基盤を使って、標的ネットワーク内部のバックドア型不正プログラムを遠隔操作し、内部活動ツールを使って標的ネットワーク内部の情報を探索し、情報の収集を行います
影響と被害
- 組織的な攻撃のため、攻撃の目的が達成されるまで攻撃は執拗に継続されます。また、事前準備段階での偵察により、標的の弱点を調べ上げた上で攻撃が実施されるため、侵入段階で防ぐことは非常に難しいです
- 侵入に成功されると、標的組織内のネットワークや業務、従業員などに関する情報が外部に持ち出されます
- 最終的には、攻撃者が目的としている重要情報が外部に持ち出されます
対策と予防
ユーザ側
- 標的型サイバー攻撃は、手段、手法を問わず継続して行われる攻撃のため、組織内部のユーザ一人一人が高いセキュリティ意識を持つ必要があります
- 標的型メールなど、侵入時に使用される攻撃手法を理解し、騙されないようにする
- 不審なメールやリンクを安易にクリックしない
- 個人用端末にも総合的なセキュリティソフトを導入し、常に最新の状態に保つ
- 会社や業務、取引先などに関する情報をインターネット上に個人的に投稿しない
管理者側
- 標的型サイバー攻撃は、事前に標的に関する情報収集を行い、弱点を調べた上で執拗に攻撃を継続するため、総合的、多面的な対策を導入するとともに、侵入を前提とした対策を行うことが重要となります
- エンドポイントやサーバには総合的なセキュリティソフトを導入する
- メールサーバにおける標的型メールの検出
- 外部への不正なネットワーク通信・接続の検出
- ネットワーク内部での不審な挙動を可視化する
- セキュリティポリシーの策定
- 従業員に対するセキュリティ教育、注意喚起の実施
トレンドマイクロのソリューション
ユーザ側
| 予防と対策 | トレンドマイクロのソリューション |
|---|---|
| 個人用端末にも総合的なセキュリティソフトを導入し、常に最新の状態に保つ |
|
管理者側
| 予防と対策 | トレンドマイクロのソリューション |
|---|---|
| エンドポイントやサーバに総合的なセキュリティソフトを導入する | ウイルスバスター コーポレートエディション、 Trend Micro Virtual Patch for Endpoint、Trend Micro Deep Security、ServerProtectなどの対策製品の導入 |
| メールサーバにおける標的型メールの検出 | InterScan Messaging Security Virtual Appliance、InterScan Messaging Security Suite Plus、Trend Micro Hosted Email Securityなどのメッセージングセキュリティ製品による標的型メールの検出 |
| 外部への不正なネットワーク通信・接続の検出 | ウイルスバスター コーポレートエディション、InterScan Web Security Virtual Applianceなどの製品の「Webレピュテーション」機能により、不正サイトやC&Cサーバへの接続を防止 Trend Micro Deep Security、Trend Micro Virtual Patch for Endpointによる不正な通信・接続の防止 |
| ネットワーク内部での不審な挙動を可視化する |
|