vol. 01 2019年10月 標的型攻撃の被害を防ぐメール対策

企業などでコンピュータを活用している人の中には、サイバー攻撃（コンピュータやネットワークに対する攻撃）の一種である「標的型攻撃」について聞いたことのある人も多いのではないでしょうか。

標的型攻撃は、メールが発端となることが多いため、特に業務で日常的にメールを利用している人は注意を払う必要があります。では、標的型攻撃の被害を防ぐためにはどのような対策が必要となるでしょうか？

そもそも標的型攻撃とは

先述のように、標的型攻撃は「サイバー攻撃」に類します。
サイバー攻撃には標的型攻撃のほか、不特定多数に対する無差別な攻撃があります。
業務用のコンピュータでは多くの場合、ウイルス対策機能を中心としたセキュリティソフトを利用しているはずです。

しかし、こうしたウイルス対策機能は主に不特定多数に対する無差別な攻撃への対策であり、標的型攻撃の対策には有効ではないケースが発生しています。かつては、ウイルスの多くが不特定多数に対する無差別な攻撃であり、ウイルス対策もそうした性質を前提に行われてきたため、標的型攻撃に対しては対応が難しい面があるのです。

標的型攻撃は、企業などの組織が保有するさまざまな機密情報や顧客の個人データなどといった価値のある情報を盗み出すことを目的としています。メールを使った標的型攻撃により大量の個人情報が流出する事件が発生し、大きな社会問題となったこともありました。

こうした攻撃はさまざまな手段を用いて巧妙に行われます。事前に周到な準備がされており、標的となった組織が気づかないまま情報が盗まれてしまうこともあります。また、標的型攻撃が一度あると、執拗に続くことも多い傾向があります。

標的型攻撃の主な手口

サイバー攻撃は、フィッシングメールをきっかけとすることが多いとされています。

フィッシングメールとは送信元や内容を偽り、悪用するために準備したサイトへ誘導し、不正なプログラムを実行させる詐欺メールなどを指し、不特定多数に対する無差別な攻撃の場合と標的型攻撃の場合では、送られてくる内容が多少異なります。

不特定多数に対する無差別な攻撃では、例えば送信元をマイクロソフトやGoogle、Amazonなどといった有名企業と偽ったメールが大勢の人に向けて送信されます。

一方で標的型攻撃の場合には、送信元を実在する社員や関係者と偽ったメールが送信される場合もあります。

メールの本文にあるリンクをクリックしたり、添付ファイルを開いたりすると、標的となる企業内部のコンピュータに不正なプログラムのインストールが始まります。そのプログラムこそが攻撃者のサーバとの通信を確立したり、機密情報や顧客の個人情報を盗み出したりするのです。

不正プログラムがインストールされると、攻撃者にとってのネットワーク侵入の入り口である「バックドア」が設置されます。バックドアにより攻撃者のサーバとの通信が確立され、まずはサーバ内の閲覧可能な情報が盗める状態になります。

また、同時に、企業内ネットワーク内部で高い権限を持つユーザーのコンピュータや重要な情報をもつサーバへの侵入も試みられ、成功してしまえばより大きな被害が発生することにもなるのです。

こうした不正プログラムは、動作していることがわかりにくいように細工されていることが多く、バックドア設置に気づくまでに長い時間がかかってしまうこともあります。また、目的を果たしたあと自身の痕跡を消去する不正プログラムも使用されることがあり、気付かないうちに被害が発生することもあるのです。

なお、フィッシングメールの他にも、メール以外の手段による偽のWebサイトへの誘導も標的型攻撃のきっかけになるので、セキュリティ対策は常に怠らないようにする必要があります。

標的型攻撃に有効な対策

標的型攻撃は、特定の組織に向けて手口がカスタマイズされていることが多く、完璧な対策は困難です。標的型攻撃への対策はそのことを前提に考える必要があります。

標的型攻撃対策の第一歩は、フィッシングメールから不正プログラムがインストールされないようにすることです。

そのための基本的な対策は、ウイルス対策などのセキュリティソフトの利用となりますが、それがしっかり行えていたとしても、メール本文にあるリンクをクリックしたり添付ファイルを開いたりするときには、メールの送信者が間違いなく本物であることや、普段のやり取りとは明らかに違う依頼ではないかといった点を確認し、細心の注意を払いましょう。特に、添付ファイルを開くときは実行形式（拡張子が.exe）のものに注意してください。

また、不正プログラムのインストール時には、WindowsなどのOSやソフトウェアの脆弱性（セキュリティ上の問題となるような欠陥）が突かれます。OSやソフトウェアの脆弱性は開発元などから情報と更新プログラム（パッチ）が提供されているので、情報収集と更新プログラムのインストールはこまめに実施してください。

たとえばWindowsの場合、Windows Updateによって必要な更新プログラムがインストールされます。

さらに組織としては、標的型攻撃への対策は侵入を防ぐだけではなく、万が一侵入されてしまったあとのことを考える必要があります。例えば、サーバやWebアプリケーションなどのログを取得・監視して不振をいち早く発見する、ネットワーク内部から外部に向けた通信を監視して不審な通信はすぐに遮断する、内部情報が流出しても容易に閲覧できないように暗号化する、などの対策が考えられます。

また、社員へのセキュリティ教育も必要です。標的型攻撃の仕組みや、想定される標的型メール、リンクをクリックしたり添付ファイルを開いてしまった場合の対応策などを周知するようにしてください。近年では、擬似的な標的型攻撃メールを社員などに送る標的型攻撃メール対策訓練を定期的に行う会社も増えています。

まとめ

標的型攻撃は特定の組織を狙うサイバー攻撃で、フィッシングメールをきっかけとすることが一般的です。対策は、セキュリティソフトの利用、リンクをクリックするときや添付ファイルを開くときに細心の注意を払う、OSやソフトウェアの脆弱性を減らす、などです。また、組織として万が一侵入されてしまったあとの対策やセキュリティ教育や訓練なども考える必要があります。日ごろからの備えが、企業の大切な情報を守ることに繋がるのです。