どうも、こんばんは。
今回はIT系の記事で、前回に引き続きサーバー攻撃に関する記事です。
2022年4月の情報処理安全確保支援士試験に向けて、学びついでにアウトプットしていこうと思います。
つい先日トヨタ自動車に対してサイバー攻撃が行われたこともあり、タイムリーかもしれませんね。
アウトプットとして情報セキュリティのうち、サイバー攻撃の事例をとりあげ、身近にあるものと紐づけながら覚えていこうと思います。
今回はサイバー攻撃のうち、標的型攻撃について記事を書いていこうと思います。
・情報処理安全確保支援士試験を受験しようと考えている人
・標的型攻撃について知りたい人
参考までに僕の今までの経歴を簡単に書いておきます。
2017/3:大学(農学部)を卒業
2017/4:IT未経験で独立系のSIerに就職
2021/7:独立系のSIerを退職
2021/8:未経験でコンサル会社に就職 ← イマココ
よく読まれている記事はこちらなのでもし興味があれば見ていただけますと幸いです!
目次
標的型攻撃とは
標的型攻撃はサイバー攻撃のうちの1種で、インターネットを通じてパソコンやシステムのコンピュータ、ネットワーク機器を攻撃し、ダメージを与えたり、保管されている情報を盗み損害を与える攻撃の1種となります。
前回説明したランサムウェアはサイバー攻撃の手法の一つで、今回の標的型攻撃はサイバー攻撃対象の一種といえるでしょう。よって、標的型攻撃の手段としてランサムウェアが選ばれるようなイメージになると思います!
標的型攻撃でなく、攻撃対象を無差別とする無差別型攻撃が対比の表現になるかと思われます。無差別攻撃が「誰でもよいから引っかかってくれ~」という攻撃であるのに対し、標的型攻撃は「あの企業を狙い撃ちにする」という攻撃になります。
個人よりかは企業がターゲットになることが多いです。
標的型攻撃にもいくつか攻撃方法があり、
- 特定の企業にマルウェアを仕込んだメールを送信し、攻撃する方法(標的型攻撃メール)
- 特定の企業がアクセスするサイトに対してマルウェアを仕込む方法(水飲み場攻撃)
などがあります。
実際の事例
IPA(独立行政法人情報処理推進機構)と呼ばれる日本の情報機構でも事例の掲載などがありますが、つい先日起きたトヨタ自動車へ向けたランサムウェアによる攻撃も標的型攻撃の一事例としてとらえることができるかと思います。
しっかりと日本で一番とされる企業をターゲティングしてますね。
実際にランサムウェアの被害にあった企業はホームぺージで報告をしており、それらを何件か見ていくとともにどんな攻撃と被害があったかをみていきましょう。
事例1:三菱電機
https://www.mitsubishielectric.co.jp/news/2020/0212-b.pdf
この事例では2020年1月に不正アクセスによって、企業秘密が流出したという事象が発生しています。さらにクラウド等を経由して攻撃が行われているため、実行犯の特定が困難だったと発表されています。
アクセスログなども削除されており、計画的に行われた犯行だったと考えられます。個人情報や企業情報等が外部流出した可能性があるとされており、ウイルス対策システムの脆弱性が原因とこちらも発表されています。
事例2:日本年金機構
https://www.nenkin.go.jp/info/index.files/kuUK4cuR6MEN2.pdf
この事例では標的型攻撃メールが124通が送られました。業務用メールアドレスや職員個人の業務用メールアドレスを対象に実在する職員の名前を騙ったり、業務内容に寄せた文面にしたりすることで攻撃し、およそ125万件の個人情報の流出があったとされています。このように巧妙な手口によって添付ファイルを開かせたり、URLへのリンクをクリックさせたりという事態につながりました。
より多くの金銭を持つ企業であったり、多くの顧客情報を持つ企業であったりがターゲットとされることが多いことも事例を探していての気づきです。
対策
標的型攻撃についてみてきましたが、被害を抑えるため、なくすために対策が必要です。いくつか対策はありますが、基本的にはセキュリティソフトやPCのバージョンアップなどの技術的対策とセキュリティ体制の構築やセキュリティ講習による組織的対策に分けられます。
※前回のランサムウェア攻撃と基本的には同様の対策が必要になりますが、標的型攻撃としては、企業を調べ上げた攻撃をしてくる可能性が高く、取引先に扮したメールやそれらしい名前の添付ファイルが送られてくると思われます。
よって、より厳しい社内へのセキュリティ教育などが求められます。
組織的対策
・情報セキュリティガバナンスの整備
情報セキュリティガバナンスの定義は少しわかりづらいので、ざっくりとした説明になりますが、「組織として適用されるルールや仕組みを作り、リスクの低減や脅威への備えをしましょう」という感じかと思います。
ルールがあいまいだと不用意にインターネットのサイトにアクセスしてしまったり、うっかりと企業情報を流出させてしまったりする可能性があるため会社として仕組みを作ることが必要です。
・セキュリティ教育
情報セキュリティガバナンスの一環ではありますが、組織的に攻撃や脅威に備えるためには企業に所属する人への徹底周知が必要となります。
そのために、定期的にテストを実施することで情報セキュリティへの理解を深めたり、訓練として不審メールをながして、情報セキュリティ意識があるかを確認する必要があります。
技術的対策
・セキュリティソフトの導入
セキュリティソフトの導入は技術的対策としてはもはや当たり前とされる対策ですが、必要なハードウェアに必要なセキュリティソフトを導入し、攻撃の予防、検知ができるようにしておくことは必須です。また、攻撃やマルウェアは日々進化していくため、セキュリティソフトの最新化も必要です。
・OSやアプリケーションのアップデート
セキュリティソフトの導入以外にも使用しているハードウェアのOSのバージョンアップやパッチ適用も必要となります。攻撃者は脆弱性をみつけることで攻撃を考えるため、そういった脆弱性を排除しておくことは必要となります。
まとめ
今回は標的型攻撃についてみてきました。まとめると以下のようになります。
- 標的型攻撃は特定の企業や個人をターゲットにした攻撃
- 攻撃対象を調査した攻撃を行うため、かなり巧妙で引っかかりやすいと考えられる
- 十分な対策として社内教育は特に力を入れるべきである
標的型攻撃は金銭や企業秘密以外にも信用の失墜などにもつながる攻撃です。攻撃する方が悪いに決まっているのですが、対策を検討し防ぐことが企業には求められています。
全開に引き続き余談ですが、情報処理処理安全確保支援士の勉強をするときにこちらの方の動画をみて、学習をしているのですが、とても分かりやすいです!!特にネットワーク周りのIPsecなどは非常に参考になります。
※本記事では解釈を間違えている場合もありますがそこはご了承ください。
可能であればコメントにてご指摘いただけますと幸いです。
コメント