【事例で学ぶ】サイバー攻撃 標的型攻撃 編

IT知識
この記事は約7分で読めます。

 

たこやき後輩
たこやき後輩

どうも、こんばんは。

 

今回はIT系の記事で、前回に引き続きサーバー攻撃に関する記事です。

【事例で学ぶ】サイバー攻撃 ランサムウェア 編
たこやき後輩 どうも、こんばんは。 今回はIT系の記事です。2022年4月の情報処理安全確保支援士試験に向けて、学びついでにアウトプットしていこうと思います。 情報処理安全確保支援士...

2022年4月の情報処理安全確保支援士試験に向けて、学びついでにアウトプットしていこうと思います。

 

たこやき後輩
たこやき後輩

つい先日トヨタ自動車に対してサイバー攻撃が行われたこともあり、タイムリーかもしれませんね。

アウトプットとして情報セキュリティのうち、サイバー攻撃の事例をとりあげ、身近にあるものと紐づけながら覚えていこうと思います。

今回はサイバー攻撃のうち、標的型攻撃について記事を書いていこうと思います。

 

今回の記事はこんな人向け
・情報処理安全確保支援士試験を受験しようと考えている人
・標的型攻撃について知りたい人

参考までに僕の今までの経歴を簡単に書いておきます。

2017/3:大学(農学部)を卒業

2017/4:IT未経験で独立系のSIerに就職

2021/7:独立系のSIerを退職

2021/8:未経験でコンサル会社に就職 ← イマココ

 

よく読まれている記事はこちらなのでもし興味があれば見ていただけますと幸いです!

 

標的型攻撃とは

標的型攻撃はサイバー攻撃のうちの1種で、インターネットを通じてパソコンやシステムのコンピュータ、ネットワーク機器を攻撃し、ダメージを与えたり、保管されている情報を盗み損害を与える攻撃の1種となります。

ウイルスに感染したEメールのイラスト

 

前回説明したランサムウェアはサイバー攻撃の手法の一つで、今回の標的型攻撃はサイバー攻撃対象の一種といえるでしょう。よって、標的型攻撃の手段としてランサムウェアが選ばれるようなイメージになると思います!

標的型攻撃でなく、攻撃対象を無差別とする無差別型攻撃が対比の表現になるかと思われます。無差別攻撃が「誰でもよいから引っかかってくれ~」という攻撃であるのに対し、標的型攻撃は「あの企業を狙い撃ちにする」という攻撃になります。

オリンピックのイラスト「射撃」 | かわいいフリー素材集 いらすとや

 

たこやき後輩
たこやき後輩

個人よりかは企業がターゲットになることが多いです。

標的型攻撃にもいくつか攻撃方法があり、

  1. 特定の企業にマルウェアを仕込んだメールを送信し、攻撃する方法(標的型攻撃メール)
  2. 特定の企業がアクセスするサイトに対してマルウェアを仕込む方法(水飲み場攻撃)

などがあります。

スポンサーリンク

実際の事例

標的型サイバー攻撃対策:IPA 独立行政法人 情報処理推進機構
情報セキュリティ関連情報のユーザー、管理者、技術者に向けた発信、その前提となる情報収集、調査分析、研究開発、技術評価等の実施

IPA(独立行政法人情報処理推進機構)と呼ばれる日本の情報機構でも事例の掲載などがありますが、つい先日起きたトヨタ自動車へ向けたランサムウェアによる攻撃も標的型攻撃の一事例としてとらえることができるかと思います。

 

たこやき後輩
たこやき後輩

しっかりと日本で一番とされる企業をターゲティングしてますね。

実際にランサムウェアの被害にあった企業はホームぺージで報告をしており、それらを何件か見ていくとともにどんな攻撃と被害があったかをみていきましょう。

事例1:三菱電機

https://www.mitsubishielectric.co.jp/news/2020/0212-b.pdf

この事例では2020年1月に不正アクセスによって、企業秘密が流出したという事象が発生しています。さらにクラウド等を経由して攻撃が行われているため、実行犯の特定が困難だったと発表されています。

クラウドソーシングのイラスト | かわいいフリー素材集 いらすとや

アクセスログなども削除されており、計画的に行われた犯行だったと考えられます。個人情報や企業情報等が外部流出した可能性があるとされており、ウイルス対策システムの脆弱性が原因とこちらも発表されています。

事例2:日本年金機構

https://www.nenkin.go.jp/info/index.files/kuUK4cuR6MEN2.pdf

この事例では標的型攻撃メールが124通が送られました。業務用メールアドレスや職員個人の業務用メールアドレスを対象に実在する職員の名前を騙ったり、業務内容に寄せた文面にしたりすることで攻撃し、およそ125万件の個人情報の流出があったとされています。このように巧妙な手口によって添付ファイルを開かせたり、URLへのリンクをクリックさせたりという事態につながりました。



より多くの金銭を持つ企業であったり、多くの顧客情報を持つ企業であったりがターゲットとされることが多いことも事例を探していての気づきです。

対策

標的型攻撃についてみてきましたが、被害を抑えるため、なくすために対策が必要です。いくつか対策はありますが、基本的にはセキュリティソフトやPCのバージョンアップなどの技術的対策とセキュリティ体制の構築やセキュリティ講習による組織的対策に分けられます。

※前回のランサムウェア攻撃と基本的には同様の対策が必要になりますが、標的型攻撃としては、企業を調べ上げた攻撃をしてくる可能性が高く、取引先に扮したメールやそれらしい名前の添付ファイルが送られてくると思われます。

よって、より厳しい社内へのセキュリティ教育などが求められます。

 組織的対策

・情報セキュリティガバナンスの整備
情報セキュリティガバナンスの定義は少しわかりづらいので、ざっくりとした説明になりますが、「組織として適用されるルールや仕組みを作り、リスクの低減や脅威への備えをしましょう」という感じかと思います。

ルールがあいまいだと不用意にインターネットのサイトにアクセスしてしまったり、うっかりと企業情報を流出させてしまったりする可能性があるため会社として仕組みを作ることが必要です。

セキュリティ教育
情報セキュリティガバナンスの一環ではありますが、組織的に攻撃や脅威に備えるためには企業に所属する人への徹底周知が必要となります。

そのために、定期的にテストを実施することで情報セキュリティへの理解を深めたり、訓練として不審メールをながして、情報セキュリティ意識があるかを確認する必要があります。

さらには不審メールをより実際に近しくするために、取引先のドメインと一文字だけ入れ替えたメールアドレスを使用したり、添付ファイルの名前を“納品書”のように業務に関わりのあるファイル名にすることで、高いセキュリティ意識を植え付けることが可能になると思います。

ASCII.jp:「いらすとや」サイトブロッキングのイラストもう作成

技術的対策

セキュリティソフトの導入
セキュリティソフトの導入は技術的対策としてはもはや当たり前とされる対策ですが、必要なハードウェアに必要なセキュリティソフトを導入し、攻撃の予防、検知ができるようにしておくことは必須です。また、攻撃やマルウェアは日々進化していくため、セキュリティソフトの最新化も必要です。

ウイルスと戦う人のイラスト(白衣の女性) | かわいいフリー素材集 いらすとや

 

・OSやアプリケーションのアップデート
セキュリティソフトの導入以外にも使用しているハードウェアのOSのバージョンアップやパッチ適用も必要となります。攻撃者は脆弱性をみつけることで攻撃を考えるため、そういった脆弱性を排除しておくことは必要となります。

まとめ

今回は標的型攻撃についてみてきました。まとめると以下のようになります。

  • 標的型攻撃は特定の企業や個人をターゲットにした攻撃
  • 攻撃対象を調査した攻撃を行うため、かなり巧妙で引っかかりやすいと考えられる
  • 十分な対策として社内教育は特に力を入れるべきである

標的型攻撃は金銭や企業秘密以外にも信用の失墜などにもつながる攻撃です。攻撃する方が悪いに決まっているのですが、対策を検討し防ぐことが企業には求められています。

全開に引き続き余談ですが、情報処理処理安全確保支援士の勉強をするときにこちらの方の動画をみて、学習をしているのですが、とても分かりやすいです!!特にネットワーク周りのIPsecなどは非常に参考になります。

まさるの勉強部屋
ご視聴ありがとうございます。まさるです(^^) まさるの勉強部屋では成長したいエンジニアの皆様にとって 価値ある情報を発信できるように頑張って動画を作成しています。 ■2022年は下記の話題について動画を配信します ・CCNA ・ITニュース みなさんが楽しく動画を見て 勉強できるように頑張ります♪ まさるの...

 

※本記事では解釈を間違えている場合もありますがそこはご了承ください。
可能であればコメントにてご指摘いただけますと幸いです。

コメント

タイトルとURLをコピーしました