Skip to content

セキュリティマガジン TREND PARK

「攻撃者の"目的"を未遂に終わらせること」が
標的型サイバー攻撃へのベストアプローチ

独自の調査から見えてきた標的型サイバー攻撃の傾向と対策


企業や団体など特定の組織を狙う標的型攻撃により、個人情報や技術情報などの知的財産の流出、インフラや生産設備のハッキングに伴う業務停止などの甚大な被害を受けるケースが見られるようになりました。本稿では、独自の調査結果を基に近年増加している新しいタイプの標的型攻撃の特徴とそのような脅威に対抗するために求められるセキュリティについて解説します。

標的の環境を調査して攻撃の成功率を高める

トレンドマイクロ セキュリティエバンジェリスト 染谷 征良

最近、企業や組織のシステムから個人情報が漏洩したり、大量パケットの流入によりミッションクリティカルなシステムがダウンしたりする事件がメディアで盛んに取り上げられています。このようなサイバー攻撃の中でも特定の企業や組織に狙いを定めて行われるものが標的型攻撃です。

警察庁によると2011年4月から9月までに電子メールを悪用した標的型攻撃と考えられる脅威は、国内で890件確認されました。国外でも標的型攻撃の被害を受ける企業や組織は後を絶ちません。 たとえば、米テクノロジーベンダ大手への攻撃によって技術情報が漏えいしたのはもちろん、その情報は別のより大規模な攻撃の踏み台として使用された可能性が疑われています。さらに、オランダではデジタル証明書の発行機関がハッキングされ、我々の日常のインターネット利用に欠かせないデジタル証明書が不正に発行、利用されたのはもちろんですが、同機関が結果的に破産に追い込まれたことも明らかになっています。

これらの最近の標的型攻撃の大きな特徴は、あらかじめ標的を定め、事前に綿密に調査を行い、侵入に成功するまで複雑かつ集中的な攻撃を長期間にわたって執拗に行うことにあります。こうした特性から持続的標的型攻撃(Advanced Persistent Threat、以下APT)とも呼ばれています。持続的標的型攻撃の目的は明確です。個人情報や技術情報、機密情報などの知的財産を窃取することにあります。標的型攻撃の攻撃手法は大きく2つに分類されます。1つは対外的に公開しているサーバに対して直接攻撃を仕掛けるタイプ。もう1つは不正プログラムを仕込んだ電子メールを開かせて感染させるものです。

トレンドマイクロ セキュリティエバンジェリスト 染谷 征良は、「特定の企業や組織をターゲットとする攻撃はここ数年、日本国内も含め世界各地で確認されています。昨今の標的型攻撃が従来の脅威と異なるのは、自身の技術力を世間に誇示することを目的とした愉快犯ではなく、金銭や情報を詐取するために組織されたスキルの高い犯罪グループによって実行されるようになったことです」と語ります。

標準型攻撃、APTの特徴

標的型攻撃の特徴 標的:個人、組織 攻撃者:比較的スキルレベルの低い個人 目的:金銭につながる情報の搾取、機密情報の搾取 タイミング:攻撃者が攻撃したいとき 期間:一回きりの攻撃を行い、失敗すると別の攻撃を行う、比較的短期間 手法:不正ブログラム添付のメール、不特定多数、特定のグループに対するソーシャルエンジニアリング、偽装のレベルは比較的低い 感染後:観戦端末内の情報を搾取 持続的標的型攻撃(新しいタイプの攻撃、APT)の特徴 標的:企業・団体など特定の組織 攻撃者:組織、または比較的スキルレベルの高い個人 目的:知的財産などの機密情報の搾取、組織的スパイ活動 タイミング:事前に綿密な計画を立てた後 期間:目的達成まで執拗に攻撃を繰り返すため、比較的長期間 手法:不正プログラム添付のメール、特定の組織に対するソーシャルエンジニアリング、偽装のレベルはかなり高い 感染後:観戦端末から他のシステムを調査、侵入

IT環境、人の脆弱性を巧みに悪用

犯罪グループは攻撃を仕掛けるにあたって、標的となる企業や組織の情報を取得し、攻撃対象のあらゆる脆弱性を調査します。その上で、ターゲットの環境に侵入する最も効果的な手法を駆使するのが昨今の標的型攻撃の特徴です。

トレンドマイクロのセキュリティ脅威の調査・解析組織の一つで日本国内拠点であるリージョナルトレンドラボが国内で収集し、ランダムに抽出した50の標的型メールのサンプルを調査した結果、標的型攻撃が採用する攻撃手法の一端が明らかになりました。それは標的型メールが利用する不正プログラムのファイル形式や、不正プログラムが外部との通信に利用するプロトコルの二つにあります。1つの傾向として明らかになったのは、世界中で広く利用されているアプリケーションの脆弱性を狙う攻撃が目立ったことです。具体的に、添付ファイルのタイプとしては実行ファイル形式の「.exe」が48%。次いで、ドキュメント形式の「.pdf」が28%、「.doc」が12%となりました。この中では、ユーザにファイルを開かせるためにアイコンを偽装し、ドキュメントファイルに見せかけた実行ファイルが利用されていることもわかっています。また、不正プログラムによる外部との通信には、独自のプロトコルが多く利用さる一方で、一般的なHTTPSやプロキシ経由のHTTPも多く利用されることが判明しました。これは、一般的な通信プロトコルを利用することで検知され難くするためと考えられます。

日本国内で発生している標的型攻撃 攻撃手法の特徴

特徴1:攻撃で利用される不正プログラムのファイル形式 EXE 48% PDF 28% DOC 12% HLP 6% JTD 2% SCR 2% XLS 2% 特徴2:不正プログラムが通信に利用するプロコトル TCP独自 42% HTTP(プロキシなし) 4% HTTP(プロキシあり) 26% HTTPS 28% 2011年10月トレンドマイクロ リージョナルトレンドラボ調べ 2011年4月から10月にかけて日本国内で収集したAPTサンプルのうち50種類について調査

記事公開日 : 2011.11.30

ページの先頭へ