標的型攻撃とは[情報セキュリティマネジメント講座]

2021年4月15日

情報セキュリティマネジメント 標的型攻撃

今回は情報セキュリティマネジメント試験における標的型攻撃について学習します。

くろん
くろん
明らかに弊社の取引先と思われるところから来たメールだったのに、開けたらウイルス感染したにゃ・・・
モナ
モナ
それはたぶん標的型攻撃を食らったニャ・・・

標的型攻撃

標的型攻撃は不特定多数のユーザに向けてウイルスをばら撒くのではなく、特定の企業や組織に標的を絞って仕掛ける攻撃になります。

その組織や企業の内部の人間しか知りえないような情報を巧みに活用し、個人情報を奪取したりサービスを停止させたりを狙います。

不特定多数を対象としたマルウェアとは異なり、攻撃対象の脆弱性を徹底的に調べていることが多いのでウイルス対策ソフトが効かないことがほとんどです。

標的型攻撃の種類

標的型攻撃には以下のような種類があります。

標的型攻撃メール

標的型攻撃メールは、標的となる組織に存在するメールアドレスにメールを送る攻撃です。

メールの内容としては医療費控除や会計手続きなど、各部署とかかわりの深い内容だったり、取材依頼や製品の問い合わせといった業務に深いかかわりのある内容が多く、思わず開いてしまいそうになります。

特に社内で働く人員の個人情報が流失している場合には被害にあう可能性が上がります。

くろん
くろん
結局のところ、迷惑メールと標的型攻撃メールって同じだにゃ?
モナ
モナ
正式には以下のような違いがあるニャ
迷惑メール 標的型攻撃メール
攻撃相手 不特定多数 特定の組織
送信元 各種業者・身元不明 等 業務に関する人を装う
内容 誰にでも関係のある話題(お金・健康など) 受信者に関係の深い話題
対策 ウイルス対策ソフト 社内での対応訓練
ベンダーに委託 等

標的型攻撃メールは組織の特定の人に送信されるため、誰かが開けてしまっても被害が顕在化するまで気づかれないパターンが多いです。

普段から対策訓練を行ったり、エスカレーションをするよう教育したりする必要があります。

やり取り型攻撃メール

やり取り型攻撃メールは、本格的に正しい業者や取引相手等ステークホルダを装って受信者を信頼させたうえでマルウェアを添付したメールを送り付ける攻撃です。

クレームだったり問い合わせだったりといった内容を装い、返信しないといけないといった心理を突いての攻撃になります。

キュー
キュー
やり取り型攻撃メールは標的型攻撃メールの派生形みたいなもんやな。その名の通りやり取りがあることが特徴やで

水飲み場型攻撃

水飲み場攻撃は標的となる組織が良く利用するWebサイトやコンテンツ(水飲み場)を改ざんし、マルウェアを埋め込んでその組織が接続したときにマルウェア感染させます。

IPアドレスから接続元を解析し、標的となる組織以外からのアクセスは攻撃しない等ばれにくい工夫を凝らしていることが一般的です。

モナ
モナ
水飲み場(オアシス)に水を飲みに来る動物を猛獣が待ち伏せて仕留めるようなイメージだニャ

APT

APT(Advanced Persistent Threats)は標的となる組織の脆弱性を突くため、組織の内容を事前に調査したうえで複数の攻撃手法を組み合わせて攻撃する手法です。

既存の攻撃手法の中からシステムへの侵入を目的とする共通攻撃と、システム侵入後に特定のシステムを標的とする個別攻撃に分かれます。

BEC

BEC(Business E-mail Compromise)は取引先に成りすまして偽のメールを送り付け、金銭をだまし取る詐欺攻撃です。

標的型攻撃への対策

標的型攻撃への対策としては以下のようなものが挙げられます。

  • 不審なメールは開けないように教育する
  • 組織内でエスカレーションの仕組みを作っておく
  • 定期的に訓練を実施する
スポンサーリンク

標的型攻撃・例題

実際に例題を解いて問題に慣れていきましょう。

問題

問1

標的型攻撃メールで利用されるソーシャルエンジニアリング手法に該当するものはどれか。(FE H.27/秋)

ア 件名に”未承諾広告※”と記述する。
イ 件名や本文に,受信者の業務に関係がありそうな内容を記述する。
ウ 支払う必要がない料金を振り込ませるために,債権回収会社などを装い無差別に送信する。
エ 偽のホームページにアクセスさせるために,金融機関などを装い無差別に送信する。

問2

水飲み場型攻撃(Watering Hole Attack)の手口はどれか。(SC H.27/秋)

ア アイコンを文書ファイルのものに偽装した上で,短いスクリプトを埋め込んだショートカットファイル(LNKファイル)を電子メールに添付して標的組織の従業員に送信する。
イ 事務連絡などのやり取りを行うことで,標的組織の従業員の気を緩めさせ,信用させた後,攻撃コードを含む実行ファイルを電子メールに添付して送信する。
ウ 標的組織の従業員が頻繁にアクセスするWebサイトに攻撃コードを埋め込み,標的組織の従業員がアクセスしたときだけ攻撃が行われるようにする。
エ ミニブログのメッセージにおいて,ドメイン名を短縮してリンク先のURLを分かりにくくすることによって,攻撃コードを埋め込んだWebサイトに標的組織の従業員を誘導する。

問3

APTの説明はどれか。(H.28/春)

ア 攻撃者がDoS攻撃及びDDoS攻撃を繰り返し,長期間にわたり特定組織の業務を妨害すること
イ 攻撃者が興味本位で場当たり的に,公開されている攻撃ツールや脆弱性検査ツールを悪用した攻撃を繰り返すこと
ウ 攻撃者が特定の目的をもち,標的となる組織の防御策に応じて複数の攻撃手法を組み合わせ,気付かれないよう執拗(よう)に攻撃を繰り返すこと
エ 攻撃者が不特定多数への感染を目的として,複数の攻撃手法を組み合わせたマルウェアを継続的にばらまくこと

解説(クリックで展開)

標的型攻撃・まとめ

今回は標的型攻撃について学習しました。

APTや水飲み場攻撃など、よく出題されるので押さえておきましょう。

カズ
カズ
“標的型”ってつくから、執拗に特定の企業を狙う事を押さえておこう!

次回は攻撃手法について学習します。

スポンサーリンク