厚生労働省と日本年金機構は2015年5月に発生した125万件の個人情報流出に対して、原因究明と再発防止策を検討するために「不正アクセスによる情報流出事案検証委員会」を立ち上げ、検証を行った。
標的型攻撃は国内においては2005年に最初に報道された。
IPAテクニカルウォッチ「標的型攻撃メールの例と見分け方」
海外では2009年にGoogleやYAHOOをはじめとした大手企業のサイトが改ざんされた「オーロラ作戦」や、2010年にイランの核施設の制御装置を遠隔操作しようとした「スタクスネット」(Stuxnet)など、極めて深刻な攻撃が起こった。
2010年代に入ると国内における攻撃(被害)が本格化する。特に2011年9月に大手重工メーカーの被害が報道されて、より一般的になった。また、2014年1月には高速増殖炉「もんじゅ」の業務用端末がマルウェアに感染し、外部からの遠隔操作で情報漏えいが起こったことも、多くの人に不安をもたらした。
しかもこの後、攻撃はさらに増え続け、警察庁が把握している件数で言えば、2014年上半期が216件だったのに対して、2014年下半期には1,507件と7倍以上にも上昇したのである。政府機関や企業をはじめ各種組織で個人情報流出などの被害が発生し続ける中、2015年5月に日本年金機構事件が起こった。
日本年金機構事件
この事件では、以下の三つの攻撃が波状的に行われたことが分かっている。
1)標的型メール攻撃
第一段階としては、標的型メールが使用された。同一の送信元より2つのアドレス宛てにメールが送信された。2人のうち1人が開封しメール本文にあるリンクURLをクリックした。そのためその人のパソコンが感染し、外部との通信が可能となった。
システム担当者はこの攻撃を把握した後、ネットワークから感染したパソコンを切り離した。もちろん切り離すまでの時間は外部との通信は継続されていたが、それ以降はこの端末については外部とは遮断された。
2)第二の攻撃
その後、かなりの数の標的型攻撃メールが組織内の各パソコンユーザー宛てに送られた。その数は機構内121人にも上り、そのうち3人がメールを読み、添付ファイルを開いたため、パソコンが感染した。これらの端末が外部への通信を試みたものの、すでに対策が講じられていたため、通信はできなかった。
3)第三の攻撃
ところがその後、さらに5つのメールアドレスに対して攻撃が加えられ、そのうち1人がメールを読み、添付されていたファイルをクリックしたため感染した。その結果、外部との通信ができるようになってしまい、ネットワークを通じて他の端末にも感染が拡大してしまった。具体的には26台の端末が感染する。これらの端末からの情報を入手した結果、組織内のネットワークにあった共有フォルダの情報である個人情報が盗み出され、外部へと持ち出された。
その結果、125万人の年金受給者の情報が盗み出されるという、史上最悪の事態に至ったのである。
標的型攻撃の代表的な手口
スパムメールが不特定多数に無差別に送られているのに対して、標的型攻撃のメールは、直接組織内のメールアドレスに組織内の役職名なども付されて送られてくる。場合によっては関係者だけにしか知らせていないメールアドレス宛てに送られてくることもある。そのためスパムフィルターには引っかからない。しかもメールの内容も業務や組織に関係しているため、受け取った側がこのメールを疑うのは極めて難しい。
この標的型メールには二つのやり方で、マルウェアが仕掛けられている場合がある。
1)添付ファイル
2)メール文中のリンクURL
添付ファイルの場合、ファイル名はあたかも議事録や見積もりなど業務に関わりのある内容で記されている。またメール文中のリンクの場合、クリックすることによって感染するような仕掛け(=ドライブバイ・ダウンロード)が利用される。
また、本攻撃の前の予備攻撃として関係者がよく利用するサイトを前もって乗っ取った上で、そこにマルウェアを仕込んでおく「水飲み場攻撃」が行われることもある。すなわち、攻撃側は事前に調査や情報の収集を行っているのである。
標的型攻撃は、特定の相手に向けて未知のマルウェアが利用されるため、従来型のように、既存のマルウェアにのみ対応するシグニチャ(ウイルス定義データベース)に基づいた方法では検知できない。感染すると、外部との通信のための回路を開いたり(=バックドア)、他のマルウェアを呼び込んだり(=ダウンローダー/ドロッパ―)、内部情報を収集し外部に送出などを行う。また、こうした一連の攻撃がウイルス対策ソフトなどによって発見されないように、気配や挙動や足取りを消すことも可能である。
対策
標的型攻撃は、他の一般的なマルウェアや従来型のサイバー攻撃とは異なり、マルウェア対策の網の目をかいくぐっているため、非常に対策が行いにくい。ましてや感染してしまった後では、抜本的な処置を取らない限り、防御を完全に行うことが困難になる。それが年金機構などでも起こったのである。
ただし、事前対策を十分に行っていれば、感染の可能性を大幅に下げることはできるので、以下の事前対応策については、十分に確認をしておくべきである。
1)システム設計
2)運用管理
3)インシデント対応
1)システム設計における対策
情報システムは一度設計してしまうと基本枠を変えることが難しくなる。もしも大量の個人情報を取り扱うのであれば、それはリスクが極めて大きいので、最初から他のシステムと分けられていることが望ましい。最初から設計を行う場合はその点に注意をするべきだろう。また途中からでももし改良する機会があれば、まず対策を行うべきポイントとなる。
2)運用管理における対策
運用管理においては、システムのユーザーに対する啓発活動を行うことが望まれる。一般業務の遂行と並行して重要な問題であることへの理解を促すとともに、実際的な「訓練」も定期的に行うことによって、利用者の意識は高まる。また、ユーザーは被害を受けたと疑われた時点で上司もしくはシステム責任者への報告を直ちに行うことが望ましいので、そういった関係性が構築できているか、心構えがあるのかどうか、日頃よりチェックしておきたい。
なお、一般的なマルウェア対策として、パッチなどのアップデートやセキュリティ対策ソフトの更新などは、もちろん標的型攻撃においても基本的に推奨されるが、加えて、万が一攻撃を受けてしまった際の対処方法についても、一通り確認を行っておきたい。その場合大きく分けと、三つになる。
- 従来通りの対策(入り口対策)
- 被害を最小限に食い止めるための対策(内部対策)
- 情報などを外部に漏出させないための対策(出口対策)
これらのいずれも重要であるので、ぜひとも三重の多重防御をしておきたい。
3)インシデントにおける対策
感染が発見された際に重要なのは、感染がそのまま情報漏えいなどの最悪の被害に至っているわけではないということである。被害者も管理人も管理職も、この時点で、迅速に被害を食い止める努力を行えば、被害を最小限にとどめることも可能である。そのためにも、事前に組織内で感染への対応として、ネットワークやシステム、さらには業務の中断などの判断と実行を可能にしておくことがとても重要になる。