特定の組織や個人を対象に行われる攻撃
標的型攻撃(英:targeted attack)とは、攻撃者が機密情報の詐取など明確な目的を持って、特定の組織や個人を対象に行うサイバー攻撃の一種。スピア型攻撃と呼ばれることもある。犯人によって目的は異なるが、背後に国家や関連機関が関わっている場合もある。
攻撃の初期段階ではメールを用いられることが多く、攻撃対象者へ脆弱性を突く添付ファイルなどを送り付け、マルウェアへ感染させる。また、メールに記載のURLから悪意あるWebサイトへ誘導し、マルウェアに感染させる場合もある。
不特定多数を対象とした攻撃とは異なり、標的についてあらかじめ入念に調べ、業務内容など環境に合わせたソーシャルエンジニアリング的手法を用いて攻撃の成功率を高めている。
特定の標的に対し執拗に攻撃を繰り返すケースもあり、「持続的標的型攻撃(APT)」と表現されることもある。また最初は無害な業務メールでやり取りを行い、信頼関係を築いた上でマルウェアを送る「やり取り型標的型攻撃」、標的が普段よく利用するWebサイトを改ざんして不正なコードを仕掛け、マルウェアに感染させる「水飲み場型攻撃」などがある。
影響
ソーシャルエンジニアリングにより、攻撃を受けたことに気付かない場合がある。感染するマルウェアの多くは外部と通信を行い、組織内部のネットワークへ不正アクセスを行ったり、他端末へ感染を広げることもある。
組織内部の機密情報を盗まれたり、あらたなマルウェアへの感染、システムやデータの改ざん、破壊活動といった危険もある。また発覚を恐れ、特に必要がないときは目立った活動を行わず、潜伏することもある。
主な感染/被害の流れ
- 顧客を装ったメール→添付ファイル開封→マルウェア感染
- 取引先を装ったメール→本文のURLをクリック→改ざんサイトに誘導→マルウェア感染
- 特定業界向けのウェブサイトが改ざん→アクセス→マルウェアに感染
主な対策と注意点
標的型攻撃への対策
- OSやアプリケーションを最新版にして脆弱性をなくす
- ウイルス対策ソフトを常に最新の状態で利用
- 高機能ファイアウォールによる不正通信の制限
- SEIM(Security Information and Event Management)によるログの監視
- ユーザー教育(疑似攻撃メールを使った実践的訓練など)
標的型攻撃は、OSやアプリケーションの脆弱性を悪用するケースが多く、脆弱性対策が特に重要となる。また侵入を防ぐ「入口対策」だけでなく、侵入を許した場合を想定した「出口対策」など多層防御を心がける。またソーシャルエンジニアリングの手法が使われることも多く、組織内における情報共有、教育、啓蒙も必要になる。