〜経営に役立つ情報・事例を発信するサイト〜
powered by 東京商工会議所

中小企業も狙われる、標的型攻撃に気をつけて!【IT活用虎の巻】

f:id:tosho-antenna:20210311172015j:plain

 

サイバー攻撃の一つである「標的型攻撃」という言葉をご存知でしょうか?
標的型攻撃とは、その名の通り、特定の企業や法人、団体などの組織をターゲットとし、そのターゲットとなった組織内の情報を狙うサイバー攻撃のことです。

狙った組織に対し、事前に入念な調査(偵察)を行った上で、様々な攻撃手法を組み合わせ、内部への侵入を試みます。

重要な情報を保有する大手企業は、以前からターゲットになりがちであり、現在も変わりはありません。さらに、最近では中小企業も標的型攻撃の対象となっており、実際に大手企業の情報を直接狙うのではなく、その大手企業とビジネス上で付き合いのある中小企業に攻撃を行い、そこを経由して本丸である大手企業の情報を狙いに来るケースが出ています。
このような攻撃手法を「サプライチェーン攻撃」とも言いますが、標的型攻撃は、サプライチェーン攻撃等の手法で活用されることがあるのです。

標的型攻撃のパターンは2つ。ターゲットに狙いを定め、直接狙う「直接攻撃型」と、ランダムに攻撃を仕掛けてパソコンなどの端末を乗っ取り、情報を品定めした上で価値のある情報と判断された場合に、より深い内部侵入を試みる「ランダム攻撃型」です。
企業の事業規模に関わらず、また最初から狙いを定められているか否かに関わらず、標的型攻撃によって自組織も狙われる可能性がある、ということをまずは理解する必要があります

では具体的に、「直接攻撃型」の標的型攻撃ではどのようなプロセスで攻撃が行われるのかをみていきます。主に7つのプロセスに分けられます。

①事前調査 ②武器作成 ③攻撃開始 ④侵入 ⑤遠隔操作 ⑥侵入拡大 ⑦目的実行

f:id:tosho-antenna:20210312160252j:plain


 標的型攻撃:7つの攻撃プロセス

 

①事前調査フェーズ」では、念入りにターゲット企業の情報を集めます。

一番手っ取り早く情報を収集する手立ては「ホームページ」です。
ホームページには電話番号やお問い合わせ先(infoメールなど)、取引先企業や業務に関連のある企業名、経営幹部の氏名や肩書き、社員の役割や業務内容など、多くの情報が掲載されています。
特に採用に力を入れている場合、採用ページは社員情報(個人情報)の宝庫です。誰にでも見やすい情報というのは、攻撃側からも有益な情報入手先になり得るので気をつけましょう。

また、FacebookやTwitter、インスタグラム等のSNSも情報収集先になります。
特にFacebookはプライバシー情報の宝庫です。一度も接点がない方や、海外からの友達申請には応じないようにしたほうがよいでしょう。
会社のメールアドレスを掲載している場合も、メールアドレスを収集されるリスクがあるので、削除するのがベストです。

本気で標的として狙ってくる場合は、電話等を使って会社に問い合わせをしてくるケースもあります。
ただこの場合は、それが標的型攻撃の事前準備なのか、そうでないのかの判断が難しいのも事実。こちらから情報を引き出そうとする電話の場合、一度切って折り返しにする旨を伝えることも、回避策のひとつになります。

このような手法にて入手した情報をもとに、関係者を装ってメール等を送る準備を整えます。


②武器作成フェーズ」では、マルウェアや攻撃用プログラムを作成します。

例えば、Windows10に標準で実装されているWindows Defender等を利用して、作成したマルウェアが検知されないかどうかを確認する、あるいは、公開されている脆弱性対策情報データベース(JVN)などを利用して、適切にアップデートが行われていない端末の脆弱性を狙ったプログラムを作成します。
ダークウェブ上(通常のGoogle検索では出てこない、インターネット上の裏サイト)では、OSメーカーやソフトウェアメーカー等が発見できていない脆弱性情報が取引されています。
このようなセキュリティパッチが作られていない情報を元に、マルウェアを作成するケースもあります(このような攻撃手法をゼロデイ攻撃と言います)。

私たちができる対策としては、常にOSやソフトウェアのアップデートを行い、最新の状態を保つことです。
古いOSやブラウザ、ソフトウェアの利用は、それだけで攻撃者の餌食になってしまう可能性があるので注意しましょう。


③攻撃開始フェーズ」では、実際に収集した情報をもとに、マルウェアつきのメールなどを送り開封を促します。

URLを貼り付けてマルウェアの保存されているクラウド上のファイルサーバに誘導する、あるいは、Webサイトに誘導のうえマルウェアをダウンロードさせるケースもあります。

特に、業務に関係するタイトル・本文や、普段使われている文面でメールが送付されるケースがあります。その際、メールを思わず開封し、添付ファイルをクリックしてしまうこともあります。
現在は、メールを用いた攻撃が主流なので「メールの添付ファイルにはくれぐれも気をつける」ことを社内で共有、徹底することが重要です。


攻撃が成功した場合、「④侵入 ⑤遠隔操作 ⑥侵入拡大」の各フェーズに入ります。

詐欺メール等を開封させ、マルウェアを端末に仕掛けることで端末への侵入に成功すると、攻撃者が次に行うことは「内部探索」です。侵入した端末の環境把握やネットワーク環境の把握、社内の同じネットワーク上につながっている端末の種類などを探索していきます。
この際に端末の管理者権限の奪取(管理者権限とは、端末にあらゆる動作ができるオールマイティーな最高権限のこと)や、遠隔操作ツールの配置を行い、徐々に侵入拡大の準備を整えます。

遠隔操作ができる環境が整うと、社内のネットワーク環境内で感染を拡大させるフェーズへと移行します。
具体的には、周囲の端末への攻撃用ツールのコピー、コピーしたツールを用いた他端末への乗っ取り、パスワード情報(ハッシュ)の奪取などです。


そして、最終的には「⑦目的実行フェーズ」へと移行します。

目的となる情報を見つけ、圧縮して奪取したり、ランサムウェアを仕掛けてデータを暗号化したりします。
最後に、痕跡が証拠として残らないようにイベントログやツールの消去なども行います。


標的型攻撃では、上述した内容にて攻撃が行われます。
大切なことは、各フェーズにおける侵攻を断ち切ることです(これをサイバーキルチェーン、とも言います)。
本内容を参考に、「自社が狙われるかもしれない」と認識を改め、標的型攻撃に遭遇しないよう、気をつけてください。

 

【執筆者プロフィール】
那須 慎二

株式会社CISO 代表取締役

大手情報機器メーカーにてインフラ系SE、大手経営コンサルティングファームにて中堅・中小企業を対象とした経営・セキュリティコンサルティングを経て起業。
ミッションは「日本にセキュリティのバリアを張り巡らせる」こと。そのために「難しいセキュリティ問題を誰にでもわかりやすく伝える」ことをモットーにセキュリティ対策の啓蒙活動を行う。

講演実績:チェック・ポイント・ソフトウェア・テクノロジーズ株式会社、ソフトバンク株式会社、株式会社日本HP、デル株式会社、島根銀行、中小企業同友会、その他各種企業内講演等

<この記事に関連するサイト>
はじめてIT活用|東京商工会議所
https://www.tokyo-cci.or.jp/hajimete-it/


ただいま会員様限定でオンラインセミナーを公開しております。(YouTube動画配信)

■タイトル:中小企業が狙われる標的型攻撃の最新実態と対策
■申込URL:http://event.tokyo-cci.or.jp/event_detail-103797.html
■申込期限:3月25日(木)
■参加費:無料(東商会員限定)
 *未会員の方でも会員にご加入いただくことでセミナーの視聴は可能です。
 *会員加入ご希望の方は下記問い合わせ先までご連絡ください。
■問い合わせ先
 東京商工会議所 中小企業部 闕山(かげやま) TEL: 03 -3283 -7624