標的型攻撃とは
標的型攻撃とは、特定の個人や組織を狙って行われるサイバー攻撃の総称である。サイトの乗っ取り、情報の搾取、サービス攻撃などの攻撃が行われる可能性がある。
インターネットでは、ウィルスが含まれるファイルをメールに添付したり、特定のWebサイトの情報を経由するなど、様々な攻撃が行われている。その攻撃の多くは、不特定多数に対して行われている。例えば、ウィルスを含むファイルを添付したメールが送られてきても、送信者やタイトルを見て不要なメールであると判断することができればファイルを削除することで避けることができる。しかし、標的型攻撃の場合には、送信者やタイトルが相手に合わせて変えられている。時には、実在する人を送信者と詐称してメールが送られてくることもある。そのため、不特定多数を対象にした場合に比べて、攻撃であることを見分けるのが非常に困難である。
標的型メール攻撃
標的型攻撃では、メールが使われることが多い。情報処理推進機構(IPA)は、標的型攻撃メールには次のような特徴があるとして注意を呼びかけている。
- 送信者名として、実在する信頼できそうな組織名や個人名を詐称
- 受信者の業務に関係の深い話題や、詐称した送信者が扱っていそうな話題
- ウイルス対策ソフトを使っていてもウイルスが検知されない場合が多い
- メールが海外のIPアドレスから発信される場合が多い
- 感染しても、パソコンが重たくなるとか変なメッセージが表示されることはあまりない
- 外部の指令サーバ(C&Cサーバ)と通信
- 長期間にわたって標的となる組織に送り続けられる(内容は毎回異なる)
標的型メール攻撃では、未知のウィルスが使われることが多い。2016年3月にJTBに対して行われた攻撃では、最初に感染したPCが起動できなくなったことから、ウィルスチェックを実施した。しかし、当初はウィルスであることを検知することができなかった。そのため、気がついた時には、社内の複数台のPCやサーバに感染してしまっていた。
標的型メールの添付ファイル
標的型メール攻撃で悪用されたファイル(アプリケーション)では、PDF(Adobe Reader)、MS Word、 Flash Playerの3つで80%以上を占める。それ以外にも、TiFFの画像(libTiff)、Internet Explorer、Excelなどへの攻撃が行われている。これらのソフトウェアはマクロやスクリプトを容易に混入できたり、脆弱性の対策が十分に行われていないことが多く容易にウィルスを感染させられるからである。
標的型メール攻撃の対策
標的型攻撃の対策は、ファイアウォールなどの機器を導入するだけで実施することはできない。ネットワークとそれに参加するすべての機器への対策が必要である。
入り口対策
標的型メールは、利用者の目視による判断で見分けることが難しい。そのため、できるだけ怪しいメールを受け取らないためのシステム側の対策が必要である。
- 最新のウィルス対策ソフト、SPAM対策ソフトの導入
- SPF(Sender ID)などを使った、メール送信者のIPアドレスの検査
- 添付ファイルをやりとりする取引先の制限
怪しいメールを隔離した場合でも、そのファイルから感染する可能性がある。特に、管理者が気づかずにウィルスに感染してしまう可能性があり、大変危険である。標的型メール攻撃では、隔離したファイルがウィルスに感染しているかどうかを確認する確実な手法は存在しない。そのため、可能性が高いファイルは削除してしまうのが最も安全な方法である。
組織内PCの対策
組織内ネットワークに存在するPCでは、セキュリティホールが発見されたソフトウェアを使いつづけないことが非常に重要である。
- Windows Updateを行う
- アプリケーション(特にFlash Player、Adobe Reader、MS Word、MS Excel、Internet Explorer)などのセキュリティパッチを適用する
これらの対策は、できるだけタイムリーに行う必要がある。
組織内サーバの対策
従来のネットワークでは、組織内ネットワークは安全なネットワークであると仮定して設計が行われていた。しかし、標的型攻撃では、組織内のPCがウィルスに感染することから攻撃が始まることが多い。そのため、組織内に設置してある重要なサーバでは、組織内でも安全ではないことを念頭に、セキュリティ設計をする必要がある。
- OSやソフトウェアを最新に保つ
- ファイル共有は必要最低限にする
- 重要な情報へのアクセス制御を厳しく行う
- 直接的にインターネットへ通信を行えないようにする
- SELinuxなどの高度なセキュリティを導入する
デージーネットの取り組み
デージーネットでは、市販のソフトウェアやSaMMAを使った標的型攻撃の対策サービスを提供している。SaMMAは、デージーネットがオープンソースソフトウェアとして公開している。組織外から届いたメールの添付ファイルを自動的に削除する機能がある。また、2016年9月に公開されるバージョンでは、SPFを検査して不正な送信元の添付ファイルのみを削除したり、添付ファイルを無害化したりする機能が実装される。これらの機能を上手く利用することで、標的型攻撃の入り口対策を行うことができる。
また、デージーネットでは、2016年3月のJTBへの標的型攻撃を題材に無料セミナーを開催している。また、要望があれば個別での説明会も開催している。
【カテゴリ】:セキュリティ  インターネット  メール関連技術  
【Webセミナー】自社でOSSを採用しよう!今更聞けないOSSの基本セミナー
日程: | 11月22日(金)Webセミナー「BigBlueButton」を使用します。 |
内容: | OSSを導入したいけど、どこから手をつければいいかわからない方必見! |
ご興味のあるかたはぜひご参加ください。 |