標準型攻撃とは 1

標的型攻撃は最も注意すべき脅威

サイバー攻撃の中で、特定の人や組織を狙って行われる攻撃のことを、標的型攻撃といいます。

数あるサイバー攻撃のパターンの中でも、特に組織にとっては、最も注意すべき脅威のうちのひとつとなっています。

標的型攻撃は、人間の心理的な隙や、行動のミスにつけ込む手法のメールを送りつけて来たり、セキュリティソフト等による検知をたくみにかいくぐり、侵入の痕跡を隠ししながら活動するマルウェアなど、手口や技術も年を追うごとに高度化しています。

標的型攻撃による被害を防止するために、その仕組みや事例を見ていきます。

日本におけるIT国家戦略を技術面、人材面から支えるために設立された経済産業省所管の独立行政法人「情報処理推進機構(IPA)」が毎年「情報セキュリティ10大脅威」を発表しています。

それによると、ここ3年連続で、脅威ベスト10のトップ3に入り続けています。

情報セキュリティ10大脅威2017: 1位(組織部門)
情報セキュリティ10大脅威2016: 1位(組織部門)
情報セキュリティ10大脅威2015: 3位

情報セキュリティ10大脅威2017

情報セキュリティ10大脅威2017


情報セキュリティ10大脅威2016

情報セキュリティ10大脅威2016


情報セキュリティ10大脅威2015

情報セキュリティ10大脅威2015

※出典: 上記3点とも情報処理推進機構(IPA)

標的型攻撃はどうしてそれほどまでに脅威か

標的型攻撃のおそろしさは、ソーシャルエンジニアリングをたくみに使いこなしアプローチしてくるなど、手口の巧妙さにあります。

ソーシャルエンジニアリングとは、人間の心理をたくみに利用し、注意力のスキや行動のミスにつけこんで、個人や組織が持つ秘密情報を入手する方法のことです。

細心の注意を払っていても、つい標的型攻撃のメールの被害にあってしまうことがあるのです。

パソコンやスマートフォンに関係する情報を盗み出すためのソーシャルエンジニアリングの主な手口には下記のようなものがあります。

・ショルダハッキング
・トラッシング
・なりすまし

ショルダハッキングとは、パソコンやスマートフォンを使っているユーザーの後ろから肩越しにユーザーの情報や組織の譲歩を盗みとることです。英語で肩のことをショルダーというところからこう名付けられました。

トラッシングとは、ユーザーが捨てたメモや機密書類を、ゴミ箱をあさってユーザーの情報や組織の情報を盗みとることです。英語でゴミ箱のことをトラッシュというところからこう名付けられました。

なりすましとは、メールや電話で警察やシステム管理者、サイトオーナーになりすましてユーザーに連絡し、ユーザーのパスワードやクレジットカード番号を入力させたり、口頭で伝えさせたりすることです。

ショルダハッキングとトラッシングは確かに危険ですが、発生する場所が極めて限られておりますので、なりすましに比べて被害は限定的です。

たとえば、ショルダハッキングはカフェや電車の中でパソコンやスマートフォンを使っている際に被害にあう恐れが高いですが、それ以外の場所ではそれほど被害はでないでしょう。会社で仕事をしている場合も同様で、部外者が頻繁に出入りする環境でなければ、それほど被害は発生しないでしょう。

トラッシングについても、最近は、会社でセキュリティ強化のため、機密情報はゴミ箱に捨てる前にシュレッダーにかけることが浸透してきているために、やはり被害は限定的です。

この3つの中で、最も気をつけなければならないのはなりすましです。

ここ数年、高齢者を狙ったいわゆる「オレオレ詐欺」が流行していますが、オレオレ詐欺の場合は電話を使ったなりすましが多いです。

パソコンやスマートフォンに関係する情報は、電話を使ったなりすましでは、それほど被害は発生しないようです。

そもそもパソコンやスマートフォンを使うユーザーの年齢層は、オレオレ詐欺のターゲットとされる年齢層と比べ、圧倒的に若く、電話でなりすましをしてパスワードやクレジットカード番号を聞き出そうしてもすぐに気づかれるからです。

電話でのなりすましについては、それほどの脅威ではないのですが、メールで届くなりすましについては、本当に注意が必要です。

通常、メールに添付されたウイルスやワームなどのマルウェアが無理矢理パソコンやスマートフォンの中に入り込もうとしても、ウイルス対策ソフトなどが警告を出してくれたり、防いでくれます。

しかし、なりすましの手口を巧妙に使ったメールでは、これらのマルウェアがパソコンやスマートフォンに中に入り込めるように、ユーザーにクリックを促したり、承認させたり仕向けるように振る舞います。

数年前までは、なりすましメールが届いたとしても、英語で書かれていたり、日本語で書かれていても、日本語ではない文字が含まれていたりするなど、あやしさがプンプンただようようななりすましメールが多かったです。しかし、最近はなりすましメールの精度がかなり上がってきました。

2、3ヶ月前に、身近な人が思いがけず、なりすましメールにひっかかりクレジットカードを悪用されたのを目の当たりにしました。

つい先月(2017年12月)にも、日本の大手航空会社がなりすましメールにひっかかり、あわせて3億円以上の被害が出たと報道されました。

なりすましメールを使った標的型攻撃は思いのほか、みなさんの周りに存在します。詳細は、次回以降に見ていきます。