大規模な企業や団体がサイバー攻撃を受けると、多数の個人情報が流出するなど、大きな情報セキュリティ事故に発展するおそれがあります。
そこで注意したいのが、特定の組織や個人を狙ったサイバー攻撃「標的型攻撃」です。

本記事では、巧妙な手口で組織に攻撃を仕掛ける標的型攻撃について解説します。
企業が取り組むべきセキュリティ対策や、国内で発生した情報セキュリティ事故の事例もご紹介するため、ぜひ参考にお読みください。

標的型攻撃とは？

標的型攻撃とは、特定の組織や個人を狙ったサイバー攻撃のことを指します。

不特定多数を狙ったサイバー攻撃とは異なり、大規模な企業や団体など、特定の組織を狙って攻撃を仕掛けるのが大きな特徴です。

標的型攻撃では、組織内部のPCをウイルスに感染させることで、組織が保有している情報資産や技術情報、機密情報などを盗むのを目的としています。
特定の組織を狙うにあたり、巧みな偽装によって内部の人間を欺こうとする点に注意が必要です。

特に大規模な組織の場合、日頃から多数の関係者と連携しながら業務を行ったり、社外向けに問い合わせ窓口を設置していたりするケースが少なくありません。
標的型攻撃ではこうした組織の傾向を利用して、関係者や顧客と偽って内部の人間に接触しようとします。

過去には、実際に社会で起こった大きな事件やイベントなどに便乗することで、内部の人間を騙そうとする手口も見られました。
万が一、内部の人間が欺かれてPCがウイルス感染すると、攻撃者が組織のネットワークに潜入し、情報を窃取されてしまいます。
業務に支障が生じて組織の活動が停止するほか、甚大な情報漏えいの被害につながる危険性があります。

主な攻撃手段

標的型攻撃には、複数の攻撃手段があります。
ここでは、なかでも代表的な攻撃手段の特徴を解説します。
サイバー攻撃の脅威に備えるために、標的型攻撃の手口を確認しておきましょう。

標的型攻撃メール

組織の内部に攻撃メールを送りつける、標的型攻撃の代表的な手口です。
メールの添付ファイルにウイルスが仕込まれているパターンや、メール本文のリンク先にアクセスするとウイルスに感染するパターンなどが存在します。

その際、メールの件名や本文には組織の業務に関連する内容が記載され、巧妙に偽装されている傾向があります。

また、組織の関係者を装ったメールアドレスから攻撃メールが送られることも珍しくありません。
さらに、特定の組織を狙った標的型攻撃では、内部の人間を油断させるために、事前に複数回にわたるメールのやり取りを行う手口も確認されています。

このように、何度もメールでやり取りを重ねた上で警戒を解こうとする手口は、「やり取り型攻撃」と呼ばれます。
メールを使った攻撃は古くから見られるものの、偽装の手口は年々巧妙化しているため、引き続き注意が必要です。

ソーシャルエンジニアリング

ITを介さずにIDやパスワードを窃取する手口を「ソーシャルエンジニアリング」と呼びます。
また、作業中の担当者のPC画面やキーボードを覗き見て、IDやパスワードをその場で窃取する手口もあります。

テレワークが普及した昨今では、オフィス外のカフェやコワーキングスペースなどで作業をする機会が増えていることから注意が必要です。
このほかに、組織の廃棄物を漁ることで、捨てられた書類から機密情報を盗み出す手口もあります。

機密情報が記載された書類は、そのままの状態で破棄するのを避けて、シュレッダーにかけた上で処分するといった対策が求められます。
標的型攻撃の脅威に備えるには、ITを介した攻撃だけでなく、身の回りにあるソーシャルエンジニアリングのリスクにも警戒することが大切です。

Webサイトの改ざん

組織でよく利用されるWebサイトを改ざんして、内部の人間がWebサイトにアクセスした際、ウイルスに感染させる手口です。
その手口を肉食動物が水飲み場に集まる獲物を狙う様子に例えて、「水飲み場型攻撃」と呼ぶこともあります。

水飲み場型攻撃では、外部のWebサイトの脆弱性を利用することで、組織への攻撃を行うのが特徴です。

日頃から利用している信頼性の高いWebサイトが改ざんされた場合、被害を防ぐのが難しいといえます。
また、標的型攻撃では被害に遭ったと気づきにくいことから、発覚までに時間がかかるのも難点といえるでしょう。

標的型攻撃に備える！企業が取り組むべきことは？

標的型攻撃では、不特定多数を狙ったサイバー攻撃とは異なり、巧みな手口で特定の組織や個人を欺こうとします。
企業では、自社を狙ったサイバー攻撃に備えて、以下のセキュリティ対策を講じましょう。

社内セキュリティの強化・見直し

セキュリティ対策の基本は、対策強化と定期的な見直しです。

組織内のネットワークやPCなどの端末を守るために、ウイルス対策ソフトやセキュリティアプライアンスを導入しましょう。

標的型攻撃をはじめとした、多様なサイバー攻撃の脅威に備える必要があります。

社員教育

標的型攻撃の手口では、組織内の人間を巧妙に欺こうとします。
社員教育では、こうした手口の存在を周知し、社内の警戒を高めることが大切です。

特に、業務でも使用する頻度が高いメールに関しては、安全な取り扱いができるよう教育する必要があります。

不審なメールを開封しないことはもちろん、一見すると関係者からのメールのように見える場合であっても、常に注意を怠らない意識が求められます。

脆弱性対策

サイバー攻撃では、組織の脆弱性が狙われやすいといえます。
業務で使用するOSやソフトウェアは定期的なアップデートを行い、常に最新の状態に保ちましょう。

また、ベンダーからセキュリティパッチが配布されたら、速やかに適用することも大切です。
自社の脆弱性をチェックする目的で、「ペネトレーションテスト（侵入テスト）」を実施する方法もあります。

外部からの攻撃をシミュレーションして、セキュリティ対策の効果を確認しましょう。

セキュリティポリシーの策定

セキュリティポリシーとは、情報セキュリティを維持するために、組織の方針や行動指針などを規定したものです。

万が一、標的型攻撃などのサイバー攻撃を受けた際に、対処の手順や体制などを決めておくことで、素早い対応を実現します。

セキュリティポリシーの策定では、専門的な知見が必要となります。
社内で情報セキュリティの専門家を確保するのが難しい場合は、外部の専門家に監修を依頼することも可能です。

情報共有と連携

サイバー攻撃を早期に発見し適切に対処するには、組織内での情報共有と連携が重要となります。
社内のPCやネットワークに不審な動きを見つけた際、情報を共有し連携することで、組織的に対応しやすくなります。

そのためにも、社内で標的型攻撃などのサイバー攻撃を想定した訓練を行うのも有効です。

訓練は定期的に開催し、毎回振り返りを行うことで、現状の自社の課題を発見し改善へ導くことができます。

標的型攻撃の事例

国内でも、企業や団体などの大規模な組織が標的型攻撃を受けて、情報漏えいなどの被害が生じた事例が跡を絶ちません。
最後に、標的型攻撃の実態を知るために、国内で起こった情報セキュリティ事故の事例をご紹介します。

1.取引先を巧妙に装ったメールによる攻撃

国内の大手企業A社で発生した標的型攻撃の事例です。

A社の社員宛てに、取引先からの問い合わせを装ったメールが届きました。
メールの件名はA社の業務と関連性のある内容で、送信元には取引先のドメインが使用されていたことから、社員はメールの添付ファイルを開封したといいます。

ところが、このメールは悪意のある第三者がアドレスを偽装して送信した、標的型攻撃だったのです。
A社はこれを発端に標的型攻撃の被害に遭い、800万件近くの個人情報が流出してしまいまいた。

このように、標的型攻撃では内部の人間に不信感を抱かせないよう、巧妙に取引先を装って攻撃を仕掛けることがあります。

2.公的な機関からの通知を装ったメールによる攻撃

国内のA大学で発生した標的型攻撃の事例です。

A大学の職員宛てに、公的な機関からの通知を装ったメールが届きました。
職員が添付ファイルを開封すると、PCがウイルスに感染。

感染したPCを経由して、大学に所属する職員や教員だけでなく、学生の個人情報まで流出してしまいました。
近年では、官公庁や公的法人などの機関を装った手口もよく見られます。

一見すると信頼性の高い機関からのメールと思われても、標的型攻撃の可能性を疑うことが大切です。
また、セキュリティ対策ソフトの導入など対策強化も求められます。

3.被害を拡大させる複数回にわたる攻撃

国内のA団体で発生した標的型攻撃の事例です。

A団体の職員宛てに、業務に関連する件名のメールが届きました。
メール本文にも業務に関連する内容が記載されていたことから、職員は添付ファイルを開封。
これによりPCがウイルスに感染してしまいます。

A団体がウイルスに感染したPCを特定し、感染が広まる前に対策したことで、事態は収束したかのように見えました。
ところが、一度目の攻撃以降も引き続き、A団体の職員宛てに大量の攻撃メールが送信されたのです。

送信された攻撃メールは合計で100件以上にのぼり、複数名の職員が添付ファイルを開封したことが明らかになっています。
複数回にわたる標的型攻撃で、A団体は個人情報が流出する被害を受け、長期にわたり対策に追われることになりました。

まとめ

標的型攻撃では、特定の組織や個人がターゲットになります。
基本のセキュリティ対策を講じた上で、さらに社員教育を徹底することが重要です。
規模の大きな組織が狙われやすいため、日頃からセキュリティ対策の強化と定期的な見直しに取り組みましょう。

スターティアではネットワークセキュリティサービスをご提供しています。

セキュリティのプロがいつでも貴社のご相談をお受けいたしますので、下記のリンクよりお気軽にご連絡くださいませ。

＼「うちは大丈夫」が狙われている！？／


セキュリティの
お悩み相談受付中！

おすすめ資料ランキング

2022.03.04

サイバー犯罪の概況とセキュリティ対策　2022年度版（全24P）

続きを読む

2022.03.03

ヒューマンエラーを防止する方法9選（全21P）

続きを読む

2022.02.16

知らなかったじゃすまない “改正”個人情報保護法 対策ブック（全45P）

続きを読む

2022.01.26

電子帳簿保存法改正対策ブック（全37P）

続きを読む

【著者・監修者企業】

スターティア株式会社

弊社はパソコン周り、オフィス環境、法律の改正、コスト削減など、ビジネスに関わるお困りごとの解決策を提供する当サイト「ビジ助channel」を運営しています。

資格

一般建設業 東京都知事許可（電気通信工事業）：(般-4)第148417号
古物商 東京都公安委員会許可（事務機器商）：第304361804342号
労働者派遣事業 厚生労働省許可：派13-316331
小売電気事業者 経済産業省登録：A0689
電気通信事業者 総務省届出：A-29-16266
媒介等業務受託者 総務省届出：C1905391

関連SNS

• 
• 
• 
•