標的型攻撃
ネットワークを経由して行われる攻撃はサイバー攻撃などと呼ばれることが多いのですが、このサイバー攻撃には様々なものがあります。代表的なものとしては、メモリバッファオーバーフロー、バックドア、スプーフィング、インジェクション、クロスサイトリクエストフォージェリ、セションフィクセーション、DoS攻撃、DDoS攻撃などがあります。
更にスプーフィングにはIPスプーフィング、ARPスプーフィング、経路スプーフィング、DNSスプーフィング(キャッシュポイズニング)、TCPセションスプーフィング(TCPセションハイジャッキング)、Webセションスプーフィング(Webセションハイジャッキング)、メールスプーフィングなどがあります。インジェクションにはスクリプトインジェクション、SQLインジェクション、HTTPヘッダインジェクション、メールヘッダインジェクションなどがあります。
標的型攻撃もこのサイバー攻撃の一つですが、上に述べた攻撃と若干異なったところがあります。それは、標的型以外の攻撃は、最初に攻撃方法が考えられ、その後、この攻撃方法で攻撃する相手は、どこかにいないかなと探し出すということです(だと思います)。攻撃の相手は誰でもいいのです。
ところが標的型攻撃は、最初に攻撃対象があります。最初に、標的を定め、この標的から、特定の機密情報とか、経済的な利益に結び付くような情報を盗み出すことが目的です。そのためには手段はどんなものがいいかという順に考えます。特定の標的を攻撃するための、攻撃方法は何でもいいんです。
このような標的型の攻撃が最近増えていて年々勢いを増しています。
標的型攻撃は特定の標的を攻撃するという強い意志を持った攻撃者が、その目的を達成するために、標的と定めた組織あるいは人に対して行う攻撃を指します。
攻撃者は金銭的な利益を得ることを目的としていることが多いとされていますが、それだけにとどまらず、特定の主義・主張を持つ国・組織を攻撃することを目的としている場合もあります。
1.1 標的型攻撃の特徴
標的型攻撃はメモリバッファオーバフローとか、SQLインジェクションなどのように攻撃手法がそのまま名前となったものではありません。攻撃手法はどうでもいいのです。とにかく特定の標的があって、それへの攻撃を成功させることが目的です。標的を攻撃できそうなものを選択して、攻撃方法を選んでいるようです。
標的型攻撃ではまず初めに標的を選びます。そのためには最初に標的について詳細な調査が必要な場合もあるでしょう。その標的は何を持っているのか?どんな攻撃をすると利益が得られるか?どんな攻撃をすると相手に打撃を与えられるか?そして、標的が定まったら、まず標的のネットワーク、あるいはホストに何とかして入り込みます。そこで、より実際的な調査をします。標的組織における情報の流通方法、どこに重要な情報があるのか、どこに弱点があるのか、キーマンとなっているのは誰かなど、ありとあらゆる情報を入手します。調査のために数週間かけるという場合もあるでしょう。標的となった人のメールをずっと盗み見ることができるなら、かなりの量の情報を得ることができるでしょう。このような情報を得たうえで、更に数か月、時には1年以上の時間をかけて、気づかれることなく、情報を抜き取っていきます。気が付いた時には長期間に亘って、長期間にわたって大量の情報が漏えいしていたということになります。
1.2 情報流出までの流れ
標的型攻撃が開始されてから情報が流失してしまうまでは、大きく4つの段階があります。
≪第1段階-初期潜入段階≫
入口の対策をすり抜けて、システムの深部に潜入します。攻撃の手法としては、マルウェアをメールに添付して送りつけたり、Webを改ざんしてダウンロードサーバに仕立て上げ、そこに誘導します。
≪第2段階-攻撃基盤構築段階≫
攻撃基盤を構築する段階です。バックドアを構築して、マルウェアをダウンロードさせたり、マルウェアの拡張機能の追加を指示します。マルウェアに感染したPCはC&Cサーバを介して遠隔操作されます。この際の通信は従来、特徴的な通信方式をとっていました。しかし、最近はHTTPなどの一般的な通信方式をとっているのでなかなか気づきにくくなっています。
≪第3段階-システム調査段階≫
システムの調査段階です。1つのコンピュータに侵入出来たら、そこを足場にしてLAN内に探索を広げます。組織の情報システムの情報を取得し、情報の存在位置を確認します。コンピュータ内の探索ではOSが元々持っているコマンドやツールを使ったり、あるいは正規のプログラムにウィルスを実行させるなどの方法を使いますので、なかなか発見は困難です。
≪第4段階-攻撃最終目的遂行段階≫
組織の重要情報(知財・個人情報等)の窃取をする段階です。
標的型攻撃では、様々な段階でメールが利用されます。「自分に送られてくるのは論理的に見ておかしい」「メールの内容が社内文化に照らして何か変?」「見覚えのないメール」など少しでも違和感を感じるものは、標的型メールを疑い、予め定められた対処法に従ってください。
難しいのは見ず知らずの人からのメールでも、開かざるを得ないようなものです。これらについては、ついうっかりと開いてしまうことがあり得ますので、日ごろから気を付けてください。
テキストメールの場合には本文のメールを読んでも構いません。添付ファイルを開く場合には慎重にしてください。HTMLメールは本文にウィルスを埋め込むことができますので、開くのにも注意が必要です。重要情報を扱う部署にいる方は、HTMLメールを使わないようにしてください。
2.1 メールのテーマ
メールのテーマに関しては次のようなものがありますので、メールの件名、差出人、メール本文などを総合的に判断してください。見ず知らずの人からのメールだとしても本文を開かざるを得ないように思い込んでしまうとか、添付ファイルを開かざるを得ないと思い込んでしまうかがポイントとなります。
① 人事情報などの組織全体への案内、公的機関からのお知らせなど
② 取材や講演会の依頼など
③ メールボックスの容量オーバのお知らせ
④ 決済や配送通知
⑤ 心当たりがないが興味をそそられる内容
①の例としては、就業規則の変更とか、労働組合との申し合わせとか、夏季休業の取り方とか、いくらでもありそうですね。この種のメールに添付ファイルがついていると開かざるを得ないと思うかもしれません。あるいは、文書が大きい場合はURLが指示されます。どうしても開かざるを得ない場合は、少しでも疑念がわいたら、電話で確認してください。
人事部からのメールだけでなく、人事部への就職活動中の学生を騙ったメールなどもありますので注意が必要です。
公的機関からのメールを詐称したものとしては、政府系の各種研究会(例:インターネットセキュリティ調査委員会など)からの調査結果の報告などがあります。
添付ファイルの拡張子には注意してください。実行ファイル(exe/scr/cplなど)が添付されているのは、普通なのか?それともおかしいのか、よく考えてください。アイコンが偽造されている場合もありますので注意が必要です。
送信者のメールアドレスをよく確認してください。社内メールのはずなのに、フリーのメールで送信しているというようなことはありませんか。差出人の署名欄のメールアドレスと、実際のメールアドレスが一致しているかよく確認してください。
②の取材や講演会の依頼などは誰もが引っかかるというものではありませんが、研究者や専門家で、普段からたびたびマスコミからの取材を受けていたり、雑誌に記事を書いたり、講演会などをしたことがある人は注意が必要です。いままで、これらの依頼は直接自分で受けてきたのか、それとも所属事務所、勤め先の総務部などを通してきたのか、などをよく考えてみてください。
送信者は、出版社や新聞社に属しているはずですので、フリーのメールアドレスを使うのはちょっとおかしいと思った方がいいかもしれません。あるいは署名欄の所属の名称が実在する出版社名とちっと違うとか?、少しでもおかしいと感じたら周りの人に相談してください。
③のメールボックスの容量オーバのお知らせは、ISPの管理者、所属会社のネットワーク管理部門の人を騙っています。この例では、メールボックスの容量を特別に拡大したので、IDとパスワードを入力して、確認してくださいというようなことになります。通常は、このような場合にID、パスワードの入力は必要としません。しかし、認証メールを使っている場合には注意が必要です。メールを使う前に認証のポップアップウィンドウが開くというのが当たり前と思っている人は、このポップアップ認証ウィンドウがトロイの木馬でもさほどの疑念をいだかずにID、パスワードを入力してしまうかもしれません。本当にメールボックスは溢れそうなのか思い出してみてください。このような目に合わないためのも、メールボックスは常に整理して、不要なメールは消しておくようにするとか、パソコンの方にダウンロードしておくなどの心掛けが必要かもしれません。どうしてもよく分からないという場合は電話で確認してください。
④の決済通知は、直ぐ決済しないと遅延賠償がいくらとか言って脅しをかけてきます。気が動転してしまうと判断力が鈍りますので、落ち着いてから判断してください。恥かしがらずに周りの人に相談するのもいいかもしれません。配送通知にしても、本当に注文したものかよく考えてください。
⑤については、開かなくても仕事などに支障がありませんので、我慢して開かないようにして下さい。
2.2 差出人のメールアドレス、件名、本文、添付ファイル等
それでは、差出人のメールアドレス、件名、本文、添付ファイルなどについて個々に考えてみましょう。
送信者が所属している公的機関は本当に存在する組織ですか?何々調査委員会などというものはあるかどうかも怪しいので、本当に存在する組織なのかよく確認してください。出版社、新聞社は本当に存在している企業なのでしょうか?よく確認してください。組織が実在することが分かったら、送信者と名乗る人が本当にその組織に所属する人物なのか確認してください。
差出人のメールアドレスはフリーのものか?公的機関、出版社、新聞社に属する人からのメールの場合はフリーのメールアドレス、あるいはISPで個人的に入手したアドレスはおかしいと思います。
本文最後の署名欄のメールアドレスと、実際のメールアドレスは一致していますか?
件名は適切なものですか?件名と本文はマッチしていますか?違和感はありませんか?メール本文の日本語の言い回しはどうでしょうか?「てにをは」は正しいですか?普段日本人が使っている漢字とちょっと違う漢字(繁体字、簡体字)が使われているということはありませんか?漢字の省略形が使われているということはありませんか?標的型メールは外国から発信されていることが多いので、日本人が普通に書くメールとして、違和感がないものかどうかよくよく確認してください。
本文の中で示されているURLと実際のリンク先は同じですか?それとも違っていますか?
添付ファイルはどうでしょうか。ファイルの拡張子が擬装されていたり、アイコンが擬装されているということはありませんか?
2.3 本当に見分けられるのか
メールの内容や件名、メールアドレス、添付ファイルの拡張子、送信元などを総合的に見ておかしいか判断します。そうはいってもなかなか難しいというのが実際のところだと思います。特に、マルウェア等を利用して、実際のメールを盗み出し、過去の件名や、本文の内容を流用されたりするとなかなか気が付きにくいと思います。自分が書いたメールの内容がそのまま返信メールで流用されているとすると、たぶんほとんどの人はそのメールの内容を信じてしまうのではないでしょうか。あるいは、メールを盗み見られて、コピーされ、「先ほどのメールは失礼しました。添付ファイルを付けるのを忘れましたので、再送します」などとやられて、ウィルス付きの添付ファイルを送られたりしたら、よほど慎重な人でも引っかかってしまいそうです。
こう考えるとどんな組織でもなりすましメールの開封率をゼロにするのは困難です。企業等の組織では標的型メールに対する専門の対策チームを立ち上げて、少しでもおかしいなと思ったら、対策チームに相談できる体制を整えてほしいと思います。特に組織内に重要情報を多く抱えている組織ほど早急な対策が必要となります。
標的型攻撃といえばメールを使ってマルウェアを送り込む攻撃というのが一般的でしたが、2012年ごろからWebを使った標的型攻撃が少しずつ増えてきています。この攻撃方法は「水飲み場攻撃(watering
home attack)」と言われています。
この水飲み場攻撃は標的とした個人、企業や組織が運営する、あるいはよく利用するWebサイトを見つけ出し、このサイトに侵入して、罠を掛け、特定の人がウィルス(マルウェア)に感染するように仕向けるという方法です。サバンナなどで肉食獣が池の周囲に隠れて待ち伏せして、水を飲みに来た草食獣を襲う様子になぞらえています。
Webサイトにアクセスしたユーザにウィルスを感染させるという方法(ドライブバイダウンロード攻撃)は今始まった目新しいものでなく、以前からあったものです。水飲み場攻撃がこれと違うのは、Webサイトを厳選することです。標的と定めた企業や、組織がよく利用するものを厳選して、そのサイトを改ざんして、罠を仕掛けますので、これも標的型の攻撃となります。ドライブバイダウンロード攻撃と比較すると、水飲み場攻撃は、標的となっている利用者以外にはウィルス感染しないため、攻撃が発覚しにくいという難しさがあります。
標的が頻繁にアクセスするWebサイトを調べるには、Webサイトに侵入して実際にアクセスログを盗み見るなどの方法で確認しているのではないかとみられています。
更新履歴
2016/08/08 作成 |
