PR/BLOG

広報・ブログ

セキュア de GO! #8 標的型攻撃とAPT攻撃

加藤さん

はじめまして。技術開発推進部の加藤です。
好きなクレヨンしんちゃんの映画は暗黒タマタマ大追跡です。
今回は標的型攻撃とAPT攻撃について紹介していきたいと思います。

標的型攻撃

皆さんは、どのような時にサイバー攻撃を受けると思いますか?
英文だらけの怪しいスパムメールの添付ファイルを開いた時?
掲示板に記載された怪しいURLをクリックして変なWebページを開いてしまった時?
もちろん、そういった無差別にユーザーを対象とした攻撃が多いのは確かですが、それよりも恐ろしい攻撃があります。
あなたが所属する組織だけをターゲットにした攻撃です。
これは標的型攻撃と呼ばれているサイバー攻撃で、メールも日本語、添付ファイルの名前も辻褄が合っている場合が多く、
普段スパムメールに気をつけている人でも開いてしまう可能性が高いです。
さらにたちの悪い場合、最初の数回は業者のふりをしてメールをやり取りし、相手が油断したところを見計らって、
マルウェア(不正なプログラム)の感染リスクのある添付ファイルやWebページを送りつけてくる場合もあります。
これはスピア型フィッシングと呼ばれている手法で、誰かが餌に引っかかるのを待つフィッシングとは違い、
スピア(銛)を使った漁のように、標的を定めて行われるフィッシングのことです。
あなたの取引先や上司の情報を手に入れ、その名を語って攻撃してくる場合もあります。
標的型攻撃の種類には、他にも水飲み場型攻撃といったものもありますので、興味のある方は検索してみてください。

 

攻撃を受けたぞ!

もし、そのファイルを開いてしまったり、URLをクリックしてしまったら、どんなことが起こるでしょうか。(以下、あくまで一例です)
ファイルやwebページを開いた時点では何も問題ないように思えるかもしれません。
空のファイルだったり、リンク切れと表示が出るwebページだったり。
しかし、それを開いた瞬間、見えないところでプログラムが実行され、端末内に不正なプログラムが仕込まれます。
この悪意を持ったプログラム(マルウェア)には様々なものがありますが、
その中のひとつに、ネットワークの裏口(バックドア)を設置するものがあります。
パソコンをクラッシュさせるものや、ファイルを読み込めなくするものだと、直ぐ気付けるかもしれませんが、
バックドアの設置は直ぐに気が付けない場合が多く、攻撃者は後々ゆっくりとその扉を使って侵入してきます。
パソコンの遠隔操作、情報の窃取/改ざん、破壊など様々なことがやられてしまうかもしれません!
しかし、遠隔操作されたとしても、パソコン内に攻撃者が危険を犯してまで手に入れたい重要な情報を置いてなかったり、
それらのファイルにアクセスする権限をキチンと管理してたり、
その端末からじゃアクセス権限のないネットワークにファイルを置いていたとします。
攻撃者はその端末内で悪さをしようにも、大したことは出来ません。
攻撃者はハズレ端末を引いたので、そのまま撤退してくれるでしょうか。

 

そしてAPT攻撃へ

APTはAdvanced Persistent Threatの略で「高度で執拗な驚異」を意味します。
標的型攻撃によって対象の端末にバックドアを仕掛けることに成功した攻撃者は、
以下のプロセスによって、より深部のデータにアクセスを試みます。

  • ①Establish Foothold(拠点確立):バックドアとの通信を確立し、追加機能を投入します
  • ②Escalate Privileges(権限昇格):パスワードを割り出し、上位権限を手に入れます
  • ③Internal Reconnaissance(内部偵察):ネットワークを偵察し、情報を集めます
  • ④Move Laterally(水平展開):ネットワーク内の別端末やサーバに移動します
  • ⑤Maintain Presence(存在維持):移動先にバックドア等を仕掛け、中継地点にします
  • ④と⑤を繰り返します。
  • ⑥Complete Mission(任務遂行):見つけ出した情報を盗み出します

攻撃者は以上の手順を、目的を達成するまで何度も執拗に攻撃を仕掛けてきます。
APT攻撃の代表的な例に、2010年のgoogleに対して行われたオーロラ作戦、2015年の日本年金機構へのサイバー攻撃があります。
日本年金機構への攻撃は、職員に「『厚生年金基金制度の見直しについて(試案)』に関する意見」というタイトルでメールが送られてました。
その端末に重要な情報を保存してはいなかったにも関わらず、添付ファイルを開いたことが発端のひとつで、
APT攻撃によりネットワークの深部まで潜り込まれ、125万件の個人情報が流出してしまいました。

 

おわりに

もちろん、攻撃者が絶対的に悪いのは間違いありません。
しかし、ネットワークの性質上、犯人が特定しにくい、
データが流出してしまったら回収することが不可能などという点がありますので、
防衛をしっかりすることに越したことはありません。
そのためにも、ネットワークの専門家の意見をいてインフラの構築してくのはもちろんですが、
インフラに関わらないユーザーも、自分の行動がトリガーになってしまわないよう、
見に覚えのないメールの添付ファイルやURLは絶対に開かないよう心がけましょう。

  • 当ページの人物画像はNIGAOE MAKERで作成しました。
一覧に戻る
2020年4月14日
ゆりちゃん

技術開発推進部ゆりちゃんからのお願い顔マークを押して、技術ブログの
感想をお聞かせください^^