セキュリティ
技術解説
連載 :
  狙われる日本企業 〜標的型攻撃の傾向と対策〜

標的型サイバー攻撃は防げる?

2012年3月13日(火)
蔵本 雄一
このエントリーをはてなブックマークに追加

4. 標的型サイバー攻撃の手法

<1.標的型サイバー攻撃の仕組み>で解説した通り、標的型サイバー攻撃では、標的型メールと呼ばれる、メールによる攻撃が初動となるケースが多くを占める。メールにマルウェアを添付して、標的となるクライアントに送りつけ、マルウェアに感染させるのである。この標的型メールは非常に感染率が高く、攻撃を防ぐ事はかなり難しい。なぜなら、標的型メールは、ユーザーによるメールの真偽判断力を鈍らせる仕組みがいくつも施されているからだ。従来の、メールを利用した攻撃では、文章が英語で記述してあり、内容は受信者とは関係の無い、突拍子も無い内容、添付ファイルはexeやvbsといった実行ファイルというのがお決まりだった。そのため、英語圏のユーザーならまだしも、日本のユーザーがメールを受信した際には、一目で怪しいと判断できるものが多かった。

次回以降の連載でより詳細な解説を行うが、標的型サイバー攻撃で使用される標的型メールは、日本語で記述してあり、内容も自組織に関係のある内容、添付ファイルはPDF、WORD、EXCELといった文書ファイルという、非常に紛らわしいメールである。標的型メールによる攻撃のゴールは、受信者による添付の文書ファイルを開かせ、マルウェアに感染させる事であるため、攻撃者は工夫を凝らし、とにかく受信者が思わず開いてしまうような、紛らわしい内容のメールで攻撃してくるのである。
図4:標的型メール

攻撃に対する考え方

さて、ここまで標的型サイバー攻撃の仕組みや手法等を解説してきたが、実は、攻撃に使用される標的型メールには、その対策を考える上で外せない、下記の二つの特徴がある。

  • 標的型メールによる攻撃の成功率は非常に高い
  • マルウェア対策ソフトによる検出はほぼ期待できない

それぞれの詳細を下記に解説する。

【標的型メールによる攻撃の成功率は非常に高い】

標的型サイバー攻撃の成功率の高さを証明する実験がある。内閣官房情報セキュリティセンターが、平成23年10月~12月に、政府職員約6万名に対して標的型メールを送り、開封率を測定した。2回の実験が行われ、1回目は10.1%、2回目は3.1%であった。標的型メールを開いてしまった場合は、標的型サイバー攻撃に関する教育ページへ誘導し、教育を受けさせる事で、2回目は開封率の低下につながり、3.1%という結果になったようだ。

ここで考えなければならない事がある。この3.1%という数字だ。なるほど、確かに開封率は下がった。しかしながら、この実験で考えると、約6万人が対象だったという事は、3.1%でも約1800人が開封している事になる。つまり、攻撃者から見た場合、標的となっている企業の中に、1800台の操作可能な端末が存在している事になる。これは、攻撃者にとっては大成功の数字と言えるだろう。
→参照:[報道資料] 政府機関における情報セキュリティ対策の取り組み状況について(PDF形式)

【マルウェア対策ソフトによる検出はほぼ期待できない】

標的型サイバー攻撃では、メールにマルウェアを添付して送付されると述べた。「それならメールサーバーにも、クライアントにもマルウェア対策ソフトをインストールしているから大丈夫だ」と思われる読者もいるかもしれないが、標的型攻撃に対して、マルウェア対策ソフトはほとんど役に立たないと考えて良い。なぜなら、標的型攻撃では、標的となる企業が使用しているマルウェア対策ソフトのベンダーを調査した上で攻撃が実施されるケースが多いため、攻撃者は作成したマルウェアを対象となるマルウェア対策ソフトで検査し、検出されない事を確認してから送りつければ良いのである。

また、標的型サイバー攻撃に使用されるマルウェアは、従来の、不特定多数に対して絨毯(じゅうたん)爆撃のようにばらまくマルウェアとは異なり、標的となる企業に対してのみ使用されるため、極端にサンプル数が少なく、マルウェア対策ベンダーが事前に入手して、定義ファイルを作成しておく事はかなり難しい。また、ヒューリスティックアルゴリズムに依存した検出では、検出したファイルが本当にマルウェアかどうかの事実確認が毎回必要になるため、ヘルプデスクの工数が上がってしまう。やはり、マルウェア対策ソフトでは効果的な対策は難しいと言えるだろう。

第1回まとめ

連載第1回目となる今回は、標的型サイバー攻撃の「仕組み」「目的」「対象」「手法」について解説したが、攻撃の特徴等を理解した上で、標的型サイバー攻撃を防ぐ事はほぼ不可能であるという認識を持っていただければ幸いである。標的型サイバー攻撃には、従来の攻撃のように、防ぐ事を前提とした対策は通用しない。防げないという前提に立って初めて効果的な対策が見えてくるのである。

実際の対策については、第3回で解説する事にし、第2回は、標的型攻撃で使用される脆弱性や実際の攻撃で使用されたメール、対策を考える際のアプローチに関して解説を行い、標的型サイバー攻撃に対する理解をより深めて頂こうと思う。

このエントリーをはてなブックマークに追加
情報漏えい / サイバー攻撃 / 標的型攻撃 / セキュリティ攻撃 / 機密情報 / マルウェア
著者
蔵本 雄一
日本マイクロソフト株式会社

CISSP、公認情報セキュリティ監査人。また、ISO27000系の策定を行う、SC27専門委員も勤める。 前職でアンチウイルスソフト等の開発に携わった後、Microsoft社のセキュリティエンジニアとして顧客環境のセキュリティ向上提案活動に従事。プログラミングやハッキング等の下流技術要素から、情報セキュリティ監査やコンサルティング等の上流要素まで、幅広く豊富な知識を活用した提案をおこなっている。その他、セミナー講師、イベントスピーカーや記事執筆等の活動も精力的にこなす。

連載バックナンバー

セキュリティ技術解説

標的型サイバー攻撃 10の対策

2012/3/27
続きを読む
セキュリティ技術解説

攻撃の詳細と対策の本質

2012/3/19
続きを読む
セキュリティ技術解説

標的型サイバー攻撃は防げる?

2012/3/13
続きを読む

Think ITメルマガ会員登録受付中

Think ITでは、技術情報が詰まったメールマガジン「Think IT Weekly」の配信サービスを提供しています。メルマガ会員登録を済ませれば、メルマガだけでなく、さまざまな限定特典を入手できるようになります。

Think ITメルマガ会員のサービス内容を見る

他にもこの記事が読まれています

全文検索エンジンによるおすすめ記事

Topへ戻る
Copyright © 2004-2024 Impress Corporation. An Impress Group Company. All rights reserved.