高度化・巧妙化するサイバー脅威の中でも特に深刻な脅威とされているのが「標的型攻撃(Targeted Attack)」です。これは単なる無差別な攻撃とは異なり、特定の企業や組織を狙って綿密に計画される攻撃であり、重要情報の窃取や業務妨害を目的とするものです。日本国内においても大企業を中心に多くの被害が報告されており、情報セキュリティ担当者にとっては無視できない課題となっています。
本記事では、標的型攻撃の定義、特徴、主な攻撃手法、国内外での事例、そして企業としてどのような対策を講じるべきかについて詳しく解説いたします。
目次
標的型攻撃とは?その概要
標的型攻撃とは、特定の企業や団体、政府機関などを標的として、事前に情報収集を行い、対象に最も効果的な手段を用いて侵入を試みる攻撃の総称です。攻撃者は、目的達成のために長期間にわたり計画を練り、攻撃に必要な技術・手段を選択します。
この種の攻撃は、APT(Advanced Persistent Threat:高度で持続的な脅威)と深く関係しています。APTは、高度な技術力と継続的な侵入を特徴とし、国家や大規模犯罪組織が関与しているケースも少なくありません。
標的型攻撃の目的と背景
標的型攻撃の根本的な目的は、対象となる組織から機密性の高い情報を盗み出すことにあります。例えば、技術情報や顧客情報、経営戦略、研究開発データ、防衛関連情報などが典型的な標的です。これらの情報は、攻撃者にとって金銭的価値があるだけでなく、政治的・軍事的・産業的な優位性を得るための手段として利用されることがあります。
このような攻撃が行われる背景には、サイバースペースのグローバル化と、情報技術の進展があります。かつては物理的に保管されていた機密情報も、現在ではネットワーク上に蓄積・共有されることが多くなり、それに伴ってサイバー空間が新たな戦場と化しています。
さらに、国家間の競争や経済的な利害対立も攻撃の動機となり得ます。たとえば、新興国が先進国の先端技術を不正に取得し、自国の産業振興に活用するケースや、軍事的な情報収集を目的とした攻撃も確認されています。
実際、日本企業に対する標的型攻撃において、後述のように中国の関与が指摘される事例は少なくありません。
また、ソニー・ピクチャーズ・エンタテインメント(SPE)が映画『ザ・インタビュー』の公開に関連し、北朝鮮が関与したとみられる攻撃を受けたこともあります(後に米連邦捜査局:FBIによって断定)。
こうした国家主導型の標的型攻撃は、特定のAPTグループが長期間にわたり潜伏し、非常に高度かつ組織的に行動することが特徴です。
一方で、民間のサイバー犯罪組織が金銭的利益を目的として標的型攻撃を行うケースもあります。これには、ランサムウェアを用いて企業の業務を停止させ、復旧のための身代金を要求する手口などが含まれます。この場合、ターゲットとなるのは、比較的セキュリティが脆弱で、かつ支払い能力があるとみなされた企業です。
このように、標的型攻撃の背後には、国家的思惑、経済的動機、技術的優位性の確保など、さまざまな要因が複雑に絡み合っています。そのため、情報セキュリティ担当者は単に技術的対策にとどまらず、地政学的リスクや業界動向も視野に入れて脅威を分析・対応していく必要があります。
他のサイバー攻撃との違い
標的型攻撃は、従来のマルウェアやフィッシング詐欺とは異なり、ランダムな不特定多数に向けた攻撃ではなく、特定のターゲットに対してピンポイントで攻撃を仕掛ける点が特徴です。例えば、スパムメールによる一般的なフィッシング攻撃は、多数の受信者に対してメールをばらまくことで被害者を増やす手法です。一方、標的型攻撃では、対象企業の業務内容や組織構成、関係者の人間関係などを事前に調査し、それに基づいて攻撃メールやマルウェアが精緻に作り込まれます。
また、攻撃の成功後も目的達成まで静かに情報を収集し続ける傾向があり、被害が発覚するまでに数ヶ月から数年を要するケースもあります。
標的型攻撃の主な種類や手口
標的型攻撃には以下のような種類があります。
- スピアフィッシング(Spear Phishing): 特定の個人や部署を対象にしたフィッシング攻撃。メールの文面や差出人情報が巧妙に偽装されており、受信者が正規の連絡と誤認しやすい。標的型攻撃メールとして利用されることが多い
- 水飲み場型攻撃(Watering Hole Attack): 標的が頻繁に訪れるWebサイトにマルウェアを仕掛け、そこから感染させる手法。
- サプライチェーン攻撃: 標的企業そのものではなく、その取引先や外部委託先を経由して侵入する方法。SolarWinds事件(2020年)が有名な例。
- エクスプロイト攻撃: 対象企業のシステムやソフトウェアの脆弱性を突いて侵入する攻撃。
攻撃事例
標的型攻撃の脅威は、すでに実際の攻撃となって被害をもたらしています。
海外の代表的な例としては、2020年に発生した米国のSolarWinds事件が挙げられます。これはIT管理ツール「Orion」にマルウェアが仕込まれ、約18,000社以上の顧客が影響を受けた大規模なサプライチェーン攻撃です。被害には米国政府機関や大手企業が含まれ、国家的なサイバースパイ活動の可能性も指摘されました。
また、2009年のGoogle Aurora事件も有名です。中国からの攻撃とされ、GoogleやAdobeなど複数の米企業がターゲットとなりました。攻撃者はInternet Explorerのゼロデイ脆弱性を悪用し、知的財産情報を狙ったとされています。
日本国内に目を向けると、2020年に三菱電機が被害に遭った事件が記憶に新しいでしょう。社内ネットワークへの不正アクセスにより、防衛関連情報や取引先の情報が漏洩した可能性があるとされ、中国のAPTグループによる攻撃と推定されています。同様に、NECも2016年以降に防衛関連部門が攻撃を受け、複数年にわたり不正アクセスが継続されていたことが後に判明しました。この事例では、システムへの初期侵入や早期の内部感染の拡大を検知することができませんでした。
JAXAへのサイバー攻撃
さらに2016年には、JAXA(宇宙航空研究開発機構)が標的型攻撃を受け、衛星関連の機密情報が狙われた可能性が報告されました。中国系APTグループが関与していたとされており、国家規模での情報収集活動が示唆されています。このように、日本の主要企業も標的型攻撃の脅威に常に晒されています。
日本無線株式会社へのサイバー攻撃
日本無線株式会社の社員アカウントが的型攻撃メールの配信の踏み台にされていた事を発表しました。侵害された従業員アカウントも取引先を語るメールからアカウントを侵害されているので、標的型攻撃メールの可能性が高い事例です。
富士通へのサイバー攻撃
2024年3月15日、富士通の業務パソコン1台にマルウェアが蔵置された後、当該パソコンを起点に他の業務パソコンに影響を広げるマルウェアの挙動が確認されています。
このマルウェアはランサムウェアではなく、様々な偽装を行って検知されにくくするなど高度な手法によって攻撃を行う類のものであり、発見が非常に困難な攻撃であったことが判明しました。
標的型攻撃の対策
標的型攻撃への有効な対策は、多層的なセキュリティ対策と社内教育の両輪で成り立ちます。まず技術的な観点からは、以下のような基本的な対策を行うことが重要です。
・エンドポイント保護の強化(EDRの導入)
・通信ログの常時監視と異常検知
・多要素認証の導入
・脆弱性管理とパッチの迅速な適用
・メールフィルタリングとサンドボックスによる隔離
加えて、従業員に対する啓発と訓練が不可欠です。フィッシング模擬訓練や、標的型メールの見分け方のeラーニングなどを継続的に実施することで、リスクの低減が可能となります。
また、万が一侵入が発生した場合でも被害を最小限に抑えるために、インシデント対応体制の整備が重要です。迅速な検知・対応・復旧の流れを明確にしておき、訓練通りに対応することが求められます。CSIRT(Computer Security Incident Response Team)を組織するか、外部ベンダーと連携しインシデントレスポンスの体制を整えると効果的です。
なお、標的型攻撃の高度化と巧妙化を受けて、従来の境界型セキュリティモデル(社内=安全、社外=危険)では防御が難しくなってきています。こうした背景から「ゼロトラスト・セキュリティ(Zero Trust Security)」の導入も検討すべきです。ゼロトラストの導入には時間とコストがかかるため、すべての企業が一度に導入できるわけではありません。しかし、ゼロトラストは、もはや単なる技術的トレンドではなく、標的型攻撃から自社を守るための基盤として、多くの企業が採用を進めるべきアプローチです。
まとめ
標的型攻撃は、巧妙かつ長期的に実行されることから、防御の難易度が非常に高いサイバー攻撃です。しかし、正しい知識と計画的な対応により、リスクを大幅に軽減することが可能です。技術的対策に加えて、経営層の理解と社内文化の変革が求められる時代です。
今後も標的型攻撃は進化を続け、AIやディープフェイクなどの新たな技術が悪用されるリスクもあります。情報セキュリティ担当者としては、常に最新の動向を把握し、柔軟かつ強固なセキュリティ体制を築くことが求められています。
とは?概要や種類、事例を解説-200x200.webp)
