セキュリティの
学び場

標的型攻撃とは

標的型攻撃は攻撃対象と攻撃目的を定め、高度な技術を駆使するタイプの攻撃を指します。攻撃対象となる組織のメンバーにフィッシングメールやウイルスを送付することから開始するパターンが典型的ですが、それに限らず、高度で多様な攻撃が執拗かつ段階的に繰り返されることが特徴です。

このような特徴から、たとえファイアウォールやその他のセキュリティ製品でシステムへのアクセスを制御していても、あるいは顕著な脆弱性が検出されない場合でも侵入されてしまうことがあります。これといって脆弱性が見つかっていないにも関わらずシステムが侵害されるというのは、脆弱性悪用を前提としたその他の攻撃手法と比較して大きな脅威と言えます。

昨今の標的型攻撃の同行

IPA（独立行政法人 情報処理推進機構）によりますと、J-CSIP（サイバー情報共有イニシアティブ）※１への情報提供件数のうちメールやウイルス検体などから標的型攻撃とみなされたものは、運用開始の2012年度からほぼ毎年100件以上あります（2015年度のみ97件で100件を下回る）。多い時では年間500件を超えています。これらは提供された情報からの件数ですので、実態はもっと多くの企業・組織に標的型攻撃が行われていることでしょう。

2021年4月28日付けのJ-CSIPのレポート※２では、日本国内の特定業界や組織を狙った標的型攻撃メールの提供件数は直近では減少傾向が見られるものの、手口を変えた標的型攻撃が依然として継続している旨が報告されています。

メールを発端とするもの以外での攻撃としては、VPN装置や特定のサーバ製品の脆弱性の悪用を狙った攻撃や海外拠点を狙った攻撃が見られるとのことです。

ＡＰＴと標的型攻撃の違い

セキュリティ業界でも両者の定義に差異がみられ、（意図してか）混同して説明されることもあります。攻撃アクターが国家であることをAPTの定義として説明するケースもあります。しかし以前APTの説明記事で触れた通り、国家の支援が確認できない活動グループも現れ始めているため確定的な定義として定着するかは分かりません。

なかには、目的によって分類した説明も見受けられます。例えば、「標的型攻撃は主に金銭的利益を追求するのに対して、APTはそうとは限らず政治的な背景を持った目的を追求する」などの説明が挙げられます。これも前述の記事で述べましたが、経済的な利益を目的としたAPT活動やグループが見られるため、明確な区別は困難です。

APTは一連の攻撃活動の中で様々な攻撃手法・活動形態を取ることから、標的型攻撃はAPTの活動の中でよく採用される手法の一つと考える事ができます（もちろん、APT認定されていない個人やグループのサイバー犯罪にも標的型攻撃の手法を取るものがありえます）。

標的型攻撃への対策

前述のように標的型攻撃はAPTと同様に多様な攻撃手法を展開します。そのため対策もまたシステム全体を見渡して、ある程度の侵入を前提にした多段的な実装をしていく必要があります。

冒頭で述べた通り、ウイルス添付のメールや特定組織所属の人間を狙ったフィッシングメールなどを送付する攻撃がよく見られます。ファイアウォールなどの境界防御だけでこうした攻撃からシステムを保護することは困難です。メールの送受信の監視や従業員端末に対するエンドポイントセキュリティの導入、保護したいシステム内部の通信監視など、網羅性高く多岐に渡った対策が必要になります。

しかし、すべての対策を実行するには大変な費用と労力がかかります。そのため、守りたい情報や資産の価値を検討して、優先順位を明確にしながら対策を実施することが大事です。また、クラウドサービスなどのマネージドサービスや資産管理サービスを活用することで、一定のスコープのセキュリティを外部委託する形で合理化を図ることも今後ますます重要になってきます。