FE EXAM

標的型攻撃(特定の相手を狙い撃つ攻撃)

特定の組織や個人を狙って入念に準備して行うサイバー攻撃。

DIAGRAM
攻撃者
標的の組織
盗まれる情報
特定の組織を狙い、調査から侵入・潜伏・情報持ち出しまでを段階的に進める👤攻撃者狙いを定めて準備標的型メール標的の組織侵入された端末マルウェア潜伏横展開機密サーバ機密情報気づかれないよう長期間ひそかに潜伏する機密情報を外部へ持ち出し
解説

📌
標的型攻撃とは

狙いを1つに絞って入念に準備する攻撃者下調べ特定の組織これだけを狙う

標的型攻撃とは、特定の組織や個人を狙いと定め、相手をよく調べたうえで入念に準備して行うサイバー攻撃のことです。「標的(target)=狙う相手」を1つに絞り込むのが大きな特徴です。

身近な例で考えると、不特定多数にチラシをばらまく宣伝ではなく、「あなただけ」を狙う特殊詐欺に似ています。事前に相手の状況を調べ、信じてしまいそうな話を用意して近づいてくるイメージです。

ウイルスを無差別にばらまく従来の攻撃と違い、標的型攻撃は目的の組織にだけ通用するように作り込まれているため、見破りにくく被害も深刻になりがちです。上の図解のように、攻撃者は狙った1社に対して時間をかけて攻撃を仕掛けます。

📌
攻撃の流れ

①調査②侵入③潜伏④持出し段階を踏んで目的の情報にたどり着く

標的型攻撃は、おおむね次のような段階を踏んで進みます。
①事前調査:標的の組織や担当者、取引先、使っているシステムなどを下調べする
②初期侵入:業務に関係するように装ったメール(標的型メール)の添付やリンクでマルウェア(=悪意のあるソフトのこと)を開かせる
③潜伏・横展開:気づかれないよう端末にひそみ、社内の別の端末やサーバへと侵入を広げる
④目的達成:機密情報を外部へ持ち出す、またはシステムを破壊する

とくに③の潜伏が標的型攻撃らしい点です。すぐに暴れず、数か月から数年という長期間にわたって静かにひそみ、組織の奥にある本当に価値のある情報を狙います。

上の図解は、調査から情報の持ち出しまでの一連の流れを表しています。段階を踏んでじわじわ進むため、途中の一つでも気づければ被害を食い止めるチャンスになります。

📌
対策

入口対策教育・検査内部監視不審通信出口対策持出し検知複数の層で守る「多層防御」

標的型攻撃は入口を1つ守るだけでは防ぎきれないため、複数の層で守る「多層防御」が基本です。
入口対策:不審なメールの添付やリンクを安易に開かないよう従業員を教育し、メールやファイルを検査する
内部対策:侵入されることを前提に、社内の不審な通信や挙動を監視して早く気づく
出口対策:外部への情報の持ち出しを検知・遮断する

あわせて、OSやソフトを最新に保ち脆弱性(=攻撃に使われる弱点)をふさぐこと、重要な情報へのアクセス権を必要な人だけに絞ることも効果的です。

ポイントは「侵入を完全には防げない」前提で備えることです。家のカギ(入口)だけでなく、室内に防犯センサー(内部監視)を置く発想と同じで、入られた後に素早く気づける仕組みが被害を小さくします。

📌
なぜ見破りにくいのか

👤攻撃者入念な下調べ・組織の担当者名・業務内容・取引先・上司の名前・普段のメール文体この組織だけに通用する本物そっくりのメール

標的型攻撃が見破りにくい最大の理由は、攻撃の内容を受信者の組織・業務・人間関係に合わせて作り込んでいる点です。不特定多数に同じ文面を送るばらまき型と違い、「この人だけ」に刺さるように仕立てます。

攻撃者が事前に調べる情報の例を挙げると次のようなものがあります。
担当者の名前・役職・業務:「〇〇様、先日の件でご連絡です」と実名で書く
取引先・上司の名前:「△△社の山田と申します」のように信頼できる相手を名乗る
普段のメールの文体や話題:業務上ありそうな話題で自然な文章にする

このように「なぜ不審に思わないのか」の理由が意図的に取り除かれているため、受け取った人が「あやしい」と気づくことが非常に難しいのです。身近な例では、知り合いから「先日話した件のファイルです」と送られてきたら、ほとんどの人は開いてしまうでしょう。それを意図的に作り出しているのが標的型攻撃の怖さです。

📌
ばらまき型との違い

ばらまき型:不特定多数に同じ攻撃攻撃者対象対象対象対象対象対象標的型:1つの組織に絞って入念に準備攻撃者標的
項目ばらまき型標的型
狙う相手不特定多数特定の1組織・1人
準備少ない(同じ文面を大量送信)多い(組織を調べて個別に作成)
見破りやすさ比較的気づきやすい非常に気づきにくい
被害の深刻さ広範囲だが浅い範囲は狭いが深刻・長期的
目的金銭詐欺・広告クリックなど機密情報の窃取・スパイ活動

ばらまき型は「数撃ちゃ当たる」戦略で、コストが低い代わりに1件あたりの成功率も低いです。一方、標的型は1組織を徹底的に狙うため準備コストは高いですが、見破りにくく被害が深刻になります。前者は迷惑メールフィルタで大半は弾けますが、後者は個別に作り込まれているためフィルタをすり抜けることも多く、「入口で完全に止める」ことが難しいのがポイントです。

練習問題

🎯
基本情報技術者 練習問題

Q1.標的型攻撃の説明として最も適切なものはどれか。
A.特定の組織や個人を狙い、入念に準備して行う攻撃
B.不特定多数に同じ内容のメールを大量にばらまく攻撃
C.ファイルを暗号化して身代金を要求する攻撃
D.回線を太くしてサービスを高速化する手法
Q2.標的型攻撃の初期侵入でよく使われる手口はどれか。
A.業務に関係するように装ったメールの添付ファイルやリンク
B.正規の更新プログラムによる自動アップデート
C.データを定期的にバックアップする作業
D.社内会議で配布される議事録
Q3.標的型攻撃への対策として適切でないものはどれか。
A.不審なメールの添付やリンクを安易に開かないよう教育する
B.侵入を前提に、内部の不審な通信を監視する
C.OSやソフトを最新に保ち脆弱性をふさぐ
D.一度ファイアウォールを置けば追加の対策は不要と考える

関連コンテンツ