特定の組織や個人を狙って入念に準備して行うサイバー攻撃。
標的型攻撃とは、特定の組織や個人を狙いと定め、相手をよく調べたうえで入念に準備して行うサイバー攻撃のことです。「標的(target)=狙う相手」を1つに絞り込むのが大きな特徴です。
身近な例で考えると、不特定多数にチラシをばらまく宣伝ではなく、「あなただけ」を狙う特殊詐欺に似ています。事前に相手の状況を調べ、信じてしまいそうな話を用意して近づいてくるイメージです。
ウイルスを無差別にばらまく従来の攻撃と違い、標的型攻撃は目的の組織にだけ通用するように作り込まれているため、見破りにくく被害も深刻になりがちです。上の図解のように、攻撃者は狙った1社に対して時間をかけて攻撃を仕掛けます。
標的型攻撃は、おおむね次のような段階を踏んで進みます。
・①事前調査:標的の組織や担当者、取引先、使っているシステムなどを下調べする
・②初期侵入:業務に関係するように装ったメール(標的型メール)の添付やリンクでマルウェア(=悪意のあるソフトのこと)を開かせる
・③潜伏・横展開:気づかれないよう端末にひそみ、社内の別の端末やサーバへと侵入を広げる
・④目的達成:機密情報を外部へ持ち出す、またはシステムを破壊する
とくに③の潜伏が標的型攻撃らしい点です。すぐに暴れず、数か月から数年という長期間にわたって静かにひそみ、組織の奥にある本当に価値のある情報を狙います。
上の図解は、調査から情報の持ち出しまでの一連の流れを表しています。段階を踏んでじわじわ進むため、途中の一つでも気づければ被害を食い止めるチャンスになります。
標的型攻撃は入口を1つ守るだけでは防ぎきれないため、複数の層で守る「多層防御」が基本です。
・入口対策:不審なメールの添付やリンクを安易に開かないよう従業員を教育し、メールやファイルを検査する
・内部対策:侵入されることを前提に、社内の不審な通信や挙動を監視して早く気づく
・出口対策:外部への情報の持ち出しを検知・遮断する
あわせて、OSやソフトを最新に保ち脆弱性(=攻撃に使われる弱点)をふさぐこと、重要な情報へのアクセス権を必要な人だけに絞ることも効果的です。
ポイントは「侵入を完全には防げない」前提で備えることです。家のカギ(入口)だけでなく、室内に防犯センサー(内部監視)を置く発想と同じで、入られた後に素早く気づける仕組みが被害を小さくします。
標的型攻撃が見破りにくい最大の理由は、攻撃の内容を受信者の組織・業務・人間関係に合わせて作り込んでいる点です。不特定多数に同じ文面を送るばらまき型と違い、「この人だけ」に刺さるように仕立てます。
攻撃者が事前に調べる情報の例を挙げると次のようなものがあります。
・担当者の名前・役職・業務:「〇〇様、先日の件でご連絡です」と実名で書く
・取引先・上司の名前:「△△社の山田と申します」のように信頼できる相手を名乗る
・普段のメールの文体や話題:業務上ありそうな話題で自然な文章にする
このように「なぜ不審に思わないのか」の理由が意図的に取り除かれているため、受け取った人が「あやしい」と気づくことが非常に難しいのです。身近な例では、知り合いから「先日話した件のファイルです」と送られてきたら、ほとんどの人は開いてしまうでしょう。それを意図的に作り出しているのが標的型攻撃の怖さです。
| 項目 | ばらまき型 | 標的型 |
|---|---|---|
| 狙う相手 | 不特定多数 | 特定の1組織・1人 |
| 準備 | 少ない(同じ文面を大量送信) | 多い(組織を調べて個別に作成) |
| 見破りやすさ | 比較的気づきやすい | 非常に気づきにくい |
| 被害の深刻さ | 広範囲だが浅い | 範囲は狭いが深刻・長期的 |
| 目的 | 金銭詐欺・広告クリックなど | 機密情報の窃取・スパイ活動 |
ばらまき型は「数撃ちゃ当たる」戦略で、コストが低い代わりに1件あたりの成功率も低いです。一方、標的型は1組織を徹底的に狙うため準備コストは高いですが、見破りにくく被害が深刻になります。前者は迷惑メールフィルタで大半は弾けますが、後者は個別に作り込まれているためフィルタをすり抜けることも多く、「入口で完全に止める」ことが難しいのがポイントです。