標的型サイバー攻撃の手口とは?

ランサムウエアに代表されるマルウエア感染、そしてインターネットバンキングのID、パスワードを盗まれたり、重要な情報を盗まれる情報漏洩。サイバー攻撃者はどのようにしてこれらを仕掛けてくるのかというとそのほとんど、9割はメールに添付した不正ファイルをクリックして開いたことから引き起こされています。マルウエア感染も、情報漏洩もきっかけは同じなのです。

このブログを今、読まれている方はそんな怪しいメールのファイルなんて開かないとお思いかもしれません。しかし標的型メールと呼ばれる種類のメールは実に巧妙に作られており、実際、セキュリティ関連の企業に勤める社員向けにテストしても見事に引っかかってしまうことも珍しくありません。実際に存在し、普段から取引している相手のメールアドレスに偽装して送ってくるメールや、社内の他の部署の人間を装って来たりします。標的型メールにURLを記載させ、攻撃者が用意したサイトに誘導させる手口もありますがこちらは全体の1割程度です。

そのようにして一度、組織内のネットワークに侵入した不正プログラムを使い、攻撃者はさらに、管理者権限を盗み出そうとします。これは正規ツールや標準コマンド、正規通信を悪用することで、検知を逃れようとするためです。
不正プログラムが外部のC&Cサーバーに堂々と通信すると、セキュリティ対策をしていればUTMなどがその動きを検知するのでそれの裏をかこうとするわけです。

つまり一度、不正プログラムの侵入を許してしまうとその動きを監視だけでつかもうとするのは困難となります。繰り返しになりますがあくまでも正規の動きに映ってしまうので見分けがつきません。

【対策は?】
攻撃者の目的は、あくまでも標的となった企業の重要データ奪取にあります。であれば、不審な外部通信を監視することは最も重要です。

・まずスパイウエアやトロイの木馬をネットワーク内に侵入させない対策を強化する
(具体的にはOSやアプリケーションの脆弱性をつぶしておく)
・「通信先」「通信内容」の両面から社内端末と外部との不正な接続を監視し、遮断できるソリューションを導入する
・通常よりも挙動がおかしくないかあらゆる通信を監視する
・ネットワーク、クライアントデバイス、そして人的教育と多層防御の概念で対策する。

これら対策を導入をお考えの場合は上記ポイントを念頭に置いていただけるとよろしいかと思います。




<