これは標的型攻撃の７割以上が、業務メールを偽装した「標的型攻撃メール」によって引き起こされている事が関連します。（参考：「最大のセキュリティ脅威「標的型攻撃」とは」）。
つまりOSやアプリケーションの脆弱性のような”システム的な穴”よりも、メールのリンクをすぐクリックしてしまう、メールの添付ファイルをすぐ開いてしまうようなITリテラシーの低い利用者が攻撃者に狙われるのです。

ITの進歩、普及と共に日常生活、企業活動へのIT利用も進んでいます。ただしその普及に全ての企業・組織、そして人が十分に追随できていない場合があります。特に日本は先進国の中ではIT後進国と揶揄されてしまうように、十分な認識がないままITに触れる方が多く存在しているのが実情です。

標的型攻撃の被害事例

ここでは「標的型攻撃」の事例を３つ挙げ、その攻撃手法と特徴を見ていきたいと思います。

事例１：日本年金機構（標的型攻撃メール）

日本における標的型攻撃の典型例としてよく参考にされる事例です。「標的型攻撃」という名称の認知度を上げた事例ではないでしょうか。

この事例では、業務メールを模した上でマルウェアが添付されたメール、いわゆる「標的型攻撃メール」が複数の職員宛に、執拗に送られています。
発生当時は「迷惑メールは文章が怪しい」という先入観がまだ残る頃でしたが、送られた標的型攻撃メールは実際の業務に関係する精巧な内容でした。加えて、最初の感染発覚後に職員間でメール内容についての情報共有が十分に行われなかったなど、事後の対策が十分ではなかったことが、感染が拡大した原因と言われています。

感染したマルウェアは当時猛威を奮った「Emdivi」と呼ばれるものです。Windowsの標準機能を利用して遠隔操作を行うマルウェアであり、複数のサーバで同一のアカウント／パスワードを使いまわしているとすぐに感染が拡大してしまいます。

組織内ネットワークの運用ポリシーも十分守られていませんでした。
　「個人情報を共有サーバに保存しない」
　「やむを得ず保存する場合にはパスワードをかける」
といった組織ルールが守られていなかったため、個人情報が保存されていた共有サーバまで感染が広がった結果、125万件にも及ぶ個人情報が流出する事態となりました。

「標的型攻撃メールに気づかずマルウェアに感染してしまった」「組織内の情報管理が甘かった」とシンプルにまとめられる事例ですが、同様の理由が原因の被害は後を絶ちません。

事例２：HPMC（ランサムウェア）

ロサンゼルスの医療機関「Hollywood Presbyterian Medical Center（HPMC）」において「ランサムウェア」の被害にあった事例です。
ランサムウェアは感染したPC内のファイルを暗号化して閲覧や実行を不可能にした上で、解除のための身代金を要求する金銭目的のマルウェアです。広義の標的型攻撃と見なすことができます。

この事例では、ランサムウェアに感染したPCでの業務ができなくなったことは元より、薬の処方箋や電子カルテやレントゲンといった直接の医療活動に必要な業務システムの多くが機能不全を起こしました。
当初はPCを用いない手法でかろうじて業務に対応していましたが、最終的に身代金を支払うことで暗号化を解除しました。身代金の額は当初約4億円相当でしたが、実際に支払った額は約200万円だったと説明されています。

医療機関のIT環境は、使用しているOS・アプリケーションを変更できないといった理由などから比較的セキュリティの強度が十分ではないこと、患者個人の医療情報といった極めて高度かつ重要な個人データを保有していることなどから、ランサムウェアによる攻撃に狙われやすい傾向があります。日本でも宇陀市立病院などがランサムウェアに被害にあい、業務に影響が発生した事例があります。

他にも電力やダムといった、ライフラインを担う、しかしIT的に古いシステムで維持されている事が多い環境が、こういった直接的な金銭狙いの攻撃を受けやすい傾向があります。
こういった古い環境の場合、運用ポリシーが不十分あるいは十分守られておらず、監視や追跡のためのログも十分確保されていない事が多いため、感染経路の解明すら困難な場合があります。

HPMCの事例では最終的に身代金を支払うことで暗号化を解除できました。ただし身代金を支払ってもさらなる金銭を要求される事例、あるいは身代金を払っても全く対応されない事例も多くあり、安易に身代金を支払わない方が良いと言われています。

事例３：三菱電機（APT型攻撃）

2020年1月に発表された、典型的な「APT攻撃」＝巧妙で執拗な攻撃の事例です。

この事例では、発覚する数年前から同社の中国拠点がマルウェアに感染していたと言われています。使用していたウィルス対策ソフトが抱えていた未修正の脆弱性を狙った「ゼロデイ攻撃」が行われ、ウィルス対策管理サーバを乗っ取られています。

乗っ取られたウィルス対策管理サーバのアップデート機能が悪用され、各クライアントPCにマルウェアが配布されて感染が広がります。そしてそのPCのうち日本の本社にアクセスできるPCを経由して、今度は日本国内のウィルス対策ソフト管理サーバを乗っ取られ、中国拠点と同様の手法で管理下にあるPC、サーバにマルウェアが配布されます。
乗っ取られたPC、サーバにあった個人情報、機密情報などが特定のPCに集められ、外部に送信されたと見られています。

この事例で厄介なのは、「発覚されにくい」方法で行われたことです。
ウィルス管理ソフトから配布されたマルウェアは、不正な実行ファイル（exeファイル等）が動作するものではなく、PowerSherllなどのOS標準の機能を操作して攻撃を行うタイプのマルウェアでした。この種のマルウェアは「ファイルレスマルウェア」と呼ばれ、ウィルス対策ソフトで攻撃を検知するのが非常に困難という特徴があります。
また、攻撃の痕跡を隠すために主要な操作のログを消去していたため、最終的な被害範囲の確定が不可能でした。

また、攻撃の起点となったのが、利用者にとっては”安全”であるはずのウィルス対策管理サーバだったことが被害が広がった原因の１つです。利用者が集まるサイトを改竄して攻撃を広げる「水飲み場型攻撃」の１種と見ることができます。

この事例では、上述のような脆弱性を狙ったゼロデイ攻撃、水飲み場型攻撃、ファイルレスマルウェア、ログの消去といった複数の手段をもって、極めて慎重かつ執拗に攻撃が行われています。やや語弊はありますが、中国拠点を経由して日本本社を狙ったサプライチェーン攻撃と見ることもできます。

事例から考える回避方法

これらの事例を教訓に、どういった対策を取れば被害を回避することができるでしょうか。

運用ポリシー

まずは適切な運用ポリシーを定め、確実に運用することが必要です。その中でOSやアプリケーションを最新に保ち、既知の脆弱性に対する攻撃を受けにくい環境を保つことが対策の基本になります。

高度な攻撃への備え

しかし、執拗な攻撃に対して全く隙を見せないことは困難です。ゼロデイ攻撃を避ける事は難しく、また安全なつもりの更新ファイルが水飲み場型攻撃で汚染されていた場合、見分けるのは非常に困難です。
こういった状況を想定し、「万一攻撃を受けた」ではなく「攻撃を受けることを前提とした」環境作り、いわゆる「ゼロトラストネットワーク」の構築が昨今重要と言われています。
ネットワークの常時監視や厳密なID管理、デバイス管理などが当たりますが、シンプルなところでは内部システムであってもパスワードを十分長く汎用性の低いものにする、サーバやシステム間で同一のパスワードを用いない、不要なネットワーク共有を行わない、用途に応じてネットワークを分離するといった、従来の手段の延長で可能な対策も多くあります。
ランサムウェアに対しては別メディアへのバックアップが復旧の要となるでしょう。

標的型攻撃メールへの備え

標的型攻撃の多くは、マルウェアなどの悪意のあるファイルを添付した「標的型攻撃メール」から始まります。
標的型攻撃メールの多くは、システム的な脆弱性よりもITリテラシーの低い利用者をターゲットとします（参考：標的型攻撃メールとは？標的型攻撃の脅威から資産を守るために）。USBメモリなどの可搬性の高いメディアを経由する場合も同様と言えるでしょう。
まずは教育によるITリテラシーの底上げを行い、「マルウェアに感染しない」ことを目指すべきです。そのためには擬似的な標的型攻撃メールを実際に送信し、その前後の対応を体感する「標的型攻撃メール訓練」を実施することが効果的です。訓練を実施する事で運用ポリシーが適切に守られているか把握することもできます。

まとめ

標的型攻撃の発生件数は年々増加傾向にあり、今後も被害の増加や新たな攻撃手段の発生が予想されます。また規模の大小、種類を問わずどのような企業・組織でも攻撃の対象になる恐れがあります。

まずは基本的な対策を確実に固めて被害を受ける確率を低減することが重要であり、特に真のエンドポイントと言うべき「人」の教育が不可欠です。

アクモスでは、擬似的な標的型攻撃メールを送信して標的型攻撃の流れを実践的に学ぶ事ができる複数の訓練ソリューションをご用意しております。まずは2ヶ月間無料で体験できる“Freeプラン”をご利用いただき、訓練体験を通じて組織のセキュリティ意識改革に取り組んでみてはいかがでしょうか。

標的型攻撃による被害事例と取りうる回避策は