もっと身近にセキュリティ

よく聞くセキュリティ対策の重要性

2015年5月に日本年金機構がサイバー攻撃を受け、約125万件の年金情報が流出しました。事件の捜査が続けられてきましたが、2018年5月に不正指令電磁的記録供用容疑の公訴時効(3年)が成立し、犯人を特定できないまま捜査終結となりました。
(時事通信社:https://www.jiji.com/jc/article?k=2018052100102&g=soc

この事件は、日本年金機構の職員に対し、マルウェアを添付したメールを送り付け、マルウェアに感染したPCを踏み台にして情報を盗み出す、いわゆる「標的型攻撃」と呼ばれる攻撃手法が取られました。
本事件をきっかけに「標的型攻撃」が大きな注目を集めることとなり、情報処理推進機構(IPA)が毎年発表する情報セキュリティ10大脅威においても、2016年の発表以降3年連続で「標的型攻撃」が1位という結果となっています。

(IPA情報セキュリティ10大脅威:https://www.ipa.go.jp/security/vuln/10threats2018.html

今回は改めて標的型攻撃のフローについて説明します。ここではという攻撃者の行動モデルに従って標的型攻撃のフローを見ていきましょう。

 

No 項目 内容
1 偵察 ・SNSや掲示板サイトなどを用いて、組織や人物に関する情報収集
2 武器化 ・不正プログラムを作成する
3 配送 ・不正プログラムを添付したなりすましメールを送付
・本文に不正サイトのURLを記載したメールを送付
4 攻撃 ・ユーザにメール添付した不正プログラムを開かせ、実行させる
・ユーザにメール本文に記載した不正サイトに誘導し、ソフトウェアの脆弱性を突く
不正プログラムを実行させる
5 インストール ・不正プログラムの実行により、マルウェアに感染
6 遠隔操作 ・マルウェアとC&Cサーバを通信させて、感染PCを遠隔操作する。また、新たなマルウェアやツールをダウンロードする等により、感染拡大や内部情報の探索を試みる
7 目的達成 ・探し出した内部情報を加工(圧縮や暗号化等)した後、情報を持ち出す

一般的に標的型攻撃は上述の一連の流れが成功して初めて情報が外部に持ち出されると考えられています。逆に捉えると、どこか1箇所でも流れを失敗させることができれば、情報の持ち出しを防ぐことが可能です。

以下のセキュリティ対策を実施するようにルールが課されている企業/団体が多いかと思います。
(1)不審メールの添付ファイルやURLは開かない
(2)OS/ソフトウェアを最新版にアップデートする
(3)ウイルス対策ソフトをインストールし、定義ファイルを最新化する
(4)業務に関する情報をインターネットの掲示板サイトやSNS等にて公開しない

基本的な対策ですが、これらを実施することで、サイバーキルチェーンの「1.偵察」「4.攻撃」「5.インストール」の成功率を下げることに繋がります。

ということで、引き続き業務利用している情報機器の管理徹底をして行きましょう!