標的型メール攻撃とは
メールを用いて特定の組織や人の情報を搾取する諜報活動として「標的型メール攻撃」が増加しています。攻撃の対象は全業種に渡り、金融機関も例外ではありません。
NRIグループの、NRIセキュアテクノロジーズが行った調査では、「標的型攻撃を経験したことがある」と回答した企業は全体の20.7%、このうち「過去1年以内に経験」は82.9%に上り、30.7%の企業では「これまでに受けた標的型攻撃による実被害」がありました。
標的型メール攻撃とは
昨今の犯罪者は、サイバー攻撃をビジネスとして行っており、目標を達成するために高度なハッキングを行ってきます。その攻撃は、組織で実施してきたセキュリティ対策(ファイアウォールやウイルス対策ソフトの導入、脆弱性対策など)をすり抜け、従来のインターネットからの攻撃では到底到達できなかった組織の深部で管理している重要な情報(顧客情報や経営情報、知財情報など)を窃取する事例もでてきています。
標的型メール攻撃と呼ばれる攻撃手法では、特定の企業・組織、個人に関係者を装った電子メールを受け取った受信者がメールに記載されたURLにアクセス、または添付ファイルを開くことにより、ウイルスに感染し、その端末を入口として、ネットワーク内部の各種機器に対して更なる侵入行為を行ったり、内部関係者限りのメールを装って更なる標的型メール攻撃を仕掛けたりして、ネットワーク内部で高い権限を有するシステム管理者や上長などの認証情報や重要情報を盗みとります。
独立行政法人情報処理推進機構の調査(※)によると、特定の企業・組織、個人に関係者を装った電子メールの傾向は、送信元として、企業や省庁、公企業を偽ったものが全体の7割を占め、悪意のある添付ファイルを開くとウイルスに感染するものが実に9割を占めています。
(※独立行政法人情報処理推進機構の調査 標的型攻撃メールの傾向と事例分析<2013年>のデータよりNRIにてグラフを再作成して掲載しています。http://www.ipa.go.jp/security/technicalwatch/20140130.html)
標的型メール攻撃は、受信されたメールを起点として、更なる高度なハッキングを仕掛け、組織への侵入を拡大していくことを狙っています。そのために、ソーシャルエンジニアリングによる騙しのテクニックや、対策が世の中に公開されていない新しい(ゼロディ)脆弱性、解析耐性を高めたウイルスなどを悪用して、攻撃の発覚を遅らせる手口を使ってきます。また、送信者やメール文章、添付ファイルなども巧妙に偽装されており、受信者が水際で防ぐことは難しいのが実情です。
したがって、内部ネットワークに不正侵入されたとしても、犯罪者が重要情報に到達しにくくなるようなネットワークの多層的な内部対策、重要情報にアクセスされたとしても、重要情報を外部に持ち出し難くする多層的な出口対策が求められます。
そのうえで、早期の気づきにむけた監視手段や組織判断に繋げる体制を整備し、組織連携と情報共有を行うことが重要です。システム面だけではない縦深防御(defence in depth)が必要になったといえます。
関連記事
「標的型メール攻撃」に関してこんなページも見られています
メールセキュリティ対策の全体像|企業が実施すべき7つのポイント
メールセキュリティ対策としては、サンドボックス型マルウェア検知をはじめ、様々な製品が出ていますが、今回は インターネットより受信したメールが社内イントラネット環境へ送信されるまでに行う対策の全体像について、取り上げてみます。