特定の企業・組織を狙って機密情報を盗み取る標的型攻撃が後を絶たない。攻撃者の手口が巧妙化し、被害が表面化するまで攻撃に気が付かないということも少なくない。被害を防ぐためには、まず攻撃の手口を理解することが重要だ。その上で、単にツールを導入するだけではなく、自社に合った対策を講じたい。
標的型攻撃の脅威が指摘されるようになり、対策を講じてきた企業・組織は多いだろう。だが昨年も、農林水産省や宇宙航空研究開発機構(JAXA)がサイバー攻撃を受け、情報流出の可能性が報告されるなど、被害は後を絶たない。
被害を受けた企業・組織もそれなりに対策は講じていたはずだ。それにもかかわらず、攻撃を防御できなかったのはなぜか。攻撃の目的が変わり、手口も巧妙化、複雑化しているため、従来のセキュリティ対策では防ぎ切れなくなっているのだ。
以前は、攻撃者が自身の能力を誇示するため、不特定多数の企業や個人にウイルス付きのメールなどを送り、感染させるといった愉快犯的な攻撃が少なくなかった。こうした攻撃の場合、メールやWebからの脅威を防ぐウイルス対策製品などの導入で、かなり被害を防ぐことができる。
また、偽のWebページに誘導し、クレジットカード番号などを盗み取るフィッシング詐欺と呼ばれるサイバー犯罪もある。攻撃の対象は主に不特定多数の個人であり、不用意にカード番号などの個人情報を入力しないといった対策が有効だ。
「10大脅威」の上位に
ランクされる標的型攻撃
一方、標的型攻撃はまさに「標的」とした特定の企業・組織を狙い打ちにする。そして、盗み取った機密情報や知的財産を第三者に転売するなど金銭を目的に攻撃を仕掛けてくることが多い。攻撃の対象が限定的なことに加えて、人やシステムの脆弱性を入念に調査した上で巧妙に攻撃してくるため、標的にされた企業・組織はなかなか防ぎづらいのが実情だ。
標的型攻撃の脅威の現状はどうだろうか。情報処理推進機構(IPA)セキュリティセンターでは、社会的影響が大きいセキュリティ上の脅威について、「10大脅威」として報告書をまとめ、公表している。
「2013年版 10大脅威」によれば、1位は「クライアントソフトの脆弱性を突いた攻撃」。そして、「標的型諜報攻撃の脅威」は2位にランクされている。その内容について、「政府機関や特殊技術を持った組織が狙われ、知らぬ間に組織の機密情報を持ち去られてしまう」と解説。「長年、企業が費用と労力、知恵を出して開発してきたものが、一瞬にして他の組織に奪われることになり、競争力の低下になりかねない」と指摘している。