標的型攻撃対策

2015年6月に発生した大規模な情報漏洩事件の原因は、関係者を装い、メール添付したファイルやURLを開かせることでマルウェアに感染させるという標的型攻撃。近年、標的型攻撃メールの手口が多様化、巧妙化していると警視庁も警鐘を鳴らしています。同一のメールを複数の組織に送り付ける「ばらまき型」の攻撃が減少する一方で、サポート窓口や採用窓口に向けて業務と関連がある通常のやりとりをメールで行い、その過程で不正なプログラムを添付しマルウェアに感染させる「やりとり型」の攻撃が増加しています。

企業や組織には、不特定多数からのメールを受信するクライアントPCに対してより一層の利用者教育とセキュリティ対策の強化が求められています。

標的型攻撃メールは、通常のウイルスメールのように不特定多数へ配信するのではなく、特定の組織や人間を狙って配信し、個人情報や機密情報や知的財産、アカウント情報（ID、パスワード）などを窃取しようとする攻撃です。よく使われる標的型攻撃メールの手口としては、添付ファイルを開かせてファイルを実行させることでウイルスに感染させたり、URLをクリックさせることでマルウェアの配布サイトに誘導するなどがあります。

標的型攻撃メールの手口は年々巧妙化していて、特定の対象を狙って攻撃を行うことから、メールの件名や添付されているファイル名などが、「請求書」や「報告書」などとされていて、非常にだまされやすい内容になっています。そのため、メールを受信した人は、あたかも自分に関係のある内容だと思いこみ、被害に遭ってしまうことが多いようです。

2016年3月17日に警視庁から発表された、2015年における国内のサイバー脅威の情勢についての資料からは、標的型攻撃メールの件数が、過去最多の3,828件であるとされています。特長として、送信先メールアドレスがインターネット上で公開されていないものやフリーメールアドレスであったり、Word 形式のファイルが添付されているものであったとのことです。

現在も、標的型攻撃による情報漏洩が発生し、企業や組織においては、今後も引き続き標的型攻撃への対策、情報漏洩対策は必須であると考えられます。

公開されているメールアドレスからやりとり開始。やりとりの過程で不正なプログラムやURLを送りマルウェアに感染させます。

さまざまな手法がありますが、標的型攻撃に有効とされているのが「多層防御」の考え方です。
「ウイルスソフトを導入しているので大丈夫。」と思われている方もいるかもしれませんが、最新のウイルスである場合はウイルスソフトでも検知することが難しいこともあります。
不審なメールであると感じなければ、標的型攻撃メールとは気づかずに、標的型攻撃を受けるリスクは高くなります。
標的型攻撃の手口が巧妙化していることから、さまざまな脅威に備えた多層防御が必要です。
AssetView では、豊富な機能をうまく活用することで、多層防御を実現することが可能です。

ステップ1　送受信するメールの添付ファイルをスキャンする

メールモニター

クライアントPC上で行われるメール送受信（SMTP/ESMTP/POP3/IMAP）を監視します。 ウイルス等の脅威を含む可能性のあるメールを受信した場合は、検知ファイルを削除したり、隔離することができます。

ステップ2　Web経由でのマルウェア感染を多層防御

万が一、不審なメールを受信した場合、添付されているファイルを開きそうになったりURLをクリックしてしまいそうになってしまいますが、そのような場合でも以下の4つの機能で多層防御を行い、情報の流出に備えることができます。

1. ファイル暗号化
利用者のPC内にある重要ファイルを暗号化することで、万が一のファイル流出に備えます。

2. 簡易Webフィルタリング
企業や組織内で把握した不正なURLを登録。Webアクセスを禁止します。リダイレクト先を指定できるため、標的型攻撃メールで送られたURLに対して、今後は開かないように注意喚起する運用ができます。

3. 高精度データベースWebフィルタリング
不正なプログラムの配布先や、Webサイトの管理者が意図せずウイルス感染しているサイトへのアクセスを制御します。不正なプログラムの配布先になりえる掲示板やSNSへのアクセスまでも制御できます。

4. Webモニター
パターンファイルとのマッチングだけでは検知できない新たな脅威も『ヒューリスティック検知』で発見します。過去に発見された脅威の分析結果をもとにウイルスに特徴的な挙動を判定。脅威の可能性のあるプログラムを検知しウイルス感染を防止します。

ステップ3　マルウェアに感染したクライアントPCをネットワークから遮断する

ネットワークの遮断　

遠隔地や所在が分からないPCでも、企業や組織のネットワークから遮断して事故の拡大を抑制します。
重大なウイルスの駆除ができなかったクライアントPC、情報漏洩リスクのあるプログラムを頻繁に起動しているクライアントPCなどをネットワークから遮断してウイルス感染の拡大や、情報漏洩リスクを抑制できます。

標的型攻撃のメールを完璧に見分けることは難しく、標的型攻撃を完全に防ぐ方法はないといわれています。
被害を最小限に防ぐためには？

まず、PCの利用者への周知や教育が必要です。

＜利用者への教育の例＞

• 標的型攻撃メールの概要
• 被害を受けてしまう原因
• 被害に遭ってしまった場合の対処方法
• 被害に遭った場合の内容（個人情報の漏洩など）
• 過去の事例

そして、それらを理解したうえで、怪しいメールを受信した際の注意点を認識してもらう必要があります。

＜不審なメールと感じたら＞

• 送信者のメールアドレスを確認する（フリーメールアドレスなどではないか？）
• 添付ファイルの拡張子やURLを確認する（zip形式やexe形式のファイルであることが多い）
• むやみに添付ファイルやURLを開かない（メールアドレスのドメインとURLが明らか異なる場合は怪しい）
• 管理者へ確認する（同様のメールを他にも受信している人がいないか）

標的型攻撃を防ぐには、システムやソフトウェアでの監視も必要ですが、利用者一人一人の注意や意識もとても重要です。