標的型攻撃の動向と対策

資料４
神奈川県職員等不祥事防止対策協議会
標的型攻撃の動向と対策
平成27年8月3日
情報セキュリティ大学院大学
情報セキュリティ研究科
佐藤直
1
標的型攻撃の概要
定義
特定の組織（国，行政機関，企業など）を対象としたサイバー攻撃
目的と分類
・標的組織が提供している情報サービスを妨害する
・・・サービス妨害型攻撃DoS（Denial of Service)
・機密情報や個人情報などの重要情報を窃取する
・・・情報窃取型攻撃
Cf．サイバー犯罪・・・非特定の個人が対象
2
標的型攻撃の動向
サービス妨害型攻撃の事例と特徴
時期
標的
概要
2000年1月
政府機関
ホームページ改ざん．ポルノサイトへの誘導．南京
大虐殺をめぐる抗議文に改ざん．アクセス不能
2004年1月
多数Webサイト
竹島切手発売に対するDoS攻撃．2ちゃんねる，楽
天などのサイトへ接続不能
2011年9月
政府機関，銀行， 中国ハッカー集団が尖閣列島問題について日本を
地方都市，大学等 非難する大規模サイバー攻撃
2012年6月
裁判所，政党，
JASRAC等
改正著作権法反対で，政府や関連団体のWebサイト
を攻撃
2014年8月
脱原発団体
脱原発を唱える33団体に253万通の一斉メール
（メール爆弾）
・示威的攻撃が多い
・攻撃方法は比較的簡易で短期間で終了することが殆ど
3
標的型攻撃の動向
情報窃取型攻撃の事例と特徴
時期
標的
概要
2011年9月
ごろ
三菱重工業
国内11か所のサーバとPC83台がウイルス感染，
外部のサーバに接続．防衛情報流出の疑い
2011年11月
ごろ
衆議院・参議院
PC（衆議院31台・参議院29台）がウィルス感染．
議員のIDとパスワードが流出した疑い
2012年1月
ごろ
宇宙航空研究開 不正アクセスにより宇宙ステーション技術情報
発機構
が漏洩した疑い
2013年1月
ごろ
農水省
TPP機密文書をキーワード検索をしながら探索
し外部送出した疑い
2015年5月
ごろ
日本年金機構
標的型メール添付のマルウェアに感染．125万
件の個人情報流出
・長期間（１ヶ月∼2年程度）かけて持続的に窃取することが多い
・・・ APT(Advanced Persistent Threat)と呼ばれる
・気づかれにくくするため比較的複雑な攻撃方法をとることが多い
・・・標的組織が侵入に気づくのは平均200日
4
標的型攻撃の動向
標的型メールを用いた情報窃取型攻撃のパターン
攻撃者
１．侵入マルウェアが
添付された標的型
メールを送信
３．遠隔からの情報検索・
情報転送
パソコン乗っ取り
被害者が
メールを開封
マルウェア
配布サーバ
２．バックドアの作成，
遠隔操作マルウェアの
ダウンロード
5
標的型攻撃の動向
標的型メールの動向
ばらまき型
・国内外の情勢についての情報提供を装い，
同じ内容のメールを複数の組織に送付
⇒発覚しやすい
やり取り型
・標的組織に特化した文面を使用
・メールを何通かやりとりし，不自然ではない状況を
作って不正プログラムを添付
⇒発覚しにくい
6
標的型攻撃の動向
遠隔からの情報検索
攻撃者のパソコンの画面
操作メニュー
標的ホストでのファイル検索
7
標的型攻撃の動向
パソコンの乗っ取り
乗っ取られたパソコンの画面
攻撃者のパソコンの画面
8
標的型攻撃の動向
水飲み場攻撃
標的組織の職員が頻繁にアクセスするWebサイトを
改ざんして，ウィルスなどのワナを仕掛ける攻撃
頻繁に利用する
Webサイト
攻撃者
改ざんし，ウィ
ルス埋め込み
Webサイト
閲覧
ウィルス
感染
標的組織の
職員
9
標的型攻撃の主な対策
標的メール検出
・標的メールを検出する訓練の実施
・メール送信元確認サービス／技術の導入
マルウェア対策
・ウィルス対策ソフト利用の徹底
重要情報暗号化
・暗号化保存のルール化（パソコン，外部記憶媒体）
アクセス制御・情報転送制限
・重要情報保管ネットワークを他のネットワークから分離
・プロキシを介した外部への情報転送
・情報転送先のホワイトリストを利用して不審な情報転送をブロック
10