📌 結論から理解する
標的型攻撃=「特定の組織を狙い、長期的・多段階で行う高度な攻撃」
標的型攻撃は、不特定多数を狙う通常のフィッシングと異なり、特定の企業・政府機関・研究機関を事前調査した上で仕掛ける計画的な攻撃です。
APT(Advanced Persistent Threat:高度持続的脅威)とも呼ばれ、長期間気づかれずに潜伏し、最終目標(機密情報・資金)を狙います。
「標的型メールの特徴」「キルチェーンの各段階」「対策」が頻出。フィッシングとの違いも整理しておく。
通常のフィッシングと標的型攻撃の違い
| 比較 | 通常のフィッシング | 標的型攻撃 |
|---|---|---|
| ターゲット | 不特定多数 | 特定の組織・個人 |
| メールの精度 | 汎用的・粗い | 個人情報を使った精巧なもの |
| 目的 | 大量の情報収集・詐欺 | 機密情報窃取・スパイ活動 |
| 攻撃期間 | 短期(数日) | 長期(数ヶ月〜数年) |
| 発見難度 | 比較的容易 | 非常に困難 |
標的型攻撃のキルチェーン(攻撃の流れ)
1 偵察
ターゲット組織・個人の情報収集(SNS・会社HP・役員情報・メアド)。攻撃の準備段階。
2 武器化
マルウェア入りドキュメントや偽メールを作成。ゼロデイ脆弱性を組み込むこともある。
3 配送
標的型メール(spear phishing)で攻撃ツールを送付。業務に関連した件名・差出人を偽装。
4 攻撃実行
添付ファイルを開かせる・URLをクリックさせることでマルウェアが実行・侵入。
5 潜伏・横展開
侵入後、バックドアを設置し長期間潜伏。他のPCへ横展開(ラテラルムーブメント)し権限を昇格。
6 目標達成
機密情報を外部(C&Cサーバ)へ送出。または重要システムを破壊・妨害。
標的型メールの特徴
📧実際の取引先・上司の名前を使った偽メール
📧業務に関連した自然な件名・内容(「○○の見積書」「会議のご案内」)
📧マクロ付きWordファイル・PDFに見せかけた実行ファイルが添付
📧通常のフィッシングより自然な文章・丁寧な日本語
「取引先からのメール」でも添付ファイルを安易に開かない。送信元に電話等で確認することが有効。
標的型攻撃への対策
✅ 標的型攻撃メール訓練:模擬の標的型メールを社員に送り、開封・クリック率を測定。訓練後に教育を実施。
✅ EDR(Endpoint Detection and Response):端末の挙動を監視し、侵入後の異常な動きを検知・対応する。
✅ ネットワークの分離・セグメンテーション:横展開を防ぐため重要システムを分離。
✅ 通信監視・ログ分析:C&Cサーバへの不審な通信を検知するためログを監視。SIEMを活用。
✅ 最小権限の原則:侵入されても横展開・情報窃取の範囲を限定できる。
🧠 確認クイズ
Q1. 標的型攻撃(APT)と通常のフィッシングの違いとして正しいのは?
Q2. 標的型攻撃のキルチェーンで「潜伏・横展開」フェーズの目的として正しいのは?
Q3. 標的型攻撃への対策として最も有効なものはどれか?