2024.11.13

中小企業におけるセキュリティ脅威への対策強化〜標的型攻撃による機密情報の窃取から対策を学ぶ〜

独立行政法人情報処理推進機構（IPA）が毎年発行している「情報セキュリティ10大脅威2024」から、中小企業の経営者やシステム担当者が注目すべき点を掘り下げていきます。

今回は４位に挙げられている「標的型攻撃による機密情報の窃取」を深掘りします。

標的型攻撃とは、特定の組織（企業、官公庁、民間団体等）を狙う攻撃のことです。機密情報等の窃取や業務妨害を目的としています。

攻撃者は、標的とする組織の状況に応じた巧みな攻撃手法を用いて機密情報等を窃取しようとします。

この脅威がどのように業務に影響を与えるのか、対策はどうすべきなのかを解説いたします。

攻撃手口は様々、隙を作らない対策を — 引用元：IPA　情報セキュリティ10大脅威 2024 解説書より

１．標的型攻撃による機密情報の窃取の脅威

特定の組織や企業に狙いを定め、機密情報等の窃取や業務妨害を目的とした標的型攻撃が発生しています。

この種の攻撃は、明確な目的を持ち、PCやサーバーをウイルスに感染させたり、不正にアクセスすることで組織内部に侵入し、情報窃取や破壊活動等を行います。

これらの攻撃は一時的なもので終わることは少なく、組織内に長期間潜伏して活動を行うケースがあります。

窃取された機密情報が悪用された場合、企業の事業継続や国家の安全保障に重大な影響を及ぼすおそれがあります。

さらに、データ削除やシステム破壊により企業活動が妨害されたり、その企業のサプライチェーンに属する関連組織が攻撃の踏み台にされるおそれもあります。

組織の規模や業種に関わらず標的となる可能性があることが特徴と言えます。

２．代表的な攻撃例

以下に、代表的な標的型攻撃による機密情報の窃取例を紹介します。

（１）フィッシングメールによる感染

攻撃者は、業務や取引に見せかけた巧妙な偽装メールを送信し、そのメールの添付ファイルや本文のリンクにウイルスを仕込みます。受信者がファイルを開封したり、リンクにアクセスすると、PCがウイルスに感染する仕組みです。

メールの件名や本文、添付ファイル名は業務や取引に関連するように偽装されているため、偽物と気づきにくいのが特徴です。さらに、実在する組織名が使われる場合もあるため、注意が必要です。

また、通常の業務メールのやり取りを装い、複数回のやり取りを経て油断させる手口もあります。この攻撃手法を「やり取り型攻撃」と呼びます。顧客や取引先とのやり取りの中であっても、気軽にリンクを開く、ファイルを開くといった行為は危険を伴うものだという意識を持つ必要があります。

（２）改ざんされたWebサイトを利用した攻撃

攻撃者は、標的とする組織が頻繁に利用するWebサイトを調査し、予め改ざんしておきます。

そして、標的組織の従業員や職員がそのWebサイトにアクセスすることでPCをウイルスに感染させます。これにより、標的組織は通常の業務活動を行っている際にウイルスに感染し、その結果として情報が盗まれることとなります。この攻撃手法は「水飲み場型攻撃」とも呼ばれ、無意識の間に感染が進行するため、非常に巧妙な手口です。

（３）脆弱性を突いた不正アクセス

攻撃者は、標的組織が利用するクラウドサービスやWebサーバー、VPN装置等の脆弱性を悪用して不正アクセスを行い、組織内部へ侵入します。

この侵入が成功し、正規の認証情報等を窃取できた場合は、次回から正規の経路で組織のシステムへ再侵入することもあります。

３．標的型攻撃による機密情報の窃取事例

【事例１：複数回のやり取りを伴う標的型メール攻撃】
2023年10月、東京大学は標的型攻撃メールにより教員が使用していたPCがウイルスに感染し、PC内の情報が窃取された形跡があることを公表しました。
この攻撃は2022年7月に、実在する組織の担当者を装った人物からの講演依頼メールで始まりました。日程調整のためのやり取り中、教員がメールに記載されたURLをクリックしたことで、PCがウイルスに感染しました。

攻撃者から最終的に「講演が中止になった」との連絡があったため、教員は被害に気付きませんでした。
この攻撃により、教職員や学生等の個人情報や過去の試験問題等計4,341件が流出した可能性があります。
引用元：IPA　情報セキュリティ10大脅威 2024 解説書より抜粋

この事例は、「やり取り型攻撃」の典型的な例です。

「講演の依頼」という日常的な業務メールのやり取りをしているうちに、ウイルスに感染させられました。

その上、「講演の中止」という形で業務自体が正常に終了したため、教員はウイルスの感染に全く気が付かなかった事も特徴と言えます。

例えばウイルス感染後、急に相手からの連絡が途絶えると、「何か変だ」と気づかれてしまうからです。

このように、正常の業務遂行中にも被害に遭ってしまう事があるという認識が重要です。

【事例２：宇宙航空研究開発機構（JAXA）への不正アクセス】
2023年11月、宇宙航空研究開発機構（JAXA）がサイバー攻撃を受け、内部ネットワークに不正アクセスされていたことが明らかになりました。
不正アクセスを受けたのは一般業務用の管理サーバーで、機微情報は含まれていないとJAXAは説明しています。
この不正アクセスは同年6月に修正されたネットワーク機器の脆弱性を悪用されたものとみられています。

外部機関から通報を受けたJAXAは文部科学省に報告し、一部のネットワークを切り離した上で、調査を行っています。
引用元：IPA　情報セキュリティ10大脅威 2024 解説書より抜粋

この事例は、「不正アクセス」の典型例であり、ネットワーク機器の脆弱性を悪用された侵入事例になります。
報告では、「一般業務用のサーバーで機密情報はない」とされていますが、これを踏み台にされて、ネットワーク内の機密情報を扱うサーバーに侵入される危険性もあったため、十分な調査が必要です。

４．標的型攻撃への対策

標的型攻撃による機密情報の窃取への対策を、「経営者の観点」「管理者の観点」「従業員・職員の観点」で説明します。

（１）経営者の観点

◇組織としての体制の確立

・被害の予防（被害に備えた対策を含みます）
　インシデント対応体制を整備し、実際のインシデント時に対応します。※

（２）管理者（セキュリティ担当者・システム管理者）の観点

◇被害の予防／対応力の向上

・情報の管理と運用規則策定
　情報は暗号化するなどの管理や運用の規則を定めて運用します。

・サイバー攻撃に関する継続的な情報収集

・情報リテラシー、モラルを向上させます※

・インシデント対応の定期的な訓練を実施
　関係者やセキュリティ業者、専門家と迅速に連携する対応方法や連絡方法を整備します。

・サーバーやクライアント、ネットワークに適切なセキュリティ対策を行います※

・アプリケーション許可リストの整備

・取引先のセキュリティ対策実施状況の確認

・海外拠点等も含めたセキュリティ対策の向上

◇被害の早期検知

・サーバーやクライアント、ネットワークに適切なセキュリティ対策を行います※

◇被害を受けた後の対応

・インシデント対応体制を整備し、実際のインシデント時に対応します※

（３）従業員・職員の観点

◇被害の予防（通常、組織全体で実施）

・IPAの「情報セキュリティ10大脅威 2024解説書」の10ページ、表1.4「情報セキュリティ対策の基本」を実施

・メールの添付ファイル開封、メールやSMSのリンク、URLのクリックを安易にしない※

◇被害を受けた後の対応

・インシデント対応体制を整備し、実際のインシデント時に対応します※

「※」の詳細については、IPAの「情報セキュリティ１０大脅威2024」の68ページの「共通対策」をご参照ください。

また、こちらの記事：「中小企業におけるセキュリティ脅威への対策強化〜ランサムウェアによる攻撃事例から対策を学ぶ〜（２／２） 」でも、詳細を解説していますので、併せてご参照ください。

ここまで標的型攻撃による機密情報の窃取について考えてきましたが、いかがだったでしょうか。
ネットワーク内部へ不正アクセスされた場合、情報の漏えいや改ざん、他組織への攻撃の踏み台（中継）になるおそれがあるため、日々の確認や平時の備えが大切なことがおわかりいただけたかと思います。

加えて、2023年5月に経済産業省が公開した「ASM（Attack Surface Management）導入ガイダンス～外部から把握出来る情報を用いて自組織のIT資産を発見し管理する～」の活用も有効な方法と言えます。

標的型攻撃による機密情報の窃取は、業種や企業の大小に関わらず発生します。
「自社は狙われないから大丈夫」と考えるのではなく、常にこのような脅威が存在することを認識することが重要です。この認識がセキュリティ意識の向上につながり、企業の持続可能な発展を支える鍵となります。