標的型攻撃で最も盗まれるのはメール情報、LinkedInで社内の人間関係も把握

実際の標的型攻撃では知的財産よりも、攻撃者が標的にした組織の人間関係を把握できる情報が盗まれているという。

» 2016年09月30日 07時00分 公開
[國谷武史ITmedia]

 セキュリティ企業のファイア・アイは9月29日、2015年に同社が日本を含むアジア太平洋地域で対応を支援した標的型攻撃事件に関する分析結果を発表した。攻撃では標的にされた組織の人間関係が把握されてしまうメールなどの情報が最も多く盗まれているという。

 それによると、同社はインシデント(事件や事故)あたり平均2万1584台ものコンピュータを解析しており、攻撃者に侵害されるコンピュータは同78台に上る。ユーザーアカウントの侵害は同10件、管理者アカウントは3件だった。攻撃によって盗まれるデータ量は3.7GBに達し、こうした侵害が判明するまで520日を要したとしている。

アジア太平洋地域の企業や組織で実際に発生した標的型攻撃の平均的な状況

 この状況を解説した執行役 副社長の岩間優仁氏によれば、企業や組織に侵入したマルウェアが攻撃者と通信を開始し、それが発覚するまでに要した平均日数は、北米地域などでは146日と、アジア太平洋地域よりも大幅に短い。また、発覚した経緯は55%が外部からの指摘によるもの、45%が内部で検知されたものだった。内部検知の世界平均は53%だったことから、アジア太平洋地域では内部検知の取り組みも遅れているとした。

 攻撃者が実際に企業や組織から盗み出した情報の内訳は、メールが40%と最も多く、ITシステムインフラに関する情報、個人情報、研究開発・機密情報はそれぞれ20%だった。

米国の軍需メーカーに対する攻撃では8つの攻撃者グループがCEOを狙い、メールなどの9GBもの量のデータを盗み出した、

 岩間氏は、「標的型攻撃では研究開発・機密情報ばかり盗まれると思われがちだが、それらを盗んだところで攻撃者は使えない。研究開発・機密情報を利用するために、それらの情報が生まれた組織内部の過程や人間関係などを把握する目的でメール情報を盗む」と話す。

 同社では、こうした標的型攻撃を疑似的に実行することで企業や組織のセキュリティリスクなどを洗い出すサービスを提供しており、北米地域で人気があるという。

 岩間氏によれば、疑似攻撃によるセキュリティ診断を希望したシリコンバレーが本社の大手IT企業の場合、まずファイア・アイの専門家がLinkedInを使って公開情報をもとにIT企業の組織体制と人間関係を把握。次にこの企業のIT部門の人間になりすまして全社員にフィッシングメールを送信した。

 このメールでは、パスワードの強度テスト参加者にiPhone 6sをプレゼントするというIT部門の社内通知を装う内容で作成しており、600人の社員のうち400人がメールの内容を信じて自身の認証情報を送信したという。ここまでに要した時間はわずか23時間だったとしている。

 このケースではソーシャルメディアでの情報発信が標的型攻撃のリスクになることが分かるという。しかし、ソーシャルメディアは有用な情報発信での手段でも一律に禁止することは難しく、セキュリティリスクの低くする観点からソーシャルメディアの利用方法を見直すなど、基本的なセキュリティ対策の強化につなげられるという。

対策の推奨事項はどこでも語られているものだが、自社にとってのセキュリティリスクを正しく把握し、保護すべきものを明確にしたうえで、こうした推奨事項を具体的に講じていくことが必要だという

 岩間氏は、「ツールや技術を利用するセキュリティ対策は重要だが、攻撃を仕掛けるのは人間であり、攻撃者がどのような手口を用いるのかという視点からも対策を講じてほしい」とアドバイスしている。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ