セキュリティ対策を誤る「標的型攻撃」の思い込み（1/2 ページ）

企業や組織の情報セキュリティ対策で今や最も危険視される「標的型攻撃」。だが、その実態を見誤ると効果的な対策が打てなくなると専門家は指摘する。

[國谷武史，ITmedia]

　2011年、日系大手の電機や重工系の企業を狙った「標的型攻撃」が世間の大きな関心を呼び、標的型攻撃は企業や組織の情報セキュリティ対策における重要課題の一つになった。だが、「標的型」という言葉から「極めて機密性の高い情報を持つ、ごく限られた組織や人物だけを狙う攻撃」と誤ったイメージを抱かれてしまうケースが少なくないという。

標的型攻撃の大半は「標的型」にあらず

　シマンテックが5月1日に発表した2011年のインターネットセキュリティ脅威レポートの中で、同社は顧客企業が受けたサイバー攻撃についての傾向分析を行った。セキュリティ脅威動向の分析を担当する浜田譲治シニアレスポンスマネージャによると、「標的型攻撃」という言葉に対して企業などが抱くのは、（1）政府や大企業、特殊な業界だけを狙う、（2）取締役などの役員クラスだけを狙う、（3）短期間で収束する――という3つの“思い込み”だという。

　2011年に顧客企業が受けたメール悪用攻撃（添付ファイルに不正プログラムを忍ばせたり、悪質サイトへのリンクを記したりしたメールによる攻撃）は2万6946件。従業員数の規模でみると、2500人以上の企業が半数を占め、1501〜2500人では9％、1001〜1500人が5％、501〜1000人が8％、250〜500人が10％、250人未満が18％という内訳だ。大企業が多いものの、中堅・中小企業では小規模な企業の方が攻撃を受けている割合が高い。

　業種・業態別では政府・公共機関が全体の3割を占め、7割は一般企業。製造業、金融、ITサービス、化学・医薬、運輸、未分類、メディア、教育、小売の順に多かった。役職別では約25％を上級役員クラスの「CxO（Chief X Officer）」が占めたが、それに次ぐのは営業職や研究職、秘書、人事などであった。なお役職ではないが、部門などで管理する共有型メールアドレスに対する攻撃が最多を占めた。

　また攻撃期間については、数カ月〜1年以上という場合が多い。ある企業に対する攻撃は9カ月ほど続き、4カ月目にはその企業だけに狙いを絞ったとみられる不審なメールがほぼ毎日送り付けられていた。

企業の特定の人物に送り付けられた不審なメールの月別の状況。メールが届かなくなるまでの期間は9カ月だった（出典：シマンテック）

　こうした結果から浜田氏は、標的型攻撃の特徴を（1）大企業だけでなく大企業と取引関係のある企業も標的になり得る、（2）最終標的が企業幹部の場合に攻撃者はまず周囲の人間から狙う――ことだと分析している。標的型攻撃は「標的型」と言われながら、実際にはかなり広範囲に影響する脅威であることが見て取れる。