お役立ちコラム COLUMN
標的型攻撃ってなに?手口の種類や出口対策を知っておこう
年々増え続けるサイバー攻撃。
第三者による顧客情報の漏えいやデータ改ざん被害により、多くの企業が被害に遭っています。
サイバー攻撃にはいくつか種類があり、中でも発見されにくく危険性が高いのが「標的型攻撃」です。
手口が巧妙のため、気づかないうちに攻撃を受けている企業や個人も珍しくありません。
そこで今回は、標的型攻撃の手口や想定される被害、出口対策について詳しく解説します。
標的型攻撃とは?
ネットワーク環境を通じて、パソコンやネットワーク機器に攻撃を与えるサイバー攻撃。
標的型攻撃はサイバー攻撃のひとつで、ネットワーク犯罪の中でも悪質であり、手口が多いため完全に防ぐのは難しいと言われています。
標的型攻撃をする目的は、企業が持つ顧客情報や資産などを盗み、悪用したり、経済的なダメージを加えたりすることです。
そのため、多くは大手企業が標的型攻撃を受けているのですが、最近はセキュリティ対策を十分におこなっていない中小企業も被害に遭うケースが増えています。
標的型攻撃の手口はいくつか種類がある!
サイバー攻撃の多くは、不特定多数にダメージを与えるのが一般的です。
一方、標的型攻撃は、犯罪者によって絞られたターゲットだけを集中して攻撃するのが特徴です。
標的型攻撃を仕掛ける犯人は、企業の規模や財産、知名度などさまざまな情報を調査し、潜入ルートなどあらゆる部分へ執拗に追いかけて攻撃を仕掛けます。
標的型攻撃で多いのが、次のような手口です。
標的型メール
取引先や知り合いを装い、不正プログラムを添付したメールを送信して、コンピューターをウイルス感染させたり、銀行口座の番号や暗証番号を引き出したりします
標的型メールは、閲覧しそうな人をターゲットに送信するケースが多いため、事前に個人情報を調べられている可能性が高いでしょう。
サイト閲覧<
情報収集のためによく利用するWebサイトを閲覧したことによって、不正プログラムをダウンロードするように仕向ける手口もあります。
普段閲覧しているWebサイトとデザインが酷似しているので、気づかずに標的型攻撃を受けているケースが多いです。
犯人は企業や個人で閲覧するサイトを事前に調べており、どういったサイトが選ばれるのか把握しているので、こちら側で予測するのは難しいです。
標的型攻撃の被害例は?
標的型攻撃は、企業だけではなく個人に向けた事例も多く、被害を受けている人は少なくありません。
個人に向けた標的型攻撃の被害例
個人に向けた標的型攻撃の被害としては、下記のような事例があります。
・ネットショップで銀行振込みしたのに商品が届かない。
・「預かっている個人給付金送金したいのでメールへ返信してください」と不審メールが届いた。
・メールに記載されたURLにアクセスし、クレジットカード情報などを入力したら不正使用された。
通販サイトで先払いによって買い物をしたのに届かない事例は、全国でもたくさんの被害者がいます。
最近では、新型コロナウイルスに関する不審メールや不審サイトが多く、知らないうちに標的型攻撃を受けた被害者が増えています。
企業に向けた標的型攻撃の被害例
企業がターゲットにされた事例についても見てみましょう。
・取引先で実在する職員を名乗ったメールに添付したファイルを開封後、不正プログラムに感染。
・外部からの不正アクセスによってIDとパスワードが知られ、機密情報を盗まれた。
・企業サイトが一部改ざんされて、個人情報や口座番号など情報が漏えいした。
標的型攻撃は個人よりも企業に向けた事例が多く、被害額も数百万円単位と膨らんでいます。
実際に取引している相手からのメールだったり、何度かやりとりしてから添付ファイルを閲覧するように仕向けたりと、さまざまな方法で仕掛けています。
標的型攻撃に出口対策はない?
サイバー攻撃から守るために、多くの人はウイルスソフトなどでセキュリティ対策を強化しています。
特に、情報漏えいは企業にとって大きな問題となるため、入り口対策をしっかりしていることでしょう。
しかし、どんなにセキュリティ対策を万全にしていても、標的型攻撃の被害を完全に止めることは難しいです。
その証拠に、2015年に起きた日本年金機構の年金情報流出です。
標的は日本年金機構が保管する100万人以上の個人情報で、ターゲットを絞ったサイバー攻撃であることから、標的型攻撃であることは間違いありません。
入り口対策は、攻撃をされないように事前に防ぐ行動ですので、攻撃後の対策である出口対策もしっかり考える必要があります。
標的型攻撃の出口対策として、サーバーの端末管理やログ管理と保管など、できることから取り組むことが大切です。
まとめ|標的型攻撃の対策をしっかりしよう
標的型攻撃は、いつ誰がどんな形で被害を受けるかわかりません。
個人で気をつけていても、知り合いを装ったり、普段閲覧しているWebサイトを通じて、不正プログラムを開封させようとしたりするケースもあるでしょう。
サイバー攻撃の中でも気づきにくく、被害が大きくなりやすい標的型攻撃。
もしもの被害に備えて、サイバー保険加入を検討されることもおすすめします。
補償内容や費用が保険によって異なりますので、ぜひ保険のプロにご相談ください。
コラム監修者 プロフィール
磯崎学(イソザキマナブ)
中央大学法学部にて政治学科を学ぶ。
大学卒業後、三井海上火災保険会社で保険営業の基礎を学ぶ。
その後、平成10年12月より独立し、現在、自社の代表を務める。
代理店として25年以上の実績があり、企業への保険提案を得意としている。
事故処理の経験も豊富。
■保有資格
損害保険大学課程コンサルティング資格、損害保険募集人一般資格(通称:損保一般)、生命保険専門資格