標的型攻撃メールを送って指摘される
標的型攻撃は主にメールやWebで行われることが多い。メールの場合には、知り合いや普段やり取りしているメールがそのまま、あるいは少し加工して使われることが多い。その場合、普段やり取りされている「本物のメール」が盗み出されていることが前提となる。
普段やりとりしているメールは、当事者のPCから盗まれていることが多い。メールを出した方、受け取った方のそれぞれのPCの可能性がある。盗んだメールは、そのまま、あるいは加工して標的型攻撃のメール送信に使われる。
メールの送信は、Webベースのフリーメールアカウントが使われることが多い。標的型攻撃のメールを受け取った組織がサンドボックスなどの最新の対策機器を導入していた場合にそのメールが発見されることが多い。そして、その文面などからそのメールの当事者が特定され、それが他の組織であった場合に問い合わせが行くことになる。そして調査したところ自社からの漏えいであったことが発覚するケースがある。もちろん、どちらから漏れたかが発覚しないケースもある。
また、フリーメールではなく、社内のPCが乗っ取られて、そのPCから出されてしまうこともある。その場合、申し開きはできなくなる。
SQLインジェクションなどのサイバー攻撃を仕掛けて発覚する
標的型攻撃によって機密情報が盗まれる、と思われている方が多いようだが、それだけではない。企業や組織のPCに感染したマルウェアは「何でも」することができる。感染を広げたり、情報を盗んだりする一方、そのPCから他社へSQLインジェクションなどの攻撃を仕掛けることもある。
信頼している組織からの攻撃の場合、アクセス制御などが甘くなっていることもあるので、そこを突かれるのである。社内や組織内のPCがマルウェアに感染した場合、無差別攻撃ではなく、その組織と関係のある特定組織の攻撃に使われることが多い。
つまり、関連会社や取引先、関連政府組織などに攻撃が行われることになる。そして、その攻撃が相手で検知された場合には、何らかのアクションが求められることになる。取引先や政府組織などであれば、当然のように感染経路、感染期間、情報漏えいの有無、再発防止策などの詳細な報告が求められることになる。このような作業には膨大な時間と労力が必要であり、経営的にも少なからず影響が及ぶことになる。
これらの例は典型的な例であるが、筆者が関わってきた事案でもこのようなことは多くあった。そして、調査と対策に要するコストはかなりの額に上っている。経営リスクとしても大きなものになるので、少なくとも取引先や関係政府機関などに攻撃をする踏み台にならないように事前の対策を行うべきであろう。
標的型攻撃などでは、「感染しないように」という対策は積極的に行われるものの、他社への攻撃について対策が行われることは、あまり考慮されていないケースが目立つ。脅威の方向性としては、中から外になるために、対策が漏れてしまうのだ。
そもそも標的型攻撃などで用いられる未知のマルウェア(通常のウイルスワクチンでは検知しないもの)を完全に防ぐのは困難であることは、今では常識となっているので、感染した後のマルウェアの活動の中でも、他社への攻撃については、社内の被害よりも経営リスクは短期的には非常に大きいので、発信するメールや外部Webサイトへの不正アクセス監視なども検討した方がいいだろう。
