「準備不足は失敗の準備をしているようなものである」
高度な攻撃を仕掛けてくる攻撃者は誰よりもこのことを意識しています。それ故に、サイバー攻撃の全段階において準備を怠らず、事前に入念な調査を行います。
攻撃者が入念に準備してきた攻撃に対処できるように、企業側も対策をしておかなければなりません。

「偵察」段階で攻撃者が収集する情報

標的型攻撃のフローの中で、最初の段階のことを「偵察」といいます。偵察段階で、攻撃者は標的組織の細部に至るまで研究します。標的組織の脆弱性を見つけ出し、最初のエントリーポイントを決定するために、あらゆる情報を収集するのです。攻撃者が収集する情報は、以下のとおりです。

「標的企業の主要人物は誰か」
「取引先はどこか」
「一般に公開された情報の中に利用可能なものはあるか」

偵察段階で、攻撃者はオープンソースインテリジェンス[1]を行い、標的組織に関するあらゆる情報を収集します。ソーシャルメディアを通して得た従業員に関する情報、ニュース記事やプレスリリースから得られる情報、IT、OTシステムに関する情報など、利用できる情報が多ければ多いほど、攻撃の成功率は高まります。また、収集対象は必ずしも標的組織に関する情報に限定されるとは限りません。ベンダーや供給業者、請負業者も侵入経路となる可能性があるのです。（サプライチェーンを狙った攻撃についてはこちらの記事をご覧ください）

また、標的組織のネットワーク監視も行われます。攻撃者はネットワークを調査し、どのポートが開いているか、また、どのオペレーティングシステム、サービス、アプリケーションが使用されているかを確認します。そしてその中から、脆弱性を見つけ出すのです。

最大の弱点は「人」

主要人物の特定も攻撃者にとっては重要な要素となります。よく言われていることですが、情報セキュリティにおいて最も弱点となりうる部分は「人」です。LinkedIn[2]が攻撃者によく利用されるのはこのためです。標的となる社員が、必ずしもCEOほど目立つ人物であるとは限りません。社内事情に詳しくない新入社員は、フィッシングメールの恰好の標的となります。社員や取引先のなりすましに気づかない可能性があると考えられるからです。また、特定の技術に携わる人物も標的となり得ます。

入念な準備には入念な対策を

攻撃者にとっては、いかに入念に準備を行うかが成功を左右する「鍵」となります。攻撃を必ず成功させようと目論んでいる攻撃者なら、準備に惜しみなく時間を費やすことでしょう。
企業側も同じです。入念な対策をし、計画を立てておくことこそが、サイバー攻撃を防ぐ「鍵」となるのです。

F-SecureがまとめたeBookの中では、製造業を狙った標的型攻撃を例に、攻撃者がいかに細心の注意を払って計画を進め、標的を執拗に追いかけているかが描かれています。標的型攻撃がどのように行われ、公開されている情報がどのように利用され、標的の従業員やそこに至るまでの関係者、技術がどのように悪用されるのか。その一部始終を見ることができます。

つまるところ、立ち向かう対象を理解することが、対策の第一歩となるのです。

[1]一般に公開されている情報を情報源として、情報収集や分析を行う調査・諜報活動
[2]採用やネットワーク構築に活かせるビジネス特化型SNS。ビジネスパートナーや人材を探したり、営業先の顧客や商談先、専門家などとコンタクトを取ることができる。

オリジナル記事情報

Preparation – Advanced attackers do it, so should you
掲載日：2019年2月19日
執筆者：F-Secure Global

本記事はF-Secure KKの許諾のもと、オリジナル記事を日本語に翻訳・編集したものです。

当社では、F-Secure社のエンドポイントセキュリティソフト、エフセキュア プロテクションサービス ビジネスを取り扱っております。