はじめに
標的型攻撃は、特定の組織や個人を狙って機密情報の窃取や妨害工作を行うサイバー攻撃である。目的が明確なため攻撃者は周到な準備を行い、少ない痕跡で長期間潜伏する。このため検知が難しく、攻撃の巧妙化に伴って被害が拡大している。IPAの「情報セキュリティ10大脅威2025」において、組織向け脅威の5位に位置付けられており、国家が支援するAPT攻撃グループの活動も相まって重大なリスクとなっている。本稿では、標的型攻撃の手口と国内外の最新事例を整理し、実効性のある対策を解説する。情報処理安全確保支援士の視点から、確立された事実に基づき、推測に頼らない形で読者の理解を助けたい。
1. 標的型攻撃とは
「標的型攻撃」という用語に厳密な定義はないが、特定の企業や団体を狙い、内部情報や技術情報の窃取、システム破壊等を目的として長期間にわたって巧妙に行われる攻撃を総称する。ネットワーク境界の脆弱性を突く攻撃や標的型メールを駆使する社会工学的な攻撃が含まれる。近年は国家の支援を受けた攻撃者が活発化しており、APT(Advanced Persistent Threat)攻撃とも呼ばれる。APT攻撃の特徴として、標的毎に改変・開発されたマルウェアの使用や、標的組織内に長期間潜伏する姿勢などが挙げられる。目的達成のためには時間や資金を惜しまないため、一朝一夕の対策では防ぎ切れない。
2. 標的型攻撃の侵入手口
2.1 ネットワーク貫通型攻撃
ネットワーク貫通型攻撃は、VPN機器やWebサーバー等のネットワーク境界に接する機器の脆弱性や設定不備を悪用した侵入手口である。攻撃者は認証情報の窃取なども併用し、組織内ネットワークへの不正アクセスを試みる。このような攻撃の流れは以下のように整理される
- 偵察・攻撃準備
- 攻撃者は標的組織の情報を収集し、使用されているVPNやファイアウォール製品、公開サーバーの種類、ソフトウェアバージョンなどを調査する。
- 攻撃
- VPN機器や公開サーバーの脆弱性を悪用し、不正アクセスを試みる。最近では、パッチ未適用のSSL-VPN装置やWebアプリケーションのSQLインジェクション脆弱性が狙われた事例が多い。
- 侵入と内部偵察
- 侵入後、社内ネットワークの構成や重要サーバーの位置を偵察し、侵害範囲を拡大する。
- マルウェア感染と端末制御
- 対象PCやサーバーにマルウェアをインストールし、コマンド&コントロール(C&C)サーバーと通信して遠隔操作を行う。
- 水平展開・情報窃取
- 取得した認証情報や脆弱な設定を利用して横移動を行い、目的の情報を窃取する。
この攻撃では、侵入先の機器が他組織への攻撃の中継地点(Operational Relay Box:ORB)として悪用されることもあり、攻撃対象外の企業も加害者となってしまう危険性がある。国家支援型攻撃グループVolt Typhoonは、この手法で重要インフラシステムへの長期潜伏を狙い、Living Off The Land(LOTL)戦術を駆使して既存OSや管理ツールを悪用しながら痕跡を残さず長期アクセスを維持したと報告されている。
2.2 標的型攻撃メールとLOTL戦術
従来からよく知られる標的型攻撃メールは、組織の役職員をだましてマルウェアをダウンロード・実行させる手口だ。攻撃者は信頼できそうな差出人を偽装し、特定分野の有識者やマスコミ関係者を装うなど、標的が関心を持つ題材を用いてメールを送信する。メール本文も過去のやり取りを改変したもので違和感を感じさせない。受信者がダウンロードしたZipファイル内のOffice文書に埋め込まれたマクロや.lnkファイルを実行すると「ANEL」や「NOOPDOOR」といったマルウェアに感染する。この攻撃では、Windows SandboxやVisual Studio Codeの開発トンネル機能を悪用するなど、検出を避けるための新技術も用いられたことが確認されている。
MirrorFace(Earth Kasha)と呼ばれる攻撃グループは、このような標的型メールに加えてVPN機器の脆弱性を悪用したネットワーク貫通型攻撃も行っていた。侵入後にNeo-reGeorgやWebShellを設置し、Active Directoryやクラウドサービスへ不正アクセスするためCobalt Strike Beacon等の攻撃ツールを使った。同グループはLiving Off The Land戦術を用いてOS標準機能や管理ツールを悪用し、検知を逃れながら長期潜伏を行ったとされる。
2.3 ソーシャルエンジニアリングとサプライチェーン攻撃
ネットワーク機器の脆弱性を突いた攻撃だけでなく、人間の心理を利用したソーシャルエンジニアリングも標的型攻撃で多用される。2024年12月に国内で確認された事例として、北朝鮮の攻撃グループ「TraderTraitor」が暗号資産関連事業者を狙った事件が挙げられる。攻撃者はLinkedIn上でリクルーターになりすまし、対象企業の従業員に接触して採用試験を装う。その際、GitHubに置いた悪意あるPythonスクリプトのURLを送り、従業員が自分のアカウントにコピーして実行するよう誘導し、パソコンをマルウェアに感染させた。侵害後はセッションクッキーや認証情報を盗んで暗号資産関連システムに不正アクセスし、約482億円相当のビットコインを窃取した。攻撃グループは北朝鮮当局と繋がりがあるLazarus Groupの一部であると指摘されている。
こうした攻撃は、標的組織の従業員や取引先の信頼を悪用して初期侵入を実現するため、サプライチェーン全体への影響が深刻である。攻撃者はセキュリティ対策が不十分な子会社や海外拠点を踏み台とする「アイランドホッピング攻撃」を行うこともあり、国内と同様のセキュリティポリシーや教育を海外拠点にも適用する必要がある。攻撃者が他組織への侵入に成功すると、オープンソースのWebShellやリモート管理ツールでさらなる侵害を拡大するため、国内企業でもグローバルな視点で脆弱性管理とアクセス制御を強化しなければならない。
3. 標的型攻撃の事例
3.1 MirrorFaceによる攻撃キャンペーンC
警察庁・NISCは2025年1月、MirrorFace(Earth Kasha)と呼ばれる攻撃グループによる複数の攻撃キャンペーンについて注意喚起を発表した。攻撃キャンペーンCでは、国内の学術機関やシンクタンク、政治家、メディア関係者に標的型メールが送信された。メールにはファイルをダウンロードさせるリンクが記載され、受信者がZipファイルを解凍してOffice文書のマクロを有効化するか、.lnkファイルを開くことでANELやNOOPDOORといったマルウェアに感染する仕組みだった。差出人や件名は巧妙に偽装され、受信者の関心を引く内容が用いられていた。さらに、この攻撃ではWindows SandboxやVisual Studio Codeの開発トンネル機能を遠隔操作ツールとして悪用する高度な技術が用いられた。
MirrorFaceは、ネットワーク境界機器の脆弱性を悪用する攻撃キャンペーンBも実行していた。2023年2月から10月にかけて、半導体、製造、情報通信、学術、航空宇宙分野の組織のVPN機器の脆弱性を突いて侵入し、その侵害活動が2024年6月まで続いていた。侵入後にはNeo-reGeorgやWebShellを設置し、Active DirectoryサーバーやMicrosoft 365への不正アクセス、Cobalt Strike Beaconの悪用、NOOPDOORやLODEINFOといったマルウェアの利用が確認されている。攻撃に使われた脆弱性には、Array Networks製品、FortiOSおよびFortiProxy、NetScaler ADC/Gatewayなど複数のCVEが含まれていた。
MirrorFaceのような国家支援型APT攻撃は、情報窃取を目的としながらも、攻撃方法を巧妙に変化させている。LOTL戦術の採用により、OS標準コマンドやPowerShellを活用して痕跡を残さずに侵入を続けるため、既存の防御ツールでは検知が難しい。APT攻撃の検出には、行動分析や脅威ハンティングといった高度な監視手法と、脅威インテリジェンスを活用した警戒が必要となる。
3.2 TraderTraitor事件
前述したTraderTraitor事件は、暗号資産関連事業者を狙ったソーシャルエンジニアリング型攻撃の代表例である。攻撃者はLinkedInでリクルーターになりすまし、日本の企業Gincoの従業員に接触した。採用前の試験を装って悪意のあるPythonスクリプトをGitHubに投稿し、対象者にダウンロード・実行させることで感染させた。その後、セッションクッキーや認証情報を盗み、暗号資産取引システムに不正アクセスして約482億円相当のビットコインを窃取した。警察庁や米国当局は、この攻撃グループが北朝鮮のLazarus Groupに関連していると注意喚起を行い、身分を偽って業務を受注する北朝鮮IT労働者の存在にも警鐘を鳴らしている。
同事件から得られる教訓は、SNSやオンラインプラットフォームを通じた不審な接触が増加していることを認識し、従業員が業務外の連絡を受けた場合でも適切に警戒する必要があることだ。特に、採用試験やプロジェクト委託の名目でコードのダウンロードや実行を求められた場合は、企業内のセキュリティ部門に確認するべきである。また、取引の過程で必要な2段階認証や暗号化通信の適用、セッション管理の強化が不可欠である。仮想通貨業界では攻撃者の興味が高く、セキュリティ統制の不備が直接的な金銭被害に直結する。
4. 標的型攻撃への対策
4.1 意識向上と教育
攻撃者はターゲットの関心を利用して油断させるため、役職員の意識向上が最重要である。標的型メールでは自然な文面に見せかけ、送信元を業界の関係者に偽装する。従業員は少しでも不審な点があれば添付ファイルを開かず、システム管理者に報告する習慣を持つ必要がある。特に拡張子が見慣れない.vhdや.isoファイルや、Google DriveやOneDriveのリンクなど、通常とは異なる操作を要求するメールに注意すべきである。Office文書のマクロ有効化を求められた場合は、その必要性を慎重に考え、提供元に確認する。
SNSの悪用にも警戒が必要だ。攻撃者がLinkedIn等で接触して不審なファイルやURLを送る事例が報告されており、標的型攻撃の初期侵入経路として利用されている。従業員はSNS上に業務情報を過度に公開しないようにするとともに、不審なメッセージは会社のCSIRTやセキュリティ担当へ相談する。また、私用メールや私用端末経由で組織内ネットワークに侵入されることを防ぐため、業務用と私用アカウントの分離やWebメールの利用禁止などの運用ルールを整備する。
4.2 組織体制と多層防御
組織としては、CSIRT(Computer Security Incident Response Team)を設置し、不審メールの報告窓口や外部からの連絡窓口を明確にすることが重要である。CSIRTはインシデント発生時の調査・分析や啓発活動を担当し、早期対応を実現する。さらに、サイバーセキュリティを組み込んだ事業継続計画(BCP)やBCMを策定し、定期的なシナリオ演習・訓練を実施することで組織全体の対応力と回復力を高める。
システム防御では、多層防御の考え方が必須である。具体的には、脆弱性管理やパッチ適用の徹底、不要なサービスやポートの無効化、ゼロトラストアーキテクチャに基づく最小権限アクセス制御、EDRやNDRによる監視、ログ分析や脅威ハンティングの実施が挙げられる。侵入が発生した場合でも、ネットワーク分割やアクセス権限の制限によって被害を局所化し、バックアップから迅速に復旧できる体制を整える。また、SIEMやSOARなどの自動化ツールの活用により、攻撃兆候の検知と対応のスピードを高めることができる。
4.3 情報共有と官民連携
標的型攻撃は攻撃者が常に手法を変えるため、最新情報の収集と共有が重要である。J-CRAT(Cyber Rescue and Advice Team against Targeted Attack of Japan)を含む官民連携の取り組みは、国家支援型APT攻撃への対応モデルとなっている。被害組織は、攻撃手法やIOC(Indicator of Compromise)、被害情報を警察やIPAに共有することで、政府機関がカウンターインテリジェンス情報を収集・分析できる。情報共有は、他組織の被害を未然に防ぐだけでなく、自組織へのフィードバックにもつながる。
国内外の脅威情報共有枠組みへの参加も推奨される。ISAC(Information Sharing and Analysis Center)や業界団体による情報共有プラットフォームに参加することで、最新の攻撃トレンドやベストプラクティスを得ることができる。政府や国際機関が公開する脆弱性情報やアドバイザリーを定期的に確認し、自組織の機器に該当するものがあれば迅速に対策を講じる。また、サプライチェーン攻撃に備え、取引先や海外拠点と協力してセキュリティ対策を共同で実施することが望ましい。
5. おわりに
標的型攻撃は、狙われた組織が有する重要な情報や技術を標的とし、攻撃者は長期間潜伏して目的達成を図る。ネットワーク機器やクラウドサービスの脆弱性を突く攻撃、巧妙に偽装された標的型メール、SNSを利用したリクルーティング詐欺など、侵入手法は多岐にわたる。本稿では、MirrorFaceやTraderTraitorといった具体的な事例を通じて、攻撃者の手口と脅威の現実を示した。重要なのは、単一の対策に頼らず、多層防御と組織全体の意識向上、情報共有、官民連携を継続して実践することである。国家支援型APT攻撃に対応するには、政府が率先して情報提供を行い、民間事業者がカウンターインテリジェンス活動に参加することが不可欠である。サイバー脅威は今後も進化を続けるが、多様な関係者が協力し合うことで、標的型攻撃から社会を守る体制を強化できるだろう。
