情報セキュリティ白書　～1.2 情報セキュリティインシデント別の手口と対策～

1.2 情報セキュリティインシデント別の手口と対策

　本節では、インシデント別の発生状況と、具体的な事 例について述べる。また、2021 年度に確認されたサイ バー攻撃の手口を中心に解説する。 標的型攻撃とは、ある特定の企業・組織や業界等を 狙って行われるサイバー攻撃の一種である。ウイルスメー ルやフィッシングメールを不特定多数の相手に無差別に 送り付ける攻撃とは異なり、標的型攻撃は、特定の企業・ 組織や業界が持つ機密情報の窃取やシステム・設備の 破壊・停止といった、明確な目的を持って行われる。また、 標的型攻撃は長期間継続して行われることが多く、攻 撃者が標的とする組織（以下、標的組織）の内部に長 期間潜伏して活動するという特徴も持つ。 IPA では、過去の事例等から、標的型攻撃の流れ を五つの段階に分類している（図 1-2-1）。

　「事前調査段階」では、標的組織や業界の情報を収 集する。公開されている情報を収集するだけでなく、標 1.2.1 標的型攻撃 的組織と他の組織とのメールの盗聴等により必要な情報 を収集することもある。 次の「初期潜入段階」では、「事前調査段階」で得ら れた情報を基に、標的組織の端末へのウイルス感染を 試みる。海外拠点や取引先組織といった、いわゆるサ プライチェーン上のセキュリティの弱い部分を狙う手口に 加え、VPN 製品や公開サーバ等のインターネットとの境 界にある装置の脆弱性を悪用し、侵入する手口もある。 標的組織の人間に対し、ウイルスを仕込んだファイルが 添付された、あるいは悪意のあるURLリンクが記載さ れた標的型攻撃メールを送り付ける手口も依然として確 認されている。また、悪意のあるWeb サイトを閲覧した だけで、ウイルスに感染してしまうドライブ・バイ・ダウンロー ド攻撃が用いられることもある。 「初期潜入段階」で標的組織の内部に侵入した攻撃 者は、「攻撃基盤構築段階」へと移り、標的組織内の パソコンを遠隔操作するため、遠隔操作ウイルス（RAT： Remote Access Trojan）に感染させることを試みる。こ の際、遠隔操作を長期的かつ継続的に行うため、複数 の RAT に感染させる場合もある。このとき、より隠密性 の高いウイルス（ファイルレスマルウェア※ 22 等）を使うケー スも確認されている。　
　次の「システム調査段階」では、「攻撃基盤構築段階」 で感染させた RATを使用して、組織内ネットワークの 攻撃に必要なウイルスやツールを送り込む。これらのウイ ルスやツールを用いて、組織内ネットワークの調査、管 理者権限の奪取、目的とする情報の探索等を行う。こ のとき、侵入したパソコン等に標準でインストールされて いるアプリケーションが悪用されることもある。 「攻撃最終目的の遂行段階」では、攻撃者は、目的と する情報の窃取等を行う。海外の事例では、情報の窃 取ではなく、国家間の政治的主張等を目的とした攻撃も 確認されている。

所感：一部抜粋だけど、RATを個人に送付され、ハッキングされている可能性がある。怖さだ。