標的型攻撃メールの被害事例 | 巧妙化するメールの手口

  • このエントリーをはてなブックマークに追加
  • Pocket
  • LINEで送る
security_18

標的型攻撃メールという言葉をご存じでしょうか?メールを利用し、ウイルスに感染させると手口の攻撃ですが、セキュリティ対策の共有をしていない会社が多く、ウイルスに感染している会社の被害事例を毎年のように効きます。

多くの方が知っている被害事例は、日本年金機構の年金情報流出の被害でしょう。この記事では、日本年金機構の標的型攻撃メールによる被害事例についてご説明します。

標的型攻撃メールの被害事例

2015年に標的型攻撃メールによって起こった大きな被害事例は、日本年金機構の情報流出です。どのようにして被害に遭ったのかご説明します。

日本年金機構の被害事例

被害発生は、2015年6月22日。日本年金機構は、125万件(101万4653人分)、47都道府県の全てに被害が出たと発表しました。

攻撃者が使った手口は、「標的型攻撃メール」でした。受信者が開封するように、内容を偽装したメールを作成。ウイルスを忍ばせたファイルを添付し、開封したらウイルス感染する手口です。

ここまで被害が拡大したのは、社内管理の問題もありました。年金情報は「機構LANシステム」につながるファイルサーバーから盗まれたのですが、このファイルは職員がオフラインのシステムから記録媒体経由でコピーしたものだったのです。

社内ルールでは、

「ルール上、サーバー内に個人情報は格納禁止。やむを得ず格納する場合にはパスワードをかける運用」

て、定められていましたが、125万件のうち55万件はパスワードがかけられていませんでした。

標的型攻撃メールは2回実行されていた

厚労省が国会に提出して資料では、攻撃は2回に分けて実行されていたのです。

1回目は、5月8日。攻撃者は気候が外部公開するメールアドレスに標的型攻撃メールを送付していました。このメールを職員が開封し、PCが感染しました。

感染したPCから外部への通信は、内閣サイバーセキュリティセンターの監視センターがキャッチしたため、感染PCからLANケーブルを抜き回収しました。しかし、その処置完了までに3時間を有してしまいます。

2回目は、5月18日。100通を超える標的型攻撃メールが、非公開の職員のメールアドレスに大量に送られてきます。その中から1通のメールが開封され再びPCは感染しました。

ネット接続を遮断する処置をするが、内部感染は広まります。PC19台が大量の情報を外部に発信します。最終的に27台のPCがウイルス感染していました。

どの時点で、情報が流出したのか。また、攻撃者が一緒なのか判明してないようです。

標的型攻撃メールの巧妙な手口

多くの場合、ウイルスはメールの添付ファイルとして送付されてきます。添付ファイルを受け取り手に開封させるため、細工も施されています。とくに最近増えているのは、「Windowsショートカットファイルを使用した攻撃」です。スクリプトを埋め込んだショートカットファイルを用意し、文書ファイルのアイコンなどに偽装します。

安全なファイルと思ってダブルクリックすることでスクリプトが実行され、ウイルスがダウンロードされてしまいます。ウイルスを突然に送付するのではなく、事前にやり取りをして相手を信じこませる手口もあります。

従来のウイルスメールとの違い

従来のウイルスメールは、広く大勢にばらまかれるものでした。見知らぬ送信者から「無料動画見放題」などと不特定多数に向けた宣伝文句が送信されるので、受け取った側もあやしいメールとわかりやすかったのです。

仮にだまされて添付ファイルを開封した場合でも、多くの場合でウィルス対策ソフトにより検知・駆除できました。

標的型攻撃メール

これに対し、標的型攻撃メールは、特定の組織向けに作りこまれているのが特徴です。作成に関しては、事前にその組織について入念な下調べが実施されます。たとえば、Facebookなどを調査すれば、どのような人がその組織に属していて、人間関係などもわかってしまいます。業務に深く関係がある内容を盛り込んだり、なじみがある取引先を装うので、受け取りても疑いを持ちにくいのです。

添付のウイルスも、特殊なものであることが多いです。ウイルス対策ソフトが検知することなく、感染に気づかないケースも多いです。具体的に情報漏えいなどの被害が発生してはじめて、感染に気づく場合もあるといいます。

security_1020

標的型攻撃に狙われるのは大企業だけではない

このような攻撃は、大量の機密情報を所有する大企業だけに限った話ではありません。むしろ、小規模の企業のほうが狙われやすいという部分もあります。

中小企業でも、顧客情報といった重要データを多数所持するケースは多いです。また、「攻撃用の素材集や、攻撃の踏み台として使用するのに狙われる場合もあります。

攻撃者の狙い

攻撃者の狙いが、軍事機密を所有する大企業としましょう。しかし、このような企業は大掛かりなセキュリティ対策がなされている場合が多く、容易に侵入できません。そこで、この企業の取引先である周辺の企業を標的にします。

セキュリティ対策の不備を突いて取引先企業にシステムに侵入し、標的となる大手企業とのやり取りを監視して下調べします。さらに取引先企業の社員をかたってウイルスメールを送信すれば、相手が信用しやすくなります。

個人も注意が必要

企業のみならず、個人も注意しなくてはなりません。海外では、Gmailなど無料メールサービスのアカウントを盗みとろうとするWEBサイト・詐欺メールが登場しています。このようなメールのアカウントを詐取され、メールを盗み見られれば標的型攻撃の素材に悪用されるおそれがあります。また、自分のメールアドレスから標的型攻撃メールを送信されてしまう場合もあるのです。

標的型攻撃メールの被害に遭わないために

メールでのあらゆる攻撃に備えるには、対策を複数用意する必要があります。統合セキュリティ対策ソフトをインストールしたり、確実にソフトウェアをアップデートするなどは基本中の基本といえるでしょう。まず、受け取ったメールを疑うという心構えも必要です。

このような対策を実施しても、巧妙に作成された標的型攻撃メールなどは侵入ができてしまうおそれがあります。「“何かおかしい”と気づくこと」が非常に重要です。文面が何となく不自然、見慣れないメッセージが出てきた・・・そんなささいなことでも違和感があったら、システム部門など専門部署に報告しましょう。個人であれば、IPAといった専門機関に相談することをオススメします。

  • このエントリーをはてなブックマークに追加
  • Pocket
  • LINEで送る

今、注意すべき攻撃手口はこれ!【2016年最新セキュリティ脅威レポート】 特別プレゼント

・「セキュリティ診断」で何がわかるの?
どんな危険が見つかっているの?
どんな被害が発生しているの?

もし、あした「情報漏えい事故」であなたの会社がニュースになったら?
攻撃者は、自動攻撃ツールを使って24時間365日、攻撃できるスキマを狙っています。
セキュリティ事故は、いつ起きてもおかしくありません。

【2016年最新セキュリティ脅威レポート】では、弊社が実際に疑似攻撃(ペネトレーションテスト)をおこない、検証した結果から、2016年注意すべき脆弱性・実際に多かった不備などをお伝えします。

「今、どんな被害が起きているのか?」
最新のセキュリティ脅威を知って、事故を未然に防ぎませんか?
ぜひダウンロードして、今後のセキュリティ対策にお役立てください。


【2016年最新セキュリティ脅威レポート】目次
1. おもなWebアプリケーション診断項目
2. ペネトレーションテスト内容とは?
-2015年度ペネトレーションテスト初回診断時総合評価の結果一覧
-脅威レベル深刻度別・脆弱性の該当比率一覧
3. 2015年度に多く検出された脆弱性とは?
4. ペネトレーションテストで発見した、新らなる脅威とは?
-最近また増えた、ウイルス感染配布サイト
-パケット改ざんプログラムによる被害

セキュリティレポートをダウンロードする >