メールを利用し、ウイルス感染させる「標的型攻撃メール」。
セキュリティ対策の共有をしていない会社が多く、ウイルスに感染している会社の被害事例を毎年のように効きます。
多くの方が知っている被害事例は、日本年金機構の年金情報流出の被害でしょう。
この記事では、日本年金機構の標的型攻撃メールによる被害事例についてご説明します。
標的型攻撃メールの被害事例
2015年に標的型攻撃メールによって起こった大きな被害事例は、日本年金機構の情報流出です。どのようにして被害に遭ったのかご説明します。
日本年金機構の被害事例
被害発生は、2015年6月22日。日本年金機構は、125万件(101万4653人分)、47都道府県の全てに被害が出たと発表しました。
攻撃者が使った手口は、「標的型攻撃メール」でした。受信者が開封するように、内容を偽装したメールを作成。ウイルスを忍ばせたファイルを添付し、開封したらウイルス感染する手口です。
ここまで被害が拡大したのは、社内管理の問題もありました。年金情報は「機構LANシステム」につながるファイルサーバーから盗まれたのですが、このファイルは職員がオフラインのシステムから記録媒体経由でコピーしたものだったのです。
社内ルールでは、
て、定められていましたが、125万件のうち55万件はパスワードがかけられていませんでした。
標的型攻撃メールは2回実行されていた
厚労省が国会に提出して資料では、攻撃は2回に分けて実行されていたのです。
1回目は、5月8日。攻撃者は気候が外部公開するメールアドレスに標的型攻撃メールを送付していました。このメールを職員が開封し、PCが感染しました。
感染したPCから外部への通信は、内閣サイバーセキュリティセンターの監視センターがキャッチしたため、感染PCからLANケーブルを抜き回収しました。しかし、その処置完了までに3時間を有してしまいます。
2回目は、5月18日。100通を超える標的型攻撃メールが、非公開の職員のメールアドレスに大量に送られてきます。その中から1通のメールが開封され再びPCは感染しました。
ネット接続を遮断する処置をするが、内部感染は広まります。PC19台が大量の情報を外部に発信します。最終的に27台のPCがウイルス感染していました。
どの時点で、情報が流出したのか。また、攻撃者が一緒なのか判明してないようです。
標的型攻撃メールの巧妙な手口
多くの場合、ウイルスはメールの添付ファイルとして送付されてきます。添付ファイルを受け取り手に開封させるため、細工も施されています。とくに最近増えているのは、「Windowsショートカットファイルを使用した攻撃」です。スクリプトを埋め込んだショートカットファイルを用意し、文書ファイルのアイコンなどに偽装します。
安全なファイルと思ってダブルクリックすることでスクリプトが実行され、ウイルスがダウンロードされてしまいます。ウイルスを突然に送付するのではなく、事前にやり取りをして相手を信じこませる手口もあります。
従来のウイルスメールとの違い
従来のウイルスメールは、広く大勢にばらまかれるものでした。見知らぬ送信者から「無料動画見放題」などと不特定多数に向けた宣伝文句が送信されるので、受け取った側もあやしいメールとわかりやすかったのです。
仮にだまされて添付ファイルを開封した場合でも、多くの場合でウィルス対策ソフトにより検知・駆除できました。
標的型攻撃メール
これに対し、標的型攻撃メールは、特定の組織向けに作りこまれているのが特徴です。作成に関しては、事前にその組織について入念な下調べが実施されます。たとえば、Facebookなどを調査すれば、どのような人がその組織に属していて、人間関係などもわかってしまいます。業務に深く関係がある内容を盛り込んだり、なじみがある取引先を装うので、受け取りても疑いを持ちにくいのです。
添付のウイルスも、特殊なものであることが多いです。ウイルス対策ソフトが検知することなく、感染に気づかないケースも多いです。具体的に情報漏えいなどの被害が発生してはじめて、感染に気づく場合もあるといいます。
| 着眼点 | これまで検知された標的型攻撃メールの特徴 |
|---|---|
| 送信者 | フリーメールアドレスからの送信 |
| 送信者のメールアドレスが署名と異なる | |
| メール本文 | 言い回しが不自然な日本語 |
| 日本語では使用されない漢字 | |
| 正式名称を一部に含むような不審URL | |
| HTMLメールで、表示と実際のURLが異なるリンク | |
| 署名の記載内容がおかしい、該当部門が存在しない |
標的型攻撃に狙われるのは大企業だけではない
このような攻撃は、大量の機密情報を所有する大企業だけに限った話ではありません。むしろ、小規模の企業のほうが狙われやすいという部分もあります。
中小企業でも、顧客情報といった重要データを多数所持するケースは多いです。また、「攻撃用の素材集や、攻撃の踏み台として使用するのに狙われる場合もあります。
攻撃者の狙い
攻撃者の狙いが、軍事機密を所有する大企業としましょう。しかし、このような企業は大掛かりなセキュリティ対策がなされている場合が多く、容易に侵入できません。
そこで、この企業の取引先である周辺の企業を標的にします。
セキュリティ対策の不備を突いて取引先企業にシステムに侵入し、標的となる大手企業とのやり取りを監視して下調べします。
さらに取引先企業の社員をかたってウイルスメールを送信すれば、相手が信用しやすくなります。
個人も注意が必要
企業のみならず、個人も注意しなくてはなりません。海外では、Gmailなど無料メールサービスのアカウントを盗みとろうとするWEBサイト・詐欺メールが登場しています。
このようなメールのアカウントを詐取され、メールを盗み見られれば標的型攻撃の素材に悪用されるおそれがあります。
また自分のメールアドレスから、標的型攻撃メールを送信されてしまう場合もあるのです。
標的型攻撃メールの被害に遭わないために
メールでのあらゆる攻撃に備えるには、対策を複数用意する必要があります。
統合セキュリティ対策ソフトをインストールしたり、確実にソフトウェアをアップデートするなどは基本中の基本といえるでしょう。
まず、受け取ったメールを疑うという心構えも必要です。
このような対策を実施しても、巧妙に作成された標的型攻撃メールなどは侵入ができてしまうおそれがあります。
「“何かおかしい”と気づくこと」が非常に重要です。
文面が何となく不自然、見慣れないメッセージが出てきた・・・そんなささいなことでも違和感があったら、システム部門など専門部署に報告しましょう。
個人であれば、IPAといった専門機関に相談することをオススメします。
