標的型攻撃メールとは?添付ファイルの種類

security_54

標的型攻撃メールとは特定の企業等を狙ってメールを送り、情報を盗む手法であり、添付ファイルを開く、リンク先のサイトを表示することで、ウィルスに感染させます。また、メールソフトに脆弱性がある場合、本文を表示しただけで感染する可能性すらあります。

日本でも2005年頃からメディアにて報道されるようになりましたが、特に2011年9月頃から今に至るまで大手企業や法務省などまでにも被害が報道され、今では比較的認知されているウィルスの1つではないでしょうか。

最近では、攻撃手法も高度化・複雑化し、より巧妙な手口がとられているため、これまで以上に攻撃に気付きにくくなっていると言われています。

標的型攻撃メールの目的

標的型攻撃メールを送信する目的には、組織や個人の機密情報を盗み取ろうとする意図や、組織内のネットワークやシステムの侵入するための意図が考えられます。

標的型攻撃メールの主な仕組み

(1)標的にする組織を調査し、攻撃するための情報を収集。特定の企業に標的型攻撃メールを複数パターン送信

(2)ターゲットになった企業の社員の誰かが添付ファイルを開く、もしくはリンク先のWebページを開いたことによりプログラムが実行されパソコンが感染

(3)感染したパソコン内でバックドア(※1)を作成し、外部のC&Cサーバー(※2)と通信を行い、攻撃するために必要な機能(パスワード解読ツール等)を標的組織内に持ち込み、攻撃基盤を強化します。同時に、他のパソコンやサーバ、構成図等の情報収集も行います。

※1:ハッカーの侵入や攻撃を受けたサーバに仕掛けられた、裏の侵入経路のこと。2回目以降の侵入を容易にし、パスワードの不正使用などログイン操作をすることなく侵入できる方法が仕掛けられていることが多い。
※2:C&Cサーバとは、外部から侵入して乗っ取ったコンピュータを利用し、サイバー攻撃で、踏み台のコンピュータを制御し命令を出したりする役割を担うサーバコンピュータのこと。

(4)他のパソコンや各種サーバの乗っ取りを行います。そして、標的組織の重要情報が格納されているシステムの調査を行います。

(5)攻撃目的の重要情報を窃取し、バックドアから運び出します。また、犯行の履歴を削除する等の情報破壊を行います。発見されるまで、いつまでも繰り返し実行されるため、半年以上かけて断続的に攻撃されることもあります。

万が一、ウィルスに感染してしまったら、被害はそのパソコンだけにとどまりません。なので感染すると被害は広がっていく一方です。

巧妙になった標的型攻撃メールの添付ファイル種類

相手にメールを届けても、添付ファイルを実行させなければ攻撃は成功しないのがこの標的型攻撃メールの特長です。

そのため、メールの本文で相手を信じ込ませるとともに、疑わせることなく「添付ファイル=ウイルス」を実行させなくてはいけません。そのために添付ファイルに工夫をしてきます。添付ファイルの種類は様々ですが、その1つがPDFファイルやWord文書といった文書ファイル形式のウイルスを使うことがあります。

以前は、メールで感染を広げる実行形式のウイルスが猛威を振るったため、「実行形式ファイルの危険性」を認識しているユーザーも多く、そのようなユーザーでも開いてしまうよう、添付ファイルを文書ファイル形式で使用します。

文書ファイル形式なので、単に開くだけではウイルスとして動き出しません。Adobe ReaderやWordといった、文書ファイルを開くソフトウエアの脆弱性を突き、ファイルに仕込んだウイルスプログラムが動き出すようにしています。

あなた自身が気を付けていても社員の人数が多くなればなるほど、各々が共通認識をもって対策しておく必要があります。

実際に添付ファイル多いファイルの種類

  • 実行ファイル 48%
  • Office文書ファイル 31%
  • ショートカットファイル 14%
  • ジャストシステム文書ファイル

標的型攻撃メール対策のチェックポイント

(1)差出人があなた宛てにメールを送ってきたことに心当たりがあるか

標的型攻撃メールは、一瞬、普通のメールと何ら変わりはありません。メールの内容や、なぜ自分宛てに送ってきたのか心当たりがない場合は、差出人の電話番号やアドレスを調べ、この差出人が実在し、このメールを送信したかなどを確認しましょう。

(2)件名に【緊急】【重要】【至急】など興味を引く内容が含まれていないか

件名の中で、緊急性を要するようなキーワードが利用されている場合や、添付ファイルを開かせようとする内容があった場合は、まずは慌てず、(1)~(6)のチェックポイントを確認しましょう。

(3)差出人のアドレスとメール本分に記載されているアドレスが異なっている

差出人のアドレスと署名にあるアドレスが異なっている場合は、詐称している可能性があります。署名も注意して見るようにしましょう。

(4)件名や本文が拙い日本語・もしくは文字化けになっていないか

標的型攻撃メールは、海外のIPアドレスから発信されているケースもあります。件名や本文が拙い日本語になっている場合や、日本語では使用されない漢字が使われていないか確認しましょう

(5)メールの本文に記載されているURLに相違がないか

メールの内容で怪しいと感じた際は本文に記載されているURLをクリックする前に、マウスカーソルをURL上に置き、左下に表示されるURLと一致するかを確認しましょう。

相違する場合、似ている場合も含めURLが偽装されていますので、偽メールと考えてよいでしょう。

(6)むやみに添付ファイルを開かない

ハッカーはメールの内容をいかに信じ込ませ、そして疑わせることなく「添付ファイル=ウィルス」を開く(実行)させなくてはなりません。

見たことのない拡張子はもちろん、私たちが普段よく使うPDFやWord、Excelなどにもウィルスを埋め込まれるパターンも報告されています。

(1)-(5)のチェックポイントで1つでも怪しいと思うものがあれば、開かないようにしましょう。

  • このエントリーをはてなブックマークに追加
  • Pocket
  • LINEで送る

今、注意すべき攻撃手口はこれ!【2016年最新セキュリティ脅威レポート】 特別プレゼント

・「セキュリティ診断」で何がわかるの?
どんな危険が見つかっているの?
どんな被害が発生しているの?

もし、あした「情報漏えい事故」であなたの会社がニュースになったら?
攻撃者は、自動攻撃ツールを使って24時間365日、攻撃できるスキマを狙っています。
セキュリティ事故は、いつ起きてもおかしくありません。

【2016年最新セキュリティ脅威レポート】では、弊社が実際に疑似攻撃(ペネトレーションテスト)をおこない、検証した結果から、2016年注意すべき脆弱性・実際に多かった不備などをお伝えします。

「今、どんな被害が起きているのか?」
最新のセキュリティ脅威を知って、事故を未然に防ぎませんか?
ぜひダウンロードして、今後のセキュリティ対策にお役立てください。


【2016年最新セキュリティ脅威レポート】目次
1. おもなWebアプリケーション診断項目
2. ペネトレーションテスト内容とは?
-2015年度ペネトレーションテスト初回診断時総合評価の結果一覧
-脅威レベル深刻度別・脆弱性の該当比率一覧
3. 2015年度に多く検出された脆弱性とは?
4. ペネトレーションテストで発見した、新らなる脅威とは?
-最近また増えた、ウイルス感染配布サイト
-パケット改ざんプログラムによる被害

セキュリティレポートをダウンロードする >