標的型攻撃メールとは | 特徴と見分けるためのチェックポイント

security_2246

近年、企業が保持する機密情報や個人情報を盗むことを目的とした標的型攻撃メールの被害が相次いで発生しています。

情報処理推進機構(IPA)が発表した、「情報セキュリティ10大脅威 2016」ランキングでは、企業が脅威と感じているサイバー攻撃として標的型攻撃が1位となり、標的型攻撃メールの対策が進んでいます。

ここでは、標的型攻撃メールとは何か? 標的型攻撃メールの特徴や見分けるためのチェックポイントなどについて紹介します。

1. 標的型攻撃メールとは

標的型攻撃メールとは特定の企業等を狙ってメールを送り、情報を盗む手法であり、添付ファイルを開く、リンク先のサイトを表示することで、ウィルスに感染させます。また、メールソフトに脆弱性がある場合、本文を表示しただけで感染する可能性すらあります。

日本でも2005年頃からメディアにて報道されるようになりましたが、特に2011年9月頃から今に至るまで大手企業や法務省などまでにも被害が報道され、今では比較的認知されているウィルスの1つではないでしょうか。

最近では、攻撃手法も高度化・複雑化し、より巧妙な手口がとられているため、これまで以上に攻撃に気付きにくくなっていると言われています。

2. 標的型攻撃メールの目的

標的型攻撃メールを送信する目的には、組織や個人の機密情報を盗み取ろうとする意図や、組織内のネットワークやシステムの侵入するための意図が考えられます。

標的型攻撃メールの主な仕組み

(1)標的にする組織を調査し、攻撃するための情報を収集。特定の企業に標的型攻撃メールを複数パターン送信

(2)ターゲットになった企業の社員の誰かが添付ファイルを開く、もしくはリンク先のWebページを開いたことによりプログラムが実行されパソコンが感染

(3)感染したパソコン内でバックドア(※1)を作成し、外部のC&Cサーバー(※2)と通信を行い、攻撃するために必要な機能(パスワード解読ツール等)を標的組織内に持ち込み、攻撃基盤を強化します。同時に、他のパソコンやサーバ、構成図等の情報収集も行います。

※1:ハッカーの侵入や攻撃を受けたサーバに仕掛けられた、裏の侵入経路のこと。2回目以降の侵入を容易にし、パスワードの不正使用などログイン操作をすることなく侵入できる方法が仕掛けられていることが多い。

※2:C&Cサーバとは、外部から侵入して乗っ取ったコンピュータを利用し、サイバー攻撃で、踏み台のコンピュータを制御し命令を出したりする役割を担うサーバコンピュータのこと。

(4)他のパソコンや各種サーバの乗っ取りを行います。そして、標的組織の重要情報が格納されているシステムの調査を行います。

(5)攻撃目的の重要情報を窃取し、バックドアから運び出します。また、犯行の履歴を削除する等の情報破壊を行います。発見されるまで、いつまでも繰り返し実行されるため、半年以上かけて断続的に攻撃されることもあります。

万が一、ウィルスに感染してしまったら、被害はそのパソコンだけにとどまりません。なので感染すると被害は広がっていく一方です。

3. 標的型攻撃のおもな被害事例

川崎重工:標的型攻撃とみられるメールを複数受信。ウイルス感染なし。原発情報など狙ったおそれ。(2009年7月)

米Google:中国からサイバー攻撃、米韓政府関係者らにも被害。(2010年1月)

仏財務省:サイバー攻撃によりG20の情報が流出。(2011年3月)

外務省:6月以降に標的型攻撃が増加、一部の在外公館で感染確認。(2011年6月)

三菱重工:サイバー攻撃で80台のパソコンがウイルス感染。(2011年9月)

IHI:川崎、三菱重工の件を受けて発表。(2011年9月)

参議院会館:サーバー、議員の公務用PC数十台が標的型攻撃でウイルス感染。(2011年10月)

JAXA:職員のパソコンがウイルス感染。無人補給機情報などが流出した可能性。(2012年1月)

農林水産省:標的型メール攻撃がおこなわれる。(2012年2月)

特許庁:トロイの木馬に感染。メール情報が流出の疑い。(2012年2月)

長野県上田市:庁内ネットワークの端末が、標的型攻撃によりマルウェア感染。(2015年6月)

日本年金機構:標的型攻撃により、基礎年金番号を含む個人情報125万件が流出。(2015年6月)

法務省:ウイルス添付とみられる、標的型メールを大量受信。ウイルス感染なし。(2016年2月)

4. 標的型攻撃メールの特徴

よくあるメールのタイトル

  • ○○様 ご依頼の件について
  • 「○○」に関するケーススタディ
  • 企業年金送付の件について 修正がありますのでご確認ください。
  • 確定拠出年金への移行に伴う説明会(○月○日締め切り)について
  • ○月○日開催○○委員会名簿と予定
  • ○○会議の資料について
  • ○○委員会の会議室変更について

このように「自分に関係がありそう」なタイトルで釣るのが特徴です。なかには、「これは開封してしまうかも」というタイトルがありませんでしたか?

差出人の表示について

security_2299

差出人の表示でもっとも多いのは、実在組織名と個人名を合わせたものでした。とくに、取引先で実際にある会社と担当者名であれば、本人のメールと思ってしまうのではないでしょうか。巧妙な標的型攻撃の場合、事前に入念な調査をして攻撃を図るので、実在の人物に完全になりすましてきます。

メールアドレスについて

security_2300

標的型攻撃メールの多くは、YahooメールやGmailなどフリーメールアドレスからの送信が90%と圧倒的な数字になっています。しかし、実在組織のメールアドレスになりすましたり、乗っ取ったアドレスで送信してくる場合も10%。注意が必要です。

メールの内容について

security_2301

もっとも多かったケースは「業務連絡を装ったもの」です。業務連絡などと書かれていれば、とくに疑うことなく開いてしまいがちです。このほか、「~の件でファイルを添付いたしました」など情報提供を装ったり、就職活動の学生を装って履歴書データと称し、ウイルスを添付してくる例もあります。

添付ファイルの拡張子について

security_2302

一番多いのはやはり「.exe」形式のファイルでした。しかし、Wordファイルである「.doc」やExcelファイル「.xls」が添付されるケースも合わせて33%と少なくありません。文書ファイルだと思って開いたらウイルスだった、という場合もあるのです。

なかには、「.exe」の形式でありながらアイコンをテキストやPDFに偽装し、「○○のデータ.pdf.exe」といった名前にし、誤って開封させようとします。

5. 標的型攻撃メールを見分けるチェックポイント

(1)差出人があなた宛てにメールを送ってきたことに心当たりがあるか

標的型攻撃メールは、一瞬、普通のメールと何ら変わりはありません。メールの内容や、なぜ自分宛てに送ってきたのか心当たりがない場合は、差出人の電話番号やアドレスを調べ、この差出人が実在し、このメールを送信したかなどを確認しましょう。

(2)件名に【緊急】【重要】【至急】など興味を引く内容が含まれていないか

件名の中で、緊急性を要するようなキーワードが利用されている場合や、添付ファイルを開かせようとする内容があった場合は、まずは慌てず、(1)~(6)のチェックポイントを確認しましょう。

(3)差出人のアドレスとメール本分に記載されているアドレスが異なっている

差出人のアドレスと署名にあるアドレスが異なっている場合は、詐称している可能性があります。署名も注意して見るようにしましょう。

(4)件名や本文が拙い日本語・もしくは文字化けになっていないか

標的型攻撃メールは、海外のIPアドレスから発信されているケースもあります。件名や本文が拙い日本語になっている場合や、日本語では使用されない漢字が使われていないか確認しましょう

(5)メールの本文に記載されているURLに相違がないか

メールの内容で怪しいと感じた際は本文に記載されているURLをクリックする前に、マウスカーソルをURL上に置き、左下に表示されるURLと一致するかを確認しましょう。

相違する場合、似ている場合も含めURLが偽装されていますので、偽メールと考えてよいでしょう。

(1)-(5)のチェックポイントで1つでも怪しいと思うものがあれば、開かないようにしましょう。

6. 標的型攻撃メールの対策

メール開封だけで感染するウイルスもあるので、あやしいメールは不用意に開封しないようにしましょう。どのように安全なメールか確認する方法をご紹介します。

開封してよいメールか厳重に確認

なかなか難しいことではありますが、本文から怪しい部分を探すという初歩的な方法です。メールアドレスがおかしかったり、名前の文字や文章が少しおかしいなどの部分を探しましょう。

ただし、メールアドレス偽装で送信してきている場合があるため、メールアドレスが合っている=絶対に大丈夫ではありません。

添付ファイルに問題ないか確認

ウイルスは拡張子が「.exe」形式のファイルであることが多いです。メール内で「お知らせを添付した」といっているのに、テキストやPDFファイルではなく、形式が.exeであればウイルスの可能性があります。

ただし、「.pdf.exe」という見間違いやすい名前になっていたり、拡張子を偽装したウイルスも存在するので、かならずしも.exeではない=大丈夫と言いきれません。

社内のやり取りなら本人確認をおこなう

社内のやり取りであれば、「いまファイルを送りました」などと直接声かけで確認すれば、間違いは起こりません。また、メールではなくスカイプやチャットワークといったチャットサービスを利用するという手もあります。アカウント乗っ取りなど受けなければ、安全にファイルのやり取りをおこなうことができるでしょう。

標的型攻撃メール訓練サービスを利用する

このところは、「標的型攻撃メール訓練」といったサービスを提供している企業が増えています。このサービスを利用したり、実際にあったメール事例を社内で共有しておくなどしましょう。

7. 標的型攻撃メールを開封してしまったときは?

気をつけていたものの、もし開いたメールが標的型攻撃メールのようだったときは、つぎのような対処をおこないましょう。

本文内のURLをクリックしない

開封したところ、標的型攻撃メールの可能性がある怪しいメールだった場合、絶対に本文内のURLをクリックしないようにしましょう。ウイルス感染したり、不正な操作がおこなわれる可能性があります。

ウイルススキャンをかける

セキュリティソフトが導入されていれば、ウイルス侵入時に通知があることでしょう。導入されていないのであれば、ウイルススキャンなどのサービスを利用し、ただちにウイルスチェックしてください。

ただし、セキュリティソフトでも検出できないウイルスの可能性もあるので、検出されなかった=絶対に安心とは言いきれません。

セキュリティ担当者に通知する

社内にセキュリティ担当の部署があれば、「標的型攻撃メールを開封してしまった可能性がある」との旨を通知し、適切に対処してもらいましょう。

セキュリティ担当部署がない場合は、社内でウイルスが拡散されないうち、早急にセキュリティ会社へ連絡して対処をおこなう必要があります。

8. 標的型攻撃メールの手口は巧妙化している!

実在の組織を装ったメール

標的型攻撃メールを実施する攻撃者は、事前に周囲の関係を調査してから攻撃を実行するようになってきています。実在の取引先担当者の名前を名乗ったり、知り合いの名前を使って「先日の件について」などの内容で、ウイルスのファイルや罠を設置したURLを送信します。

何度か会話をした上で自然にファイル送信

突然、何の前触れもなくメールにファイルが添付されたり、「このURLをクリックして」などと言われれば、不審に感じてしまいます。

そこで、最近の標的型攻撃メールは何度か会話をしてから、流れで「その件については、添付したファイルをご確認ください」とか、「詳細はこのURLをクリックしてください」などと言ってくるパターンが増えています。

まとめ

標的型攻撃メールがいかに巧妙化していて判断がむずかしいか、お分かりいただけたのではないでしょうか。注意したいのは、「この条件を満たしていなければ絶対に大丈夫」とはっきり言い切れない部分です。

メールの差出人が知っている人物だったり、心当たりのあるタイトルであっても、すぐ開封しないで注意して開くことが重要です。

また、2020年の東京オリンピックに向けて、日本がサイバー攻撃の標的にされる危険性が高まっています。重要施設やデータのみならず、医療関連やインフラ面でもサイバー攻撃がおこなわれる可能性があるでしょう。サイバー攻撃をどう防止するかが、社会的全体での課題といえます。

security_2246