特定のターゲットに絞ってメールなどで外部からサイバー攻撃を仕掛ける「標的型攻撃」は、インターネットの普及とともに増えているサイバー攻撃の一種です。本記事では標的型攻撃の事例をいくつか紹介し、再発防止とセキュリティ面での注意点について説明していきます。セキュリティ体制の見直しにご活用ください。
目次
[ 開く ]
[ 閉じる ]
- 標的型攻撃メールの手口の種類
- 添付ファイルの送付
- 悪意のあるURLへの誘導
- フィッシングサイトへの誘導
- 標的型攻撃メールの最新の手口
- 問い合わせの後のフィッシングメール
- Emotet感染を企図した攻撃メール
- ヘルプファイルを悪用した攻撃メール
- 標的型攻撃メールの被害実例
- 【2015年】日本年金機構の個人情報漏洩事件
- 【2016年】JTBの顧客情報流出事件
- 標的型攻撃メールの具体的な文面
- セキュリティに関する注意喚起【サンプル】
- 就活生を装った履歴書送付【サンプル】
- 製品に関する問い合わせ【サンプル】
- 標的型攻撃メールの見分け方のポイント
- メールのテーマ
- 差出人のメールアドレス
- メールの本文
- 添付ファイル
- 標的型攻撃メールの対策方法
- 訓練を実施する
- OSやソフトウェアを最新版にする
- セキュリティ対策ソフトを導入する
- マルウェアを検知する仕組みを作る
- まとめ
標的型攻撃メールの手口の種類
標的型攻撃メールとは、特定の企業や個人を狙って、情報を盗むことを目的として行われるサイバー攻撃のことです。まずは標的型攻撃メールの手口について、主にどのような種類があるのか紹介していきます。
【関連記事】サイバー攻撃とは?種類や被害事例、対策方法についてわかりやすく解説
添付ファイルの送付
標的型攻撃メールのもっとも有名な方法が、添付ファイル付きのメールです。悪意があるプログラムを仕込んだ添付ファイルをメールと一緒に送り、その脅威となるプログラムを展開することでウイルスや不正プログラムを強制インストール(感染)させます。
悪意のあるURLへの誘導
メールに添付したURLへ誘導し、クリックさせると同時にウイルスに感染させる手法があります。主にセキュリティ警告やネット通販会社、クレジットカードに関する内容のメールが届き、問題や支払いトラブルをにおわせて添付のURLをクリックさせて感染させる寸法です。
個人宛だけではなく、企業宛のメールでも注意を払う必要があります。特に、備品の購入先と同じ名前を騙られている場合は見破るのが難しいという特徴があります。
フィッシングサイトへの誘導
「悪意のあるURLへの誘導」とよく似ていますが、こちらはクリック後にクレジットカード情報や個人情報を抜き取ることを目的にしたものです。ウイルス感染を同時に起こす場合もあり、注意が必要な詐欺でもあります。
フィッシングサイトへの誘導はメールだけではなく、SNSやSMSでも近年増加しています。内容は金融機関やクレジットカード会社、オンラインショッピングモールなどを語っているものが多い傾向です。
標的型攻撃メールの最新の手口
標的型攻撃メールは近年、取引がある企業を装い安全なメールだと思い込ませるなど、手口が巧妙化しています。このような偽装をされているケースが多いため、特に注意が必要です。
代表的なものは以下の3つです。
- 問い合わせの後のフィッシングメール
- Emotet感染を企図した攻撃メール
- ヘルプファイルを悪用した攻撃メール
問い合わせの後のフィッシングメール
BtoBサービス経由で送られてきた問い合わせから、フィッシングサイトへアクセスさせた事例が報告されています。内容は「商品カタログを送付してほしい」というもので、担当者が「どの商品がよいのか教えてほしい」と返信。その後先方から返ってきたメールにはURLとほしい商品の番号が添付されており、アクセスしたところ「Bitducket」と呼ばれる実在するサイトへ誘導されたのです。
この時点で、該当のメールはフリーメールで送信されていたこと、不自然な日本語で記載されていたことから、担当者が不審に感じてセキュリティを担当する部署へ報告することとなりました。送付されていたリンクの先にはDropboxを真似たサイトがあり、ファイルダウンロードができるようになっていたようです。このファイルのダウンロード時にログインを要求される仕組みですが、メールアドレスが事前に入力されている状態であることから、送信してしまうと攻撃を受ける仕組みとなっていました。
上記のような問い合わせからフィッシングサイトへアクセスさせる手法は「やり取り型」と呼ばれており、最初は攻撃のそぶりが見えないのが特徴です。企業に対して行われることがあるため、上記の攻撃手法を周知徹底しておくようにしてください。
Emotet感染を企図した攻撃メール
Emotetとはマルウェアの一種で、情報を抜き取るだけではなくほかへウイルス感染を引き起こすコンピューターウイルスです。感染すると相手に感染したメール送信者の添付したファイルをパスワード付きZIPファイルに自動で変化させてしまいます。
本事例は先方から添付ファイル付きのメールを受信したのちに、パスワードを記したメールが別で送られてきたことで発覚しました。従来のEmotetによる攻撃メールの本文にパスワードが記載されているケースとは異なり、別で送られてきたことが本件の特徴でもあります。ZIPファイルを開こうとパスワードを入力してしまうとEmotetに感染してしまうため、注意しなければなりません。
IPA(情報処理推進機構)ではEmotetによる攻撃メールに関する注意喚起を行っています。報告書が出された2022年3月時点でも多くの企業が被害にあっていることから、注意しておかなければならない事例と言えるでしょう。
ヘルプファイルを悪用した攻撃メール
ヘルプファイル(コンパイルされたHTMLファイル)を悪用して攻撃を仕掛けるメールも存在しています。メールに添付された圧縮ファイル内に仕組まれており、ヘルプファイルを閲覧しようと開くと感染する仕組みです。
Officeファイル経由で感染する場合はマクロ機能を有効にしない限りは感染しませんが、ヘルプファイルの場合は開いただけで感染してしまいます。利用者全員に対する周知徹底が必要です。
標的型攻撃メールの被害実例
標的型攻撃メールによる被害は、小さなものもあれば大きなものもあります。本記事では、2015年に発生した日本年金機構の事例と、2016年に発生したJTBの事例を紹介します。被害規模の大きなものですが、企業の大きさに関わらず発生しうるトラブルであるため、ぜひ事例として学んでおきましょう。
【2015年】日本年金機構の個人情報漏洩事件
2015年6月1日、日本年金機構は少なくとも125万人の個人情報が流出したことを報告しました。
2015年5月8日、日本年金機構の職員のメールアドレスに不審なメールが届きました。職員がメール本文に記載したURLをクリックしたところ、マルウェアに感染。2015年5月20日までの間に職員のメールアドレス宛に標的型攻撃メールが124通送られました。そのうち5通に対し添付ファイルを開いたり、URLへのリンクをクリックしてファイルをダウンロードしてしまったりとの報告が寄せられたとのことです。
流出した約125万件の個人情報のうち、約116万7000件は基礎年金番号・氏名・生年月日の3項目、約5万2000件は基礎年金番号・氏名・生年月日・住所の4項目、約3万1000件は基礎年金番号・氏名の2項目で構成されていました。
この攻撃における標的型攻撃メールでは、特定の拠点の職員を狙い、実在の職員の名前や業務に関係する内容を記載するなど、巧妙な手口が取られていたのが特徴です。
【2016年】JTBの顧客情報流出事件
2016年6月、JTBは取引先を装った標的型攻撃メールによりウイルス感染したことが発端となり、顧客の個人情報の流出が発生したことを発表。793万人にも及ぶパスポート番号も含む個人情報の流出は、被害の大きさからもインパクトの大きいものでした。
発端は2016年3月15日に旅行商品をインターネット販売する子会社であるi.JTB(アイドットジェイティービー)が、Webサイトで公開している問い合わせ先となっている代表メールアドレス宛に何者かが標的型メールを送り付けました。メールソフトに表示されるメールアドレスのドメインはこれまで取引のある航空会社系列の販売会社のドメインでしたがユーザー名は知らない人だったとのことです。
件名は「航空券控え 添付のご連絡」で、JTB広報室は「本文はあった。サプライヤーからの送信と見誤る内容のものだった」とコメントしています。問い合わせ内容も特段おかしいものではなく、一目しただけでは攻撃メールかどうかわからない内容だったため、対応したオペレーターは添付されていたファイルを展開して内容を確認。表示された航空券のeチケットに記載されている人物の申し込みが見当たらなかったため「該当なし」の旨を返信しました。
返信したメールは問い合わせ元のメールアドレスには届かず、攻撃者はメールアドレスを偽装して送信してきていたようでした。攻撃者は実際の送信元が見えないように偽装し実在する販売会社のドメインから送信したように見せていたため、一見すると見破ることが難しい手口が取られていた手口です。
標的型攻撃メールの具体的な文面
標的型攻撃メールの文面は、明らかにおかしいものもあれば、巧妙にできているものまでさまざまです。巧妙なものは普段見ているメールと大きな違いがない状態で送られてきますが、おかしなポイントがあると知っておけば未然にトラブルを防止できます。以下で紹介するサンプルをもとに、どのような特徴があるのかを解説します。
セキュリティに関する注意喚起【サンプル】
IPA(独立行政法人 情報処理推進機構)やセキュリティソフトの販売元企業などの機関・企業を装い、注意喚起などに見せかけたメールが送られることがあります。
セキュリティに関する注意喚起のメール例
差出人:独立行政法人 情報処理推進機構<[email protected]>
件名:Microsoft Officeの脆弱性の修正について(MS14-xxx)(CVE-2014-xxxx)
本文:
Microsoft Officeの脆弱性修正について(MS14-XXXX)(CVE-XXXX)
日本マイクロソフト社のMicrosoft Officeにリモートコードが実行される等の脆弱性が存在します。
・・・・・
日本マイクロソフト社からの情報
http://technet.microsoft.com/ja-jp/security/bulletin/ms14-XXX
参照:IPAテクニカルウォッチ「標的型攻撃メールの例と見分け方」
上記のメールで疑うべきは件名と差出人のメールアドレスです。使用されているメールアドレスが公的機関のものではなくフリーアドレスの場合は標的型攻撃メールを疑いましょう。
また、本文に添付されているURLにも注意が必要です。メールソフトによって異なりますが、メールの表示形式をHTMLからテキスト表示に切り替えてみると、実際のURLが分かる仕組みとなっています。添付のURLと実際のURLが異なっている場合は標的型攻撃メールの可能性があります。開かずにセキュリティ担当部署へ報告してください。
就活生を装った履歴書送付【サンプル】
標的型攻撃メールではメールの受信者を想定し、業務に関するメールを装うことがあります。下記が標的型攻撃メールの例です。
就活生を装った履歴書送付のメール例
差出人:情報 太郎<[email protected]>
件名:就職についての問い合わせ
添付:履歴書.zip
本文:
ご担当様
お世話になっております、○○です。
大学卒業後、私は貴社に入社したいと考えております。
採用に関する書類についての質問ですが、こちらのメールアドレスから提出ができますでしょうか。
以上、よろしくお願いいたします。
情報 太郎
参照:IPAテクニカルウォッチ「標的型攻撃メールの例と見分け方」
就活生を装っている場合、送信元のメールアドレスがフリーアドレスでも違和感がないため判断が難しくなります。しかし、実際に送信されたメールアドレスと署名下のメールアドレスが異なっている場合は攻撃を目的としたメールである可能性があるでしょう。特に人事部などはフリーアドレスでのメールが多く受診されるため、内容を精査しなければなりません。
製品に関する問い合わせ【サンプル】
製品に関する問い合わせを装った標的型攻撃メールも後を絶ちません。具体的なメールの中身は以下のようなものになります。
製品に関する問い合わせのメール例
差出人:情報 太郎<××@example.com>
件名:新商品に関する問い合わせ
添付:問い合わせ内容.zip
本文:
GMOサイバーセキュリティ ご担当者 様
お世話になっております、株式会社××の佐藤と申します。
先日発表されました貴社の新商品「○○」について購入を検討しております。
近々でお手すきの際に打ち合わせをさせていただけますと幸いです。
それに先駆けまして、何点か質問がありましたので添付させていただきました。
お手数ですがご確認の上、ご回答いただけますと幸いです。
株式会社×× 佐藤次郎
××@example.co.jp
参照:IPAテクニカルウォッチ「標的型攻撃メールの例と見分け方」
上記の場合、商品名やサービス名が実在のものであることが多く、一見すると疑いの余地がないメールに見えます。着目したいのは送信元アドレスと文末のメールアドレスが一致していない点、ZIPファイルが添付されている点です。これら2点についてアンテナを張っておきましょう。
なお、製品やサービスに関する問い合わせを装ったメールの中には外国語で送信されているものもあります。安易に開かず、セキュリティ関係の部署へ報告してください。
標的型攻撃メールの見分け方のポイント
IPAでは報告された標的型攻撃メールを見分けるために、いくつかの共通点を公開しています。覚えていたり共有したりすることで、未然に攻撃を受けずに済む可能性もあるためぜひ参考にしてください。
メールのテーマ
メールのテーマには標的型攻撃メールを見分けるための特徴があるとIPAは報告しています。具体的には以下のような件名は注意が必要です。
メールのテーマの特徴
- 知らない人からのメールだが、メール本文の URL や添付ファイルを開かざるを得ない内容
- 送信者や内容に心当たりはないが興味を惹かれる内容
- 心当たりはないが公的機関からのお知らせ
- 企業・組織全体に対するお知らせ
- 心当たりのない決済・配送の通知
- IDやパスワードの入力が必要なメール
参照:IPAテクニカルウォッチ「標的型攻撃メールの例と見分け方」
共通点としては、受信者に心当たりがない場合が多いようです。あるいは開封を避けられないようなテーマであることもあり、実際の被害につながっています。対策として心当たりや関係がなければ開かない、あったとしても別の方法で確認をとるなどがあります。
差出人のメールアドレス
標的型攻撃メールの場合、差出人のメールアドレスに特徴がある可能性があります。内容は以下の通りです。
差出人のメールアドレスの特徴
- フリーアドレスが使用されている
- 差出人のメールアドレスと末尾の署名のメールアドレスが異なる
参照:IPAテクニカルウォッチ「標的型攻撃メールの例と見分け方」
フリーアドレスを一概に疑うことはできませんが、公的機関や企業から送信されているにもかかわらず、フリーアドレスで送信されている場合は標的型攻撃メールの可能性があります。また、差出人のメールアドレスと署名欄のメールアドレスが異なる場合も注意が必要です。
メールの本文
メール本文にも注意すべきポイントがあります。確認が必要なものもありますが、具体的には以下の要素です。
メールの本文の特徴
- 不自然な日本語が使用されている
- 日本語では使用されない繁体字や簡体字が使用されている
- 実在する名称を一部に含むURLが記載されている
- (HTMLメールの場合)表示されているURLと実際のリンク先URLが異なる
- 署名内容に間違いがある(実在しないなど)
参照:IPAテクニカルウォッチ「標的型攻撃メールの例と見分け方」
不自然な日本語や漢字など、ひと目でわかるものもありますが、なかにはURLや署名を精査して判断しなければならないものもあります。HTMLメールの場合のURLの判断方法は「セキュリティに関する注意喚起【サンプル】」で解説していますので、参考にしてみてください。
添付ファイル
添付ファイルには標的型攻撃メールを見分けるポイントがあります。以下のポイントに該当するものは、標的型攻撃メールと疑うべきでしょう。
添付ファイルの特徴
- 実行形式ファイル(exe/scr/cplなど)が添付されている
- lnkなどのショートカットファイルが添付されている
- アイコンが本来のファイルのものとは異なる
- 拡張子が偽装されている
参照:IPAテクニカルウォッチ「標的型攻撃メールの例と見分け方」
企業によっては添付ファイルのあるメールが珍しくない可能性もありますが、ファイルの種類や拡張子に注意が必要です。特に業務に関係のないファイルや送信元が不明の添付ファイルは開かないようにしましょう。
標的型攻撃メールの対策方法
標的型攻撃メールの被害に遭わないためには、会社全体での対策が不可欠です。詳しい・詳しくないは関係なく、全社で標的型攻撃メールに対する対策を講じておく必要があります。
具体的な対策は、以下の4つです。
- 訓練を実施する
- OSやソフトウェアを最新版にする
- セキュリティ対策ソフトを導入する
- マルウェアを検知する仕組みを作る
それぞれ詳しく解説します。
訓練を実施する
標的型攻撃メールは手口が巧妙化しており、個人の努力で防ぎきることは不可能です。基本的なことではありますが、心当たりのない送信者からのメールを開かない、不審な添付ファイルを開かないなどを周知徹底しましょう。
また、事例を共有するとともに、万が一自社が攻撃を受けた場合の訓練を実施するのも有効です。標的型攻撃メールは、一人が感染すると全社に拡大してしまう可能性があります。そうならないためにも有事の訓練として社内全体でセキュリティに対する意識を高めておく必要があります。
OSやソフトウェアを最新版にする
OSやソフトウェアを最新版にしておくことで、攻撃を阻止できる可能性があります。ウイルスのなかにはセキュリティホールと呼ばれるプログラムの穴を突いて攻撃を仕掛けてくるものもあります。OS・プログラムを最新の状態に保っておくと、これらのセキュリティホールに対する対策がなされて被害を食い止められる可能性があるのです。
裏を返せば、脆弱性のあるOSやソフトウェアをそのまま使い続けるのは、自ら侵入してくださいと言っているのと同義です。新しいバージョンのリリースや修正パッチの配布があれば、すぐに適用するようにしましょう。
セキュリティ対策ソフトを導入する
セキュリティ対策ソフトを入れておくと、何かしらのウイルスを検知した際に削除してくれる可能性が高くなります。無料版と有料版の2種類がありますが、有料版の名前が知られているソフトを導入するようにしましょう。すでに導入している場合はOSなどと同じく最新版にアップデートしてください。
注意点として、複数のセキュリティ対策ソフトを導入してはいけません。セキュリティ対策ソフトが複数入っていると、いずれかのソフトが正常に動かなくなる可能性もあります。
マルウェアを検知する仕組みを作る
ここまで解説した対策を取っても、100%ウイルスの侵入を防げるわけではありません。ログ監視ツールや運用体制の見直しを行い、マルウェアを早く検知する仕組みを作るのも有効な施策のひとつです。
具体的な方法は、こちらの記事で解説しています。ぜひ参考にしてください。
まとめ
標的型攻撃メールでの攻撃は4社に1社が狙われているという報告もあります。精度は時間の経過とともに高まりを見せており、標的型攻撃メールを見分けるためにはまず本文をしっかりと確認し、リンク先や添付ファイルに注意しましょう。また、セキュリティソフトの導入やソフトウェア更新の適用なども行い、扱っている情報の内容によっては訓練サービスや対策ツールの導入なども検討を行うことが標準型攻撃への対処法です。
文責:GMOインターネットグループ株式会社