標的型攻撃メールとは
標的型攻撃メールとは、特定の企業(組織)や個人を狙って、悪意があるプログラムを仕込んだ添付ファイルやURLをメールと一緒に送り、その脅威となるプログラムを展開することでウイルスや不正プログラムを強制インストール(感染)させます。あたかも業務に関係したメールのように偽装するなどテクニックが駆使されているのが特徴で特に注意が必要です。
標的型攻撃メールの被害事例
まず、標的型攻撃メールの見分け方を紹介する前に、被害事例をご紹介していきます。
大手旅行代理店から793万件の個人情報が流出
2016年6月、日本を代表する大手旅行代理店JTBでオンラインサービスから、793万件の個人情報が流出したと発表されました。不正アクセスによって流出したもので、流出項目は氏名・生年月日・メールアドレス・住所・電話番号などに加えて、4300件のパスポート番号も含まれていました。オンライン予約サービスを使った人はもちろん、提携先のオンラインサービスを使ったお客様の情報も流出しているようです。
4,300件のパスポート再発行の費用を旅行代理店が持つとしても約7,000万円かかります(10年パスポートの場合)。さらに、793万人に対しての謝罪の経費もかかり、旅行代理店は極めて大きな負担を強いられます。
出典:不正アクセスによる個人情報流出の可能性について|株式会社ジェイティービー
旅行代理店を襲った標的型メールとは
今回の個人情報流出事件において、注目されたのが標的型メールの存在でした。実在する取引先企業になりすまし、ウィルスを送りつけてくるメールです。今回の場合はさらに巧妙となり、航空券の偽装PDFファイルをメールで送りつける内容でした。取引先の航空会社系列企業からのメールで、タイトルは「航空券控え 添付のご連絡」。本文には「eチケットを送付しますのでご確認ください」という趣旨の文章があり、送信元の署名は実在する取引先の会社名、部署、担当者名のものだったと報告されています。
担当は何の疑いも持たずに、添付されたPDFファイル「E−TKT控え」を開け、航空券のeチケットが表示され、この時点ではウィルス感染に気づいていません。これは代理店の業務内容を熟知し、関係先を調べ上げたうえでの犯行です。
メールの見分けが困難な マルウェア「PlugX」
旅行代理店に送り込まれたウィルスは「PlugX」という種類のマルウェアでした。2012年ごろから日本国内でも見られるようになり、韓国、香港、台湾、ベトナムなど主にアジアを中心に使われています。司令塔サーバとなるC&Cサーバから感染したPCを制御したり、命令を送ることができます。ファイルの送受信機能を使い、別のマルウェアをターゲットに送ることも多くあります。
PlugXの検出は2014年下半期がもっとも多く、2016年では検出数が激減しています。「それだけ先鋭化し、本当に狙っている絞り込んだターゲットに使われていると考えられます」と専門家は指摘します。
標的型攻撃メール5つの見分け方
標的型攻撃メールを見分けることで、攻撃を予防できます。ここからは、標的型攻撃メールの見分け方を具体的に解説していきます。
1.メールの本文をしっかり確認する
標的型攻撃メールはしっかりと読めば、怪しい箇所に気づくことができるかもしれません。例えば、日本語の言い回しが不自然であることや普段日本語で使われない繁体字、簡体字が使われている場合もあります。その他には、知らない人からのメールやフリーアドレスからのメールも注意が必要です。このようにまずは行える見分け方として、メールをしっかりと確認することが必要です。
2.リンク先や添付ファイルにも注意をはらう
標的型攻撃メールには、特に注意が必要なのが、記載されているURLや添付ファイルです。これらのも簡単な見分け方、注意すべきところがあります。URLに関しては、表示されているリンクと、実際に飛ぶリンクとが一致していない場合は注意が必要です。添付ファイルに関しては、実行形式ファイルが添付されている場合も用心深く注視しましょう。いずれにせよ安易にリンク先に遷移することや実行ファイルを開こうとすることをまずは意識的にやめてみるのも良いかもしれません
3.アイコンやファイルの偽装に気を付ける
実行形式ファイルが添付されている場合は、誤ってダブルクリックなどで実行してしまわないように気を付けましょう。また、zipなどのデータ形式ファイルを安易に解凍することも控えましょう。拡張子がlnkのショートカットファイルを利用してWindowsの正規プログラムを実行させ、最終的に不正マルウェアなどをダウンロードさせる手法も存在します。
実行形式ファイルはアイコンを自由に設定することができるため、文書ファイルなどに偽装することができます。ショートカットファイルの場合も偽装は可能ですが、アイコン左下にショートカットファイルであることを示す矢印マークが表示されます。二重拡張子など、拡張子を偽装する手段もありますので、添付ファイルに偽装が施されていないか注意してその正体を見定めましょう。
4.標的型攻撃メールの訓練サービスを利用する!
ここに至って、多くの企業ではメール対策の抜本的な見直しを迫られています。ここまで研究し尽くされていると、「怪しいメールは開かない」という教育だけでは標的型メールを見分けようがありません。すべてを怪しいメールと疑ってかかると、正規のメールさえ扱うことが困難になり、通常業務の支障になります。
そこで必要となるのがメール見分け方の「訓練」です。それも年に1度や2度の訓練ではありません。抜き打ちに繰り返して実践し、常に攻撃者から狙われていることを意識付けさせる仕組みが必要です。見分け方の訓練を繰り返し、目標とするレベルまで社員の意識と対処レベルを引き上げるのです。攻撃メールへの対処のみならず、万が一ウィルスを社内に引き込んでしまった場合、正確な初動対策をとって、被害を最小化する訓練も提供します。
標的型攻撃メール訓練サービスについてより詳しく知りたい方には、下記の記事がおすすめです。
5.標的型攻撃対策ツールを導入する
これまで紹介してきたのは、あくまで人的な対策でしたが、標的型攻撃メールを対策するためにツールを導入する手もあります。対策ツールの導入なら、1件1件メールを確認しなくて済みますので、業務を遮らないように対策することができます。
標的型攻撃対策ツールの製品情報に関して詳しく知りたい方には、下記の記事がおすすめです。
標的型攻撃メールの見分け方をおさえてセキュリティ対策しよう
もはや標的型攻撃は対岸の火事ではありません。4社に1社が狙われているという報告もあります。すでに、標的型メール等の訓練サービスは相当数の事業者から提供されています。標的型攻撃メールを見分けるためには、まず本文をしっかりと確認し、リンク先や添付ファイルに注意しましょう。
また、添付ファイルが偽装されていないか確認することも重要です。標的型攻撃メールへの対策を徹底させるには訓練サービスや対策ツールの導入が効果的です。自社の情報を守るために、標的型攻撃メールへの対策を検討しましょう。
