ITお役立ち情報
2022/07/29

標的型メール攻撃とは?被害を受けないための見分け方と4つの対策

標的型メール攻撃とは?被害を受けないための見分け方と4つの対策

昨今、標的型メール攻撃とよばれるサイバー攻撃が増加しています。
標的型メール攻撃とは、特定の組織や個人を対象に、機密情報や重要な情報を盗み取ることを目的とした悪意あるメールのことをいいます。

警察庁の発表によれば、標的型メール攻撃は2020年上半期だけで3,978件も発生しています。誰でもその標的型メール攻撃を受信する可能性があることを認識して、被害に遭わないよう、常に危機意識を持つことが大切です。

本コラムでは、標的型メール攻撃の手口や、被害に遭わないための見分け方、対策方法をご紹介いたします。

【関連記事】
標的型攻撃メール 見分ける力と開封してしまった際の初動対応力が、被害を最小限に食い止める
開封率は約50%!ほんとに自分は大丈夫?~「標的型メール攻撃訓練」の結果~

標的型メール攻撃とは?

標的型メール攻撃についてのご紹介の前に、そもそも「標的型攻撃」とは、何を指すのでしょうか?

標的型攻撃とは

標的型攻撃とは、特定のターゲットに対し、機密情報の窃取のように明確な目的をもって行われるサイバー攻撃をいいます。Webサイトやメール、USBメモリなどが使われます。

標的型メール攻撃の手口

なかでも特に、メールを使った標的型攻撃を「標的型メール攻撃」といいます。
特定の組織や個人を対象に、機密情報や重要な情報を盗み取ることを目的とした悪意あるメールで、開封するだけで感染してしまうウイルスや特定サイトへ誘導させる罠が仕組まれていたり、開いただけで不正プログラムが自動的にダウンロードされる文書ファイルが添付されたりしたものです。また、受信した人に開封を促すよう、件名や本文を特定の対象に向けた正当な内容のように見せかけているのが特徴です。

近年は、「Emotet(エモテット)」とよばれるマルウェアが利用される標的型メール攻撃による被害が世界で報告されており、日本でも被害が出ています。

【関連記事】
世界で猛威を振るうEmotet(エモテット)とは?

標的型メール攻撃の見分け方

受信したメールの中に、標的型メール攻撃があるかどうかを見分けるためにチェックしたいのは、「件名」「差出人を確認する」「メールの本文」「添付ファイル」の4点です。

件名

以前は、件名が英語で書かれているなど、わかりやすいものが多かったのですが、近年の標的型攻撃メールは巧妙化しており、新製品紹介やアンケート調査、取材申込、履歴書送付、議事録、災害情報といったキーワードを用い、開封しなくてはならないような心理状態にさせるものが増えています。

とはいえ、件名から標的型メール攻撃であることを判別できるケースもあります。
ポイントは、これまでにその差出人(マスコミや公的機関)からの情報が届いたことがあるか、内容に心当たりがあるかどうかです。ないものは標的型メール攻撃である可能性が高いです。

差出人のメールアドレスを確認する

前項とも関連しますが、差出人をチェックすることでも見分けられます。
差出人として表示される組織名や個人名に心当たりがある場合でも、メールアドレスがフリーアドレスである場合は、標的型メール攻撃を疑いましょう。
また、差出人のアドレスと、メール本文中に記載されたアドレスが異なる場合も同様です。
実在するドメインと似せてある場合もあるので要注意です。

メールの本文

メール本文をチェックする際は、日本語として自然かどうかに着目しましょう。たとえば、言い回しがおかしかったり、通常、日本語では使用されないような漢字(繁体字・簡体字)で記載されていたりする場合は、標的型メール攻撃の可能性があります。

また、少々、見分けるのが難しいですが、署名やURLも標的型メール攻撃を見分けるヒントになります。標的型メール攻撃の場合、実在しない組織名や電話番号であったり、表示されているテキストと実際にリンクしているURLが異なるものであったりします。

添付ファイル

添付ファイルも標的型メール攻撃かどうかを見分ける大きなポイントです。
まず、添付ファイルがある時点で、それがマルウェア感染を誘導するものであることを疑う必要があります。特に、「.exe」「.scr」といった実行形式ファイルや「.lnk」などのショートカットファイルが添付されている場合は標的型メール攻撃である可能性が高いです。

また、実際には実行形式ファイルなのに、文書ファイルなどのアイコンに偽装されているケースや、拡張子が偽装されているケースもあるため、正規のものであることを確認した上で添付ファイルを開きましょう。

標的型メール攻撃による被害

実際に標的型メール攻撃によって被害を受けた場合、従業員や顧客の個人情報や機密情報の漏えい、また、パソコンなどの端末が乗っ取られて別のサイバー攻撃の踏み台として悪用されることもあります。

標的型メール攻撃による被害の実態を探るため、過去の被害事例を見てみましょう。

678万人の個人情報が漏えい(株式会社i.JTB)

旅行会社である株式会社JTBは、2016年6月、取引先を装った標的型メール攻撃により、約793万件の個人情報が流出したと発表しました(後に約678万件に訂正)。

きっかけは、2016年3月15日、JTBの子会社でインターネット販売事業を行っていた株式会社i.JTB(当時。2018年に株式会社JTBに吸収合併され、解散)に届いたメールの添付ファイルを開いたことで、パソコン6台とサーバー2台がウイルスに感染。メールアドレスは、日本人によくある苗字と、実在する国内航空会社のドメインで構成されており、添付ファイル北京行のe-チケットのPDFファイルが圧縮されたものと、不審な点が見当たらず、開封者はウイルスが仕込まれた不正なメールであるとは気付かなかったといいます。

同月、不審な通信が確認されたため、調査を行うと、サーバー内に不正に作成・削除されたデータファイルが見つかり、このファイルには約4,300人分の有効期限中パスポート番号を含む、約678万人の氏名や生年月日といった個人情報が記載されていました。

この事例では、メール攻撃を受信した4日後にはシステム監視会社が不審な通信に気づいていながら、本社への報告は5月半ばまで行われず、公式発表が6月となった対応の遅さに批判が集まりました。

125万人分の個人情報が漏えい(日本年金機構)

公的年金に係る運営業務を行う日本年金機構は2015年6月、少なくとも125万件の年金情報が流出したことを公表しました。

経緯は、2015年5月8日に「『厚生年金基金制度の見直しについて(試案)』に関する意見」という件名の標的型メール攻撃が届き、複数の職員がこの中に記載されていたURLをクリックしたことをきっかけに、全27台のパソコンがマルウェア「Emdivi(エムディヴィ)」に感染。このうち19台のパソコンが外部に大量の情報を送信。最終的に、125万件もの年金情報が外部に漏えいした可能性が疑われる事態に発展しました。なお、件名となっている文書は、実際に厚生労働省のWebサイトに存在しているものでした。

同機構のネットワークは厚労省のネットワークの配下にあり、内閣サイバーセキュリティセンター(NISC)が24時間体制で監視していました。NISCが5月8日のうちに不審な通信について厚生労働省へ報告したため、同省の年金局は機構に対して感染のLANケーブルの抜線・回収を指示し、機構側も対応し、一度は収束したかに見えました。

しかし、今度は5月18日から20日にかけて非公開だった職員のメールアドレスに100通以上の標的型メール攻撃が届き、一部の職員が添付ファイルを開いてウイルスに感染し、ネットワーク経由で広がった過程で、125万件の年金情報漏えいが起きたとみられます。

Emdiviは、感染した端末を第三者が遠隔で操作できるようにするマルウェアです。標準的な通信プロトコルとポートの組み合わせを使うケースが多いことから活動を検知しにくいといわれます。

詐欺メールに3億8,000万円以上を振り込む(日本航空株式会社)

JALの略称で親しまれている大手航空会社、日本航空株式会社が2017年8月から9月にかけ、取引先を装ったメールに騙され、航空機1機と3ヵ月分のリース料、貨物業務の委託料の名目で3億8,000万円以上もの大金を振り込むという事件が起きました。

メールには振込先の口座変更が記載されており、元のメールアドレスは正しいものと1文字違いで見分けづらいものだったといいます。また、請求内容も架空のものではなく、同社が実際に支払わなければならないもので、請求書のレイアウトやファイル形式も正規のものと同じだったことから、担当者は詐欺であることに気づきませんでした。振込後は全額が引き出され、回収不能になったといいます。

このことから、攻撃者はすでに何らかの方法でどちらかのパソコンにマルウェアを仕掛けるなどしてメールアカウントやメールサーバーを掌握済みであり、同社と金融機関のメールのやり取りを盗聴できる状態にあったと考えられます。

標的型攻撃をされないための4つの対策

最後に、標的型攻撃をされないための4つの対策をご紹介いたします。

OSやソフトウェアのアップデートを欠かさない

業務に使用しているOSやソフトウェアを常に最新版にアップデートしておくことで、既知の脆弱性を修正できます。

すでにパッチが提供されているにも関わらず、それを適用していないところが狙われる「Nデイ攻撃」は、パッチが提供される前を狙う「ゼロデイ攻撃」に比べてはるかに多いのです。
少し古い数字になりますが、米国の大手電気通信事業者であるベライゾン・コミュニケーションズが発表した「2015年度 データ漏えい/侵害調査報告書」によれば、2014年に悪用された脆弱性のうち、99.9%が公開後1年以上経過した既知の脆弱性であったといいます。

既知の脆弱性を放置せず、OSやソフトウェアのアップデートを行って常に最新版を保つことで、Nデイ攻撃を回避できます。

ソフトをインストールしてセキュリティを高める

マルウェア対策のセキュリティソフトを活用すれば、既知のマルウェアを検知することができ、遮断などの対策に素早く取りかかれます。
未知のマルウェアも、検知できる「ふるまい検知」の機能を搭載したタイプもあるため、必ず導入して備えましょう。

情報を社内で共有をする

社内で情報セキュリティ対策を行うIT担当者間で、最新の標的型メール攻撃の被害事例を共有する場を設け、手口や復旧状況などを全員が把握しておきましょう。
その上で、自社のセキュリティ体制を継続的に改善していくことが重要です。

標的型メール攻撃を疑似体験する

従業員に対し、標的型メール攻撃について教育を行うことは大切ですが、上でもお伝えしたように、近年の標的型メール攻撃は巧妙化してきており、「標的型メール攻撃の見分け方」でご紹介したようなポイントをすべてチェックしたとしても、見破ることができないものが出てくると考えられます。また、研修などを受けた直後は記憶がはっきりしていても、時間が経つにつれて忘れてしまったり、危機感が薄れてしまったりすることは避けられません。

そこで、標的型メール攻撃訓練のサービスを利用するなどして、実際に従業員に標的型メール攻撃を疑似体験してもらうことが有効な対策となってきます。サービスによっては、単に訓練メールの送付や開封率などの分析だけでなく、標的型メール攻撃訓練を開封してしまった後の対処法についてのレクチャーまで行ってくれるものもあります。

【関連記事】
標的型攻撃メール 見分ける力と開封してしまった際の初動対応力が、被害を最小限に食い止める
開封率は約50%!ほんとに自分は大丈夫?~「標的型メール攻撃訓練」の結果~

まとめ

標的型メール攻撃は巧妙化しており、日常の業務の中ではなかなかチェックし切れず開封してしまうことも考えられます。実際に標的型メール攻撃によってマルウェア感染したり詐欺に遭ったりしてしまうと、金銭的な面でも信用の面でも莫大な損失を被ることになってしまいます。

OSやソフトウェアのアップデート、セキュリティソフトの活用などにより、標的型メール攻撃の被害を防ぐための対策を取りましょう。

アイネスでは標的型メール攻撃訓練サービスをはじめ、さまざまなセキュリティサービスで組織全体のセキュリティ強化をご支援しています。
セキュリティでお悩みのご担当者様は、お気軽にご連絡ください。

※ 本文に掲載されている会社名・団体名および製品名は各社または団体等の商標または登録商標です。

ITでお悩みのご担当者様へ

弊社は、情報サービスのプロフェッショナルとして、システムの企画・コンサルティングから開発、稼働後の運用・保守、評価までの一貫したサービスと公共、金融、産業分野などお客様のビジネスを支える専門性の高いソリューションをご提供しています。お気軽にご相談ください。

INES_logo_CTA