あなたを狙う「標的型攻撃メール」〈前編〉

問い合わせや取引などを装って届いたメールのリンクをクリックしたり、添付ファイルを開いたことで、ウイルスなど悪意あるソフトウェア(マルウェア※1)に感染してしまう。そんな「標的型攻撃メール」の被害が拡大しています。独立行政法人 情報処理推進機構(IPA)に取材したその実態と対策を、2回にわたり連載します。


表:標的型攻撃メールの着眼点(IPAテクニカルウォッチ(技術レポート)「標的型攻撃メールの例と見分け方」より)
標的型攻撃メールの着眼点
※は本誌編集部による注釈
「IPAテクニカルウォッチ標的型攻撃メールの例と見分け方」https://www.ipa.go.jp/security/technicalwatch/20150109.html

誰もがターゲットになり得る「標的型攻撃メール」

▲IPAが発行している『IPA NEWS』(右)と、ホームページ上で公開しているIPAテクニカルウォッチ「標的型攻撃メールの例と見分け方」(左)

—「標的型攻撃メール」とは、どのようなものなのでしょうか。

釜谷 標的型攻撃メールとは、特定の組織や人を対象とした“ついうっかり開いてしまう”ような仕掛けが施されたメールのことです。このメールの本文中のリンクをクリックしたり、添付ファイルを開いてしまうと、利用者のPCがウイルスなどの悪意あるソフトウェアに感染してしまいます。その起源は意外に古く、国内では2005年くらいに観測されています。

—こうした攻撃を仕掛ける動機はどこにあるのでしょう。

釜谷 攻撃者(メールの送信者)の最終的な目標は、情報や金銭を盗み取ることです。ただ攻撃者は直接メールの受取人を狙っているとは限りません。受取人をだまし、そこから得た情報(メールアドレス、会社の内部情報など)を踏み台に、さらに親会社や取引先を狙うパターンもあります。つまり誰もが標的型攻撃メールのターゲットとなり得るのです。

正規のメールのやり取りの途中で相手がすり替わることも

—「標的型攻撃メール」にはどのような種類があるのでしょう。

釜谷 私たちは大きく三つのタイプに分類しています。一つめが複数の組織や業界を狙うもの。二つめが特定の組織を狙うもの。三つめが不特定多数にばらまかれるものです。まず、複数の組織や業界を狙うものの多くは日本語が不自然で比較的見破りやすいものです。しかし特定の組織を狙うものは、何らかの形で手に入れた業務上のメールの文面が利用されることもあり、見極めが非常に困難です。これは標的型攻撃メールの中でもっとも注意すべきタイプでしょう。そして不特定多数にばらまかれるものは、タイトルや文面をネットで検索すれば同様の事例が見つかることもあり、多くは判別が容易です。

—そうしたメールの具体的な例を教えてください。

釜谷 複数の組織や業界を狙うメールには、取材や就職の問い合わせを装うタイプが多く見られます。これはそうした問い合わせが一般的で、受け取った方もつい添付ファイルを開いてしまうと攻撃者が意図しているからです。特定の組織を狙ったものは、実際のメールの文面を模倣しているため、内容は多様です。時には本来の取引先とのメールのやり取りの途中で攻撃者が割り込み、相手方になりすましてしまうこともあります。不特定多数に送られるメールは、宅配便のお知らせや請求書を装うもの、情報セキュリティに関するニセの注意喚起などが挙げられます。最近はネットで一般的な各種サービスが送信するメールの体裁をコピーして使うものも増えています。利用者は見慣れたデザインに安心して文中のリンクをクリックしがちなので、特に注意が必要です。※2

マルウェアの感染で、情報漏洩、さらには金銭的被害も発生

—マルウェアに感染すると、どうなるのでしょうか。

釜谷 情報窃取が目的である標的型攻撃の場合、特殊なプログラムが利用者のパソコンにインストールされ、外部の攻撃者からの遠隔操作が可能になります。一方でマルウェアの一部は利用者の会社内の他のパソコンへの感染も試みます。こうした攻撃が成功すると、企業情報や金銭にかかわる情報が漏洩するほか、実在するメールアドレスも乗っ取られた新たな被害拡大にもつながるのです。こうした標的型攻撃に使われるマルウェアはウイルス対策ソフトで検知できない場合も多く、感染が長期化する例も珍しくありません。Windows7で感染したマルウェアがWindows10にアップグレードした後も残っていたという例も報告されています。もちろん感染が長期化すれば、被害もそれだけ大きくなります。そうした被害を避けるには、まずは「標的型攻撃メールを見分けるテクニック」の周知が必要になるのです。

—次回、そのテクニックについて詳しくお聞かせください。(後編に続く

  1. ※1 マルウェア:不正かつ有害な動作を行う意図で作成された悪意のあるソフトウェアや悪質なコードの総称。
  2. ※2 参考文献:「サイバーレスキュー隊分析レポート2016 長期感染の実態」https://www.ipa.go.jp/security/J-CRAT/report/20170127.html

独立行政法人 情報処理推進機構(IPA:Information-technology Promotion Agency, Japan)

日本の情報セキュリティ対策を担う独立行政法人。内外の関係機関とも連携し、サイバー攻撃情報の収集、分析、対策立案に取り組むほか、次世代を担うIT人材の育成にも尽力している。
https://www.ipa.go.jp/

↑
PAGE TOP