あなたを狙う「標的型攻撃メール」〈後編〉

「取材の依頼」「宅配便からの通知」「情報セキュリティに対する注意喚起」など、さまざまな体裁で届く「標的型攻撃メール」。私たちはどうやってそれを見破り、またシステム管理者はどういった対策を取るべきなのでしょう。前回に引き続き、独立行政法人 情報処理推進機構にお話をうかがいました。


攻撃者が期待するのは「添付ファイルの実行」「リンクのクリック」

▲IP技術本部
セキュリティセンター
情報セキュリティ技術ラボラトリー
主任研究員
釜谷 誠氏

—前回、マルウェア※1への感染を防ぐには「標的型攻撃メールを見分けるテクニック」が必要だとうかがいました。

釜谷 現在、テキストの文面をメールソフトで表示しただけでマルウェアに感染する攻撃は確認されていません。つまり標的型攻撃メールが狙う「添付ファイルを開く」「メールにあるURLをクリックする」という操作をしなければ、感染は防ぐことができるのです。

—具体的には、どのような見分け方があるのでしょう。

釜谷 まず確認していただきたいのが、日本語の文面です。日本語が不自然であったり、一見普通に見えても日本では使われていない漢字(中国語フォント)があるかどうかです。次は差出人のメールアドレスと本文中の署名が一致しているかもチェックしてください。これらの不審点は、標的型攻撃メールに多く見られる特徴です。ただこうしたポイントをクリアしても、添付ファイルや本文中のリンクが偽装されている可能性があるので、注意が必要です。

不審な添付ファイルは「ファイルの拡張子」で見分ける

—添付ファイルにはどのような偽装が行われているのでしょうか。

釜谷 マルウェアに感染させるためには、添付ファイルが実行形式のファイル※2や、Microsoft Officeなど特定のプログラムが関連付けられたファイルである必要があります。Windowsの場合、実行形式かどうかは拡張子で見分けることが可能なので、パソコンの設定を「拡張子を表示する」にしてください。Windows10の標準設定では、ファイルの種類を示す拡張子(ファイル名の末尾につけられる文字列)が非表示になっています。拡張子を表示させる方法はいくつかありますが、一番分かりやすいのは「コントロールパネル」で設定する方法です。Windowsの画面の「スタートメニュー」から「コントロールパネル」を選びます。標準ではここが「カテゴリ表示」になっていると思いますので「デスクトップのカスタマイズ」をクリックし、続けて「エクスプローラー(旧フォルダー)のオプション」を選びます。表示される「エクスプローラーのオプション」の上部のメニューから「表示」を選び、「詳細設定」にある「登録されている拡張子は表示しない」に付いているチェックを外し、続けて「OK」をクリックすると、ファイル名に拡張子が表示されるようになります。拡張子では「.exe」「.com」が実行形式ファイルとして広く知られていますが、ほかにも「.scr」「.vbs」なども実行形式ファイルとなります。そのままダブルクリックすると悪意あるプログラムが実行されるおそれがありますので、注意してください。さらにアイコンの偽装もあります。例えばWordのアイコンで、実は中身は「.exe」だったりするものです。こうした偽装に引っかからないために、メールの添付ファイルはダブルクリックでそのまま開くのではなく、デスクトップなどに事前に用意した作業用フォルダーにコピーすることで、添付ファイルの「種類」が確認できます。添付ファイルの「種類」が表示されない場合、Windows10はフォルダーウィンドウ上部から「表示」と書いてあるタブを選び「詳細」を選択すれば「種類」が表示されます(Windows7はフォルダーウィンドウ右上にある「▼」をクリックして「詳細」を選択で「種類」が表示されます)。添付ファイルの「種類」を確認することで、アイコンを偽装したファイルを見破る手がかりになります。ぜひ習慣づけてください。

—リンクの偽装とは、どのようなものでしょうか。

釜谷 メールには、テキストメールと、HTMLメールがあります。HTMLメールでは、文字列で示されたものとは異なるURLを埋め込むことで、攻撃者が受取人を意図しないウェブページに誘導することも可能です。リンクはやみくもにクリックせず、マウスのポインタを合わせるなどして実際のURLを確認しましょう。文字列と異なる場合は標的型攻撃メールの可能性があります。またメールソフトの設定でHTMLメールを非表示にすると、誘導先のURLがあわせて表示されるため、偽装の察知には有効です。HTMLメールを「非表示」にするために、Microsoft Outlookのメールでは上部にある「ファイル」から「オプション」→「セキュリティセンター」と進み、「セキュリティセンターの設定」から「電子メールのセキュリティ」を選択し、「すべての標準メールをテキスト形式で表示する」のチェックボックスにチェックを入れて「OK」を押します(Windows10の標準メールアプリでは、「設定」から「オプション」を選択し「外部の画像やスタイルの書式を自動的にダウンロードします」をオフにします)。

—つまり利用者がWindowsやメールソフトの設定を適切にし、警戒を怠らないことが、標的型攻撃メールによるマルウェアへの感染防止に効果があるということですね。

釜谷 そのとおりです。加えてMicrosoft Officeのマクロを無効化する、脆弱性が多いと言われているInternetExplorerは業務アプリでしか使わない、JavaやFlashPlayerは業務で不要なら削除するという対策も有効でしょう。マクロとは繰り返しの作業を自動化するための一連のコマンドですが、有害なマクロが実行されるとセキュリティ上のリスクとなります。無効にするにはOfficeの「ファイル」から「オプション」→「セキュリティセンター」と進み、「セキュリティセンターの設定」から「マクロの設定」を選び、「警告を表示してすべてのマクロを無効にする」または「警告を表示せずにすべてのマクロを無効にする」を選択し「OK」を押します。また不審に思えるメールは「件名」や「添付ファイル名」で検索してください。不審に思えるメールの件名や添付ファイル名をコピーして、Googleなどの検索エンジンの検索フォームに貼り付け、検索します。特に前回お話した不特定多数にばらまかれる標的型攻撃メールは情報共有が早いため、見分けるのに有効な手がかりが見つかることがあります。

万一に備えた「社内報告ルール」の整備と組織内の情報共有を

—では、システム管理者が取るべき対策を教えてください。

釜谷 標的型攻撃メールの受信状況を調べるために、メールサーバーのログを「差出人」「件名」「本文」「添付ファイル名」で検索できるようにしておくことが重要です。また社内からの不審な通信を調べるためにプロキシサーバーを設置し、こちらもアクセスログを「コンピューター名」「IPアドレス」「時刻」などで検索できるようにしておきましょう。そして万一感染したらどうするのか、社内での報告ルールと対応策を整備しておくことも重要です。

—最後に、疑わしいと思われるメールを受けたらどのようにすべきか、教えてください。

釜谷 誰かが標的となっている場合、同じ組織内の別の人物にも同様のメールが届いている可能性があります。組織内での情報共有を密にしましょう。また被害を拡大させないためには、組織を越えた業界などの広い範囲での情報共有が、次の被害を防ぐことにつながります。
 当機構の「J-CRAT/ 標的型サイバー攻撃特別相談窓口」※3では、広く標的型サイバー攻撃に関する相談や情報提供も受付けています。いただいた情報を基にサイバー攻撃の連鎖をたどるとともに、攻撃の特徴を関連する組織へ提供することで被害の早期検知と拡大防止に努めています。ぜひ、ご相談いただければと思います。

  1. ※1 マルウェア:不正かつ有害な動作を行う意図で作成された悪意のあるソフトウェアや悪質なコード(符号)の総称。
  2. ※2 実行形式ファイル:ファイルを開くことで内部に記述された命令を実行するもの。そのため、攻撃者が事前にファイルに挿入したウイルスのダウンロードや遠隔操作などが行われてしまう。
  3. ※3 「J-CRAT/標的型サイバー攻撃特別相談窓口」https://www.ipa.go.jp/security/tokubetsu/index.html

独立行政法人 情報処理推進機構(IPA:Information-technology Promotion Agency, Japan)

日本の情報セキュリティ対策を担う独立行政法人。内外の関係機関とも連携し、サイバー攻撃情報の収集、分析、対策立案に取り組むほか、次世代を担うIT人材の育成にも尽力している。
https://www.ipa.go.jp/

↑
PAGE TOP