篠田佳奈のHow To セキュリティ

第129回 注意したい標的型攻撃メール

[2015/3/13]

 みなさんこんにちは! まだまだ寒い日が続きますが、だんだんと春めいて暖かい日も増えてきましたね。春はもうすぐそこです。

 今回は標的型メールについてご紹介したいと思います。数年前から「標的型攻撃メールによる情報漏えい」などといった報道が目立つようになったので、ご存知の方も多いのではないでしょうか。

 標的型攻撃メールはどんなものなのでしょう。これは特定の組織や人をターゲットに、マルウェアに感染させることを目的としたメールを送るもので、メールを受信した人がマルウェアである添付ファイルを開いたり、あるいはマルウェアに感染してしまうURLをクリックしたりするように工夫されていることが一般的です。不特定多数にばらまくスパム型メールの対極ですね。

 この攻撃の目的としては、情報の窃取やシステムの破壊などがあります。具体的にはマルウェアを使って感染したパソコンの遠隔操作を可能にした上で、そのパソコンやネットワーク内のサーバーに保存されている情報を窃取するなどの攻撃を行います。また、標的をマルウェアに感染させた後、そのパソコンを踏み台にして別の組織に攻撃を仕掛けることもあります。

 添付ファイルを開かせたり、URLをクリックさせたりするための手法はさまざまですが、たとえば攻撃対象者が日々やり取りしている第三者の名前を騙るなどして相手を騙し、安全だと思わせるといった手口があります。その手口は本当に巧妙で、普段からセキュリティに注意している人でも、引っかかってしまう可能性があります。

 先日、IPA(情報処理推進機構)は、「IPAテクニカルウォッチ 標的型攻撃メールの見分け方(http://www.ipa.go.jp/security/technicalwatch/20150109.html)」として、標的型攻撃メールの具体例を公開しました。その特徴的な内容や、標的型攻撃メールを見分けるポイントを抜粋してご紹介します。

<標的型攻撃メールの特徴>
■メールのテーマ
  1. 1) 知らない人からのメールだが、URLや添付ファイルを開かざるを得ない内容
    例)新聞社等からの取材申込、就職活動に関する問い合わせ履歴書送付、製品・サービスに関する問い合わせやクレーム、アンケート調査
  2. 2) 心当たりないメールだが興味をそそられる内容
    例)議事録、演説原稿などの内部文書の送付、VIP訪問に関する情報
  3. 3) 公的機関からのお知らせ
    例)情報セキュリティに関する注意喚起、インフルエンザ等の感染症情報、災害情報
  4. 4) 組織内のメール
    例)人事情報、新年度の事業方針、資料の再送・差替)
  5. 5) 心当たりのない決済や配送通知
    例)航空券の予約確認、荷物の配達通知
  6. 6) IDやパスワードの入力を要求するメール
    例)メールボックスの容量オーバーの警告、銀行からの登録情報確認
<標的型攻撃メールを見分けるポイント>
■差出人のメールアドレス
  1. 1) フリーのメールアドレスから送信
  2. 2) メール署名と差出人のメールアドレスが異なる
■メールの本文
  1. 1) 日本語の言い回しが不自然
  2. 2) 日本語では使用されない漢字(繁体字・簡体字)が使われている
  3. 3) 実在する名称を一部に含むURLが記載されている
  4. 4)表示されているURL(アンカーテキスト)と実際のリンク先のURLが異なる
  5. 5) 署名の内容が誤っている(組織名/電話番号が存在しない、電話番号をファクス番号として記載など)
■添付ファイル
  1. 1) ファイルが添付されている
  2. 2) 実行形式ファイル (exe/scr/cpi等)が添付されている
  3. 3) ショートカットファイル(lnkなど)が添付されている
  4. 4) アイコンが偽装されている(実行形式ファイルなのに文書ファイルやフォルダのアイコン)
  5. 5) ファイル拡張子が偽装(二重拡張子、拡張子の前に大量の空白、ファイル名にRLO)

 このように標的型攻撃メールには、注意してチェックすると不審な点があるケースが少なくありません。もし不審なメールが届いた時は、組織の担当者などにすぐに報告し、どのように対応すればよいか指示を仰いで下さい。そして組織の担当者も、不審なメールの受信者が添付ファイルを開いていないか、URLをクリックしていないかを確認しないといけません。

 今後は騙しの手口が高度化し、攻撃であることを見抜くことがより困難になってくることが予想されます。現場の担当者がその不審なメールが本当に不審かどうか判断つかない場合などにそなえて、IPAでは「標的型サイバー攻撃の特別相談窓口」を設置しています。必要なときは活用することをおすすめします。

独立行政法人 情報処理推進機構(IPA)
標的型サイバー攻撃の特別相談窓口
https://www.ipa.go.jp/security/tokubetsu/

  ぜひこのような攻撃があることを理解し、セキュリティの最新動向をチェックし、そして自分のパソコンを安全に保つ努力を欠かさないようにしましょう。

sasie296