業務連絡に利用するメール。
取引先からメールが来た時、何の気なしにメールを開いてしまうと、大変なことになってしまうかもしれません。標的型攻撃メールは機密情報や個人情報の漏えいなど、重篤な事案を引き起こしかねない脅威です。
近年のサイバー攻撃は不特定多数を対象とするものだけでなく、特定の組織のみ狙うなど凶悪化しています。今回は、標的型攻撃メールについて解説します。
標的型攻撃メールを要因とする被害にあわないためにも、どのような対策を取るべきか一通り確認しておきましょう。
また、従業員が標的型攻撃メールに引っかからないための標的型攻撃メール訓練実施のチェックリストを無料で配布しています。まずは流れを確認しましょう。
標的型攻撃メールとは
標的型攻撃メールとは、特定の組織をターゲットに機密情報の窃取などを目的として送信されるマルウェア入りのメールを指します。不特定多数をターゲットとする迷惑メールとは異なり、組織の関係者が思わず開封してしまう体裁に整えられているのが特徴です。
IPA(独立行政法人 情報処理推進機構)では、標的型攻撃メールの特徴を以下のように定義しています。
「IPA 標的型攻撃/新しいタイプの攻撃の実態と対策」から引用
- メールの受信者に関係がありそうな送信者を詐称する
- 添付ファイルや本文中のURLリンクを開かせるため、件名・本文・添付ファイルに細工が施されている(業務に関係するメールを装ったり、興味を惹かせる内容や、添付ファイルの拡張子を偽装するなど)
- ウイルス対策ソフトで検知しにくいマルウェアが使われる
誰かが標的型攻撃メールの添付ファイルを開けたり、メール内のリンクをクリックしただけでマルウェアに感染する恐れがあります。
セキュリティ対策ソフトでは検出されないケースも多く、知らない間に被害が拡大することがあり、深刻な問題となっています。
なぜ標的型攻撃メールの被害にあってしまうのか
では、なぜ標的型攻撃メールは、ここまで多くの被害を出してしまっているのか。
「〇〇の請求書の件」「必要書類の送付」というように、過去に実際に付けられていた件名で送られてきたり、メール送信者の名前を、過去にやり取りしたことのある人名を騙るなど、かなり巧妙に偽装されています。
また、標的を定めて攻撃するため、同じ会社の複数人に送信される、数多くのメールを長期にわたって送信される、など、被害に遭う期待値はかなり高いです。
対策するには、具体的にどのように標的型攻撃メールが送られてくるのか、組織的な情報共有と定期的な注意喚起・教育が必要となるでしょう。
また、グループウェア、ビジネスチャットのクローズドなコミュニケーションツールを使うことも一つの対策です。
標的型攻撃メールによる被害事例
では、標的型攻撃メールとは具体的にはどのような手口をとり、どんな被害をもたらすのか、国内の被害事例を見てみましょう。
取引先を装う標的型メールから感染・顧客情報流出
JTBは2016年6月に、不正アクセスにより顧客情報が最大793万人分が流出した可能性があると発表しました。子会社運営の予約サイトに標的型攻撃メールが届き、添付ファイルを開封したためシステム内部がウイルスに感染しました。メールの送信元が取引先の全日空名義だったことから、従業員は疑いを持たなかったといいます。
ウイルス感染によりパソコンやサーバーを遠隔操作され、同年3月15日から10日間ほどで大量の顧客情報が外部流出したとみられます。
(参考:「標的型メール」対策急務 JTBで顧客情報流出)
標的型メールの感染を検知するも被害が拡大
日本年金機構では2015年に職員の端末が攻撃を受け、公的機関としては最大となる約125万件の情報流出があったと発表しました。年金機構の職員が学術機関の職員をかたった標的型攻撃メールを開封したため、LANサーバーに保管中の年金情報が窃取されました。
同年5月8日にウィルス感染を確認、職員らに注意喚起したものの組織内に徹底されず、再度攻撃メールの添付ファイルをうっかり開封、感染がさらに広がったとみられます。
(参考:日本年金機構「日本年金機構における不正アクセスによる情報流出事案について」)
標的型攻撃メールの事例、手口や見分け方については「標的型攻撃メールの被害事例とは?手口や見分け方、対策方法まで紹介」で詳しく解説しています。あわせてお読みください。
標的型攻撃メールの対策法
先述したように、標的型攻撃メールは、セキュリティ意識を高く持っている大きな企業や団体でも、被害にあう可能性があります。
では、具体的にどんなことに気を付ければ、標的型攻撃メールを対策できるのでしょうか。
仮に標的型攻撃メールが届いても、その見分け方を理解しておけば、十分に対策が可能です。
チェックするポイントはメールの開封前後で異なりますが、HTMLメールのなかには開封しただけでマルウエアに感染するものがあるため、開封せずに不審なメールか判断できることが望ましいです。
- チェックポイント
-
- 開封前
- 件名
- 差出人名、アイコン
- メールアドレス
- 開封後
- HTMLメールに注意
- 文面
- 署名
- メール内URLリンク
- 添付ファイル
- 開封前
メールを開く前はメールトレイで確認できる範囲しかチェックできません。
件名や差出人名に不審な点がないか、メールアドレスが確認できるならばそれもチェックします。簡体字などの外字が混じっていないか、知人からであればニセのアイコンではないかも確認しましょう。
不審なメールはできるだけ開封せずに削除します。HTMLメールのなかには開封しただけでマルウエアに感染するものがあるからです。ただし、メールを開封しても不必要な操作をしなければウイルス感染を回避できることがあります。
また、メールにもし添付ファイルがある場合は、更に注意が必要です。標的型攻撃メールでは、ウイルスを含んだファイルを添付し、受信者にファイルをダウンロード、開封させることを目的とするものが多いです。
中にはRLOコードという、文字の表示順を変える制御文字を利用して、ファイル名の拡張子を偽装する手法も存在するので、一見しただけではウイルスかどうかを判断できないので、注意しましょう。
ウイルスが仕込まれている可能性があるファイルの特徴は以下のとおりです。
- 実行形式ファイル(exe / scr など)
- ショートカットファイル(lnk / pif など)
- 実行形式ファイルなのに文書ファイルやフォルダのアイコンになっているファイル
- ファイル名が二重拡張子になっているファイル
- ファイル拡張子の前に大量の空白文字が入っているファイル
- 中のファイルが文字化けしている圧縮ファイル
標的型攻撃メールの特徴については、「標的型攻撃メール徹底解説!スパムとの違い、回避方法から被害を受けた際の対処法まで」でも紹介していますので、あわせてご覧ください。
標的型攻撃を受けないための6つの対策
では標的型攻撃を受けないようにするには、どのような対策をすればよいのでしょうか。
標的型攻撃を受けずに済ませるための対策法を6つ紹介します。
OS・ソフトは最新の状態に保つ
社内システムに接続する各々の端末に脆弱性があると、そこから侵入されるリスクが高くなります。OSやソフトウェアのセキュリティ修正はすべて適用し、常に最新の状態にアップデートします。
セキュリティ対策ソフトを導入する
標的型攻撃のリスクを下げたいなら、社内ネットワークに接続する端末(パソコン等)のすべてにウイルス対策ソフトを適用すべきです。
標的型攻撃に対抗できる「EDR(Endpoint Detection and Response)」を活用するのも一つの方法です。EDRとは社内ネットワークの末端にある端末(パソコン等)の挙動を記録、調査・解析し、リスクの分離・除去に努めるシステムです。エンド端末の正常な操作として見逃しやすい挙動をログ分析して、マルウェア感染への迅速な対応を可能にします。
重要な情報は隔離しておく
更に対策を万全にするのであれば、そもそも情報にインターネット上ではアクセスができないようにするのが確実です。
万が一、窃取・改ざんされると困る重要情報は、そもそも通常業務のパソコンでは利用せず、スタンドアローン(ネットワークにつながっていない電子媒体)で管理したり、別の媒体にてバックアップ保存しておくのが確実です。
怪しいメールを見分ける方法を知る
標的型攻撃メールに限らず、不審なメールを見分ける方法を把握し、極力開封をしないのが非常に大切です。先ほどの危険なメールの特徴を頭に入れ、一つ一つ内容を精査するのが賢明です。
ウイルスにかかると、なし崩し的に様々なインシデントにつながる可能性が高く、一回のミスで大きな損害を生んでしまいます。
そんな最悪の事態を防ぐためにも、組織の全員に知識と対応を定着させるよう、怪しいメールを見分ける方法を社員全員に教育しましょう。
標的型攻撃メールの見分け方や教育方法については、これらの記事も参照してみてください。
IDSやIPSなどで不正通信の侵入を検知
不審なメールがメールサーバーに到達しないよう、IDSやIPSといったウイルス検知システムを自社ネットワークの入口に設置します。多くの場合、標的型攻撃メールだけでなく、フィッシングメールやスパムメールもここで防げるようになります。
無害化したメールに変換
たとえ従業員が標的型メールを開封しても、危険性を除去しておけば、マルウェア感染の被害にあうことはありません。
セキュリティツールを導入して、脅威を含むメールであっても無害化してしまう方法もあります。具体的にはメール内の不正プログラムの除去や、本文のURLリンクを無効にする処置を実施できます。
標的型メールを開いてしまったら
では、実際にメールを開いてしまった場合には、どのように対処すべきなのでしょうか。
標的型攻撃メールを開いてしまった時の、具体的な対処について記載します。
ネットワーク切断
まず標的型攻撃メールを開いてしまった場合には、メールを開いてしまった端末をネットワークから切断しましょう。他の端末への感染拡大や、遠隔操作による二次被害を防ぐためです。
LANケーブルを差している場合には、LANケーブルを抜きます。Wi-Fiでの接続を許可している場合には、接続の切断を行いましょう。
まず第一に周囲へのさらなる感染拡大を防ぐことを目的として、ネットワークの切断をしなければなりません。
情報管理者や情報システム部門に報告する
ネットワーク切断後は、即時に情報セキュリティの担当者や情報システム部門、所属組織の上司などへ何が起こったのか、報告を行いましょう。
社内に情報セキュリティトラブル発生時のエスカレーションルール(連絡ルール)がある場合は、それにしたがって報告します。
「多分、大丈夫」という自己判断は厳禁です。自己判断による業務の継続により被害が広がれば、取り返しのつかない事態になりかねません。
情報共有はとにかく素早く実施を徹底しましょう。
また、「標的型攻撃のメールを開いてしまったらどうする?具体的な対応を解説」でも、標的型攻撃のメールを開いてしまった場合の具体的な対応を解説していますので、あわせてご覧ください。
標的型メールの疑似体験や訓練の重要性
標的型攻撃メールによる攻撃を受けることは、誰にでも起こり得ることであり、決して他人事ではありません。
いつ自分の身の回りで、標的型攻撃メールがくるかはわからないという認識をもち、情報セキュリティ担当者は、もしもの場合に備えた訓練を実施してこれに備えておきましょう。
それ以外にも、各社のセキュリティポリシーを考慮した教育や抜き打ちのテストを定期的に実施して、従業員の知識と実践力の定着を図ることも重要です。
セキュリオでは、従業員への標的型攻撃メール訓練をかんたんに実施できます。eラーニングや独自のセキュリティトレーニング自動配信で効果を向上できます。
まとめ
標的型攻撃メールのチェックすべきポイントや対策について解説しました。
標的型攻撃メールは自社の顧客を騙り、あたかも本物のように見えるメールを送信してきます。
気にせずに送られてきたメールを全て開いていると、いつの間にかウイルスに感染し、情報漏洩といった、企業を揺るがしかねない重大なインシデントになる可能性があります。
基本的なセキュリティ対策に加え、適切なセキュリティツールの導入、定期訓練や教育の実施、万が一の場合に備えたルール作りをして、標的型攻撃メールに備えましょう。
