標的型攻撃メールは機密情報や個人情報の漏えいなど、重篤な事案を引き起こしかねない脅威です。
近年のサイバー攻撃は不特定多数を対象とするものだけでなく、特定の組織をつけ狙うなど凶悪化しています。標的型攻撃メールを要因とする被害にあわないためにも、どのような対策を取るべきか一通り確認しておきましょう。
また、こちらは標的型攻撃メールの見破り方と対処法をまとめた資料(無料)です。
- 基礎知識
- 実際の事例
- 攻撃の見破り方/対処法
といった内容を専門家監修で丁寧に解説しておりますので、貴社での標的型攻撃メール対策にお役立てください。
標的型攻撃メールとは
標的型攻撃メールとは、特定の組織をターゲットに機密情報の窃取などを目的として送信されるマルウェア入りのメールを指します。不特定多数をターゲットとする迷惑メールとは異なり、組織の関係者が思わず開封してしまう体裁に整えられているのが特徴です。誰かが標的型攻撃メールの添付ファイルを開けたり、メール内のリンクをクリックしただけでマルウェアに感染する恐れがあります。
標的型攻撃メールのマルウェアは巧妙に作りこまれていることが大半で、セキュリティ対策ソフトでは検出されないケースも多いです。そのため、知らない間に被害が拡大することがあり、深刻な問題となっています。
なぜ標的型攻撃メールの被害にあってしまうのか
標的型攻撃メールではターゲットの内部システムに確実に侵入するために、巧妙な手口が用いられます。そのため内部利用者が思わずメールを開封してしまうのです。たとえば、実在する人物の差出人をかたったり、業務連絡に見せかけるなど、手口が非常に洗練されています。
標的型攻撃メールは不特定多数を狙うのでなく、確たる対象を持ち執拗につけ狙います。そのため、長期にわたって色々な形式をとり、また複数のアカウントに送りつけて成功率を上げようともします。
これに対抗するには組織的な情報共有と定期的な注意喚起・教育が必要となるでしょう。また、グループウェア、ビジネスチャットのクローズドなコミュニケーションツールを使うことも一つの対策です。
標的型攻撃メールによる被害事例
では、標的型攻撃メールとは具体的にはどのような手口をとり、どんな被害をもたらすのか、国内の被害事例を見てみましょう。
取引先を装う標的型メールから感染・顧客情報流出
JTBは2016年6月に、不正アクセスにより顧客情報が最大793万人分が流出した可能性があると発表しました。子会社運営の予約サイトに標的型攻撃メールが届き、添付ファイルを開封したためシステム内部がウイルスに感染しました。メールの送信元が取引先の全日空名義だったことから、従業員は疑いを持たなかったといいます。
ウイルス感染によりパソコンやサーバーを遠隔操作され、同年3月15日から10日間ほどで大量の顧客情報が外部流出したとみられます。
標的型メールの感染を検知するも被害が拡大
日本年金機構では2015年に職員の端末が攻撃を受け、公的機関としては最大となる約125万件の情報流出があったと発表しました。年金機構の職員が学術機関の職員をかたった標的型攻撃メールを開封したため、LANサーバーに保管中の年金情報が窃取されました。
同年5月8日にウィルス感染を確認、職員らに注意喚起したものの組織内に徹底されず、再度攻撃メールの添付ファイルをうっかり開封、感染がさらに広がったとみられます。
標的型攻撃メールの対策法
仮に標的型攻撃メールが届いても、その見分け方を知っていれば一定の対策になります。チェックするポイントはメールの開封前後で異なります。なお、開封をせずに不審なメールか判斷できることに越したことはありません。
- チェックポイント
-
- 開封前
- 件名
- 差出人名、アイコン
- メールアドレス
- 開封後
- HTMLメールに注意
- 文面
- 署名
- メール内URLリンク
- 添付ファイル
- 開封前
メールを開く前はメールトレイで確認できる範囲しかチェックできません。件名や差出人名に不審な点がないか、メールアドレスが確認できるならばそれもチェックします。簡体字などの外字が混じっていないか、知人からであればニセのアイコンではないかも確認しましょう。
不審なメールはできるだけ開封せずに削除します。HTMLメールのなかには開封しただけでマルウエアに感染するものがあるからです。ただし、メールを開封しても不必要な操作をしなければウイルス感染を回避できることがあります。
メール内のURLとリンク先のURLに相違がないか(クリックせずマウスオンで判斷)、添付ファイルやショートカットファイルは特に慎重に判斷します。
拡張子が実行ファイル形式(exe/scrなど)でなかったとしても、ファイル拡張子が偽装されていたり、ファイルの中身が偽装されている場合があるからです。
ほかにも標的型攻撃メールの見破り方をご存じになりたい方は、こちらの資料をご覧ください。
標的型攻撃を受けないための6つの対策
次に、メールを含め、標的型攻撃を受けずに済ませるための対策法を6つ紹介します。
OS・ソフトは最新の状態に
社内システムに接続する各々の端末に脆弱性があると、そこから侵入されるリスクが高くなります。OSやソフトウェアのセキュリティ修正はすべて適用し、常に最新の状態にアップデートします。
セキュリティ対策ソフトの導入
標的型攻撃のリスクを下げたいなら、社内ネットワークに接続する端末(パソコン等)のすべてにウイルス対策ソフトを適用すべきです。
標的型攻撃に対抗できる「EDR(Endpoint Detection and Response)」を活用するのも一つの方法です。EDRとは社内ネットワークの末端にある端末(パソコン等)の挙動を記録、調査・解析し、リスクの分離・除去に努めるシステムです。エンド端末の正常な操作として見逃しやすい挙動をログ分析して、マルウェア感染への迅速な対応を可能にします。
重要な情報は隔離しておく
万一窃取・改ざんされると困る重要情報はテープ媒体等にバックアップ保存しておくのが確実です。セキュリティリスク対策だけでなく、被災等のBCP対策として、自拠点から遠く離れた場所にデータを保管する方法もあります。
怪しいメールを見分ける方法を知る
標的型攻撃メールに限らず、不審なメールを見分ける方法を把握し、極力開封をしないのが非常に大切です。先ほどの危険なメールの特徴を頭に入れ、一つ一つ内容を精査するのが賢明です。
一回のミスですべてが水の泡になるため、標的型攻撃を回避するには組織の全員に知識と対応を定着させなくてはなりません。これには標的型攻撃を疑似体験する教育訓練が効果的です。
IDSやIPSなどで不正通信の侵入を検知
不審なメールがメールサーバーに到達しないよう、IDSやIPSといったウイルス検知システムを自社ネットワークの入口に設置します。多くの場合、標的型攻撃メールだけでなく、フィッシングメールやスパムメールもここで防げるようになります。
無害化したメールに変換
たとえ従業員が標的型メールを開封しても、危険性を除去しておけば、マルウェア感染の被害にあうことはありません。
セキュリティツールを導入して、脅威を含むメールであっても無害化してしまう方法もあります。具体的にはメール内の不正プログラムの除去や、本文のURLリンクを無効にする処置を実施できます。
標的型メールの疑似体験や訓練の重要性
標的型メールの被害を受けないためには、各社のセキュリティポリシーを考慮した定期教育を実施し、従業員の知識と実践力の定着を図りましょう。それには標的型メール攻撃の疑似体験や訓練の実施も効果があります。
まずは社内の担当者によるテスト体験を行い、必要に応じて全社展開していくのも一つのやり方です。なお、訓練は対象者や実施日時を事前周知せず、抜き打ちでやるほうが対応力の測定や課題抽出がより正確に行えます。現状、標的型攻撃の対象になっているかわからなくても、定期的に訓練を行い、常に警戒を怠らない体制を築くことが重大な情報漏えいを起こさない対策といえます。
まとめ
標的型攻撃はこちらの事情や環境に最適化した攻撃手法を用いてくるため、その被害にあわないように対策するのも大変です。基本的なセキュリティ対策に加え、適切なセキュリティツールの導入、定期訓練を実施し、事案発生に至らぬようしっかり防御体制を固めましょう。
また、弊社でご提供している情報セキュリティ向上クラウド『Seculio』では、標的型攻撃メール訓練機能や情報セキュリティeラーニング機能をはじめとした10種類以上の機能で貴社のセキュリティ対策をトータルサポートいたします。
14日間無料で全機能お試しいただけるトライアルもございますので、お気軽にご利用ください。