標的型攻撃メールの見分け方とは?事例や予防する対策方法も解説

この記事は約9分で読めます。
2023.03.23

今、企業が気を付けなくてはならないサイバー攻撃の一つが標的型攻撃メールです。

標的型攻撃メールは、メールの受信者の情報を事前に調査し、受信者の興味を引く内容や業務上対応が必要と思わせる内容を記載して、マルウェアへの感染などに導く攻撃手法です。
メールそのものが被害を与えるわけではなく、マルウェアへの感染から情報の漏えい、略取に繋がり、その他のサイバー攻撃の端緒となってしまいます。

サイバー犯罪者も標的型攻撃メールを日々アップデートしており、より巧妙で見分けることが難しいメールが増加しています。だからと言って、業務上メールを使わないという選択肢もないのが困りどころです。

本記事では、企業にとって大きな脅威である標的型攻撃メールについて、あらためてその概要を見直し、見分け方や対策方法をご紹介します。

また、標的型攻撃メールを見分けるための事例・サンプルをまとめた資料を無料で配布しています。あわせてご覧ください。

標的型攻撃メール 事例・サンプル集
ほんとうの実例から見破り方を知ろう

標的型攻撃メールについて振り返る

独立行政法人情報処理推進機構(IPA)により発表された情報セキュリティ10大脅威2022でも3位にランクインした「標的型攻撃による機密情報の窃取」。そのための主な手法とされるのが標的型攻撃メールです。現在もその勢いは衰えていない攻撃手法といえます。

情報セキュリティ10大脅威 2023 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
情報処理推進機構(IPA)の「情報セキュリティ10大脅威 2023」に関する情報です。
www.ipa.go.jp

標的型攻撃メールの特徴

標的型攻撃メールの特徴は、ターゲットの情報を事前に調査し、関連性の高い相手を装いメールを送ることです。例えば、ECサイト事業者や宅配業者、所属企業の取引相手、公的機関などを装うため、メールの内容を信頼し誤ってリンクのクリックや添付ファイルを開いてしまい被害につながります。

メールの送信元を偽装する、いわゆるなりすましメールの手口とあわせて利用されるケースも多く存在します。また、社会情勢を反映したメール内容も特徴の一つで、在宅ワークを狙った手口もあらわるなど多方面への注意が必要となります。

標的型攻撃メールでの被害は、直接的には2つのパターンに分かれます。
一つは、リンクのクリックによる不正なWebサイトへのアクセスや添付ファイルの開封により、マルウェアに感染させるケースです。
もう一つは、フィッシングのように個人情報やシステムへのログインIDやパスワードが詐取されるケースです。

マルウェアに感染するとネットワーク内に感染を広げ、情報の略取、改ざん、破壊、証拠隠滅といった被害につながります。また、マルウェアへの感染は他種のマルウェアへの感染に繋がり、その他のサイバー攻撃につながる可能性もあります。

個人情報やログイン情報の詐取では、各種サービスの悪用などが行われます。

標的型攻撃メールの代表的な手順

標的型攻撃メールを利用したサイバー攻撃では、計画的に手順が実行されます。
マルウェアへ感染をさせる標的型攻撃メールを利用した手順の代表的なものは、下記となります。

  1. 情報収集
  2. メール等によるターゲットとの接触(標的型攻撃メール)
  3. 侵入・マルウェア感染
  4. 初期活動(情報詐取開始または感染の拡大を意図したアクセス)
  5. 他のコンピューターへの侵入、被害の拡大
  6. 情報の詐取、改ざん、破壊
  7. 痕跡の消去

標的型攻撃メールの見分け方とは

年々、標的型攻撃メールの記載内容は高度になりつつありますが、注意深くチェックすれば見分けることは可能です。

標的型攻撃メールの事例・サンプルを踏まえた見分け方については、以下の資料にまとめてあります。あわせてご覧ください。

標的型攻撃メール 事例・サンプル集のダウンロードはこちら

添付ファイルの種類を確認する

メールに添付ファイルが付いている場合、その種類を確認しましょう。下記のファイル形式の場合には注意が必要です。

実行によりマルウェアへの感染の可能性

  • 実行ファイル形式(実行ファイル「.exe」「.scr」など)
  • ショートカット(リンク「.lnk」)

解凍によりマルウェアへの感染の可能性

  • 圧縮ファイル(「.zip」ほか)

それ以外にも、添付ファイルが偽装されることもあるため、こちらも注意ください。拡張子が不正な場合やアイコンだけが差し替えられる手口があり得ます。

差出人のメールアドレスを確認する

差出人のメールアドレスも必須の確認ポイントです。

特に注意が必要なのはフリーメールや見覚えがないアドレスです。フリーメールはサイバー攻撃に利用された事例が多数確認されています。また、メールでのやり取りにおいて見覚えのない相手からの受信は特に注意を払う必要があります。

また、メーラーソフトに表示される差出人は偽装することができてしまいます。メールアドレスからの確認やドメイン認証技術の導入などで差出人が正しいことを確認するとよいでしょう。

差出人に覚えがない場合も危険な兆候です。

本文の確認

標的型攻撃メールによるサイバー攻撃は日本以外からの実行が多く、日本語が不自然な事があります。また、日本では一般に使われていない繁体字、簡体字(漢字)が使われているケースもあり、この場合は疑わしいといえます。

メールの本文の記載内容にも注意しましょう。タイトル(件名)、本文、差出人がかみ合わないような内容であれば、標的型攻撃メールの可能性が高まります。

本文内に署名がある場合には、相手が本当に存在するか確認しましょう。

メールの内容に身に覚えがない場合も注意が必要です。

本文内で、リンクのクリックや添付ファイルへの強い誘導を行っている場合も疑わしいです。
特にリンクに関しては、表示されているリンクと実際にリンクされているURLが違う場合もありますのでご注意ください。テキストで表示することで確認できます。

標的型攻撃メールの事例

標的型攻撃メールによる被害事例および関連事例について紹介します。

JTB

旅行業大手のJTBは、標的型攻撃メールを発端とした不正アクセスなどのサイバー攻撃にあいました。2016年6月の公表時には、793万人もの個人情報が流出したことを明らかにしています。
この流出した情報の中には、氏名などの個人情報およびパスポート番号なども含まれており、大手企業のため流出した対象者数が非常に多かった事も特徴的です。

各種のメディアでも大きなニュースとして取り上げられ、標的型攻撃メールなどのサイバー攻撃による情報流出は企業の信頼性を大きく損なうことを認識づけるものとなりました。

JTB、793万人分の個人情報流出か--外部への通信で不正アクセスと判明
旅行商品をオンラインで販売するi.JTBで外部からの不正アクセスで個人情報の一部が流出した可能性があることが確認された。JTBによると、793万人分の流出を確認している。標的型攻撃とみられる。
japan.zdnet.com

日本年金機構

日本年金機構の標的型攻撃メールによる個人情報流出も、非常に知名度の高い事例です。

2015年、日本年金機構は標的型攻撃メールを発端としたサイバー攻撃を受け、年金運用・管理のための個人情報が125万人分流出したと報告しています。標的型攻撃メールの典型的な手口が使われており、事前に特定の職員向けの調査が行われ、業務内容を把握したメールが送られてマルウェア感染に繋がりました。

感染後は、報道対応や関係各所への謝罪・状況説明、流出したデータに対するフォレンジック調査、組織の業務システムや情報セキュリティ管理体制の見直しなど、多大なる対応工数が必要となりました。

参考PDF

日本年金機構「不正アクセスによる情報流出事案に関する調査結果報告

NTT西日本

近日の事例として、NTT西日本の受託業務でマルウェアEMOTETに感染し、感染した端末から略取した情報により標的型攻撃メールと思われるメールが送信された事例があります。
この事例では、単に標的型攻撃メールの受信により被害にあったのではなく、マルウェア感染により略取された情報が標的型攻撃メールに利用されるといういわば攻撃側に利用されてしまったことが特徴的です。

参考PDF

西日本電信電話株式会社「(お知らせ)マルウェア感染による情報流出に関するお詫び、ならびに本件に伴い流出したデータを用いた不審メールに関する注意喚起について

標的型攻撃メールの着信を予防する対策方法

標的型攻撃メールについては、受信時の対処も重要ですが、着信を予防するなどの対策方法もあります。

メールフィルタ

企業のメールサーバーやメールプロバイダ側に設定を行うことにより、特定のドメインからのメールを受信しないよう設定することが可能です。標的型攻撃メールの事例として報告のあるメールアドレスのドメインを登録することにより、被害を未然に防ぐことができます。ただし、既知のドメインの場合にのみ適用できる方法です。

送信ドメイン認証技術の導入

メールの送信元と受信側で送信ドメイン認証技術を導入することにより、送信元の確認できる仕組みも存在しています。ただし、送信元、受信側の両者が技術の導入をすることが必要です。

メールの閲覧設定の変更

メールの着信の予防ではありませんが、不用意なマルウェアへの感染を防げる設定として、メールの閲覧設定を変更しておくことも対策の一つです。

HTML形式で送られてくるメールについてテキスト表示を行い、ハイパーリンクをオフにしておくことで、メール内のリンクを誤ってクリックしてしまうケースを防ぐことができます。URLへのアクセスは、目視での確認後に行う手順とすれば安全性が高まります。

標的型攻撃メール訓練の実施

標的型攻撃メールに対して知識を持っていたとしても、いざメールを受信した際に正しい行動のは難しいものです。その際に対応への成功確率を高める方法は、普段からの標的型攻撃メールを含めた情報セキュリティについての教育標的型攻撃メールの受信を想定した訓練の実施です。
特に、標的型攻撃メールを受け取ってしまった際にも、とるべき行動へたどり着くには訓練によって慣れておくことが有効な手法となります。

標的型攻撃メール訓練については、効率的な実施方法を3ステップでまとめた資料を無料で配布しています。ぜひ参考にしてみてください。

チェックリスト付き!
標的型攻撃メール訓練のやり方
資料を無料でダウンロードする

まとめ

標的型攻撃メールは、事前にメールの受信者に対する調査を行っているため、ばら撒き型の攻撃メールと比較するとより脅威の度合いの高いサイバー攻撃です。文面やリンク、添付ファイルなどの確認などで一部は見分けることが可能ですが、より重要なのは普段の教育と訓練による対策でしょう。

LRMが運営している情報セキュリティ教育クラウド「セキュリオ」の標的型攻撃メール訓練では、数十種類の訓練用メールテンプレートを利用して、すぐに訓練を始めることができます。

送信後は、メールへの対応について、従業員の数・名前・所属といった情報が確認できますので、該当者には別途教育を行うフォローにつなげることが可能です。こちらは、追加費用無しでeラーニングツールが利用できます。まずはお気軽にお試しください。

効果につながる標的型攻撃メール訓練
「セキュリオ」を無料ではじめる

LRMが運営している情報セキュリティ教育クラウド「セキュリオ」の標的型攻撃メール訓練では、数十種類の訓練用メールテンプレートを利用して、すぐに訓練を始めることができます。

情報セキュリティ対策サイバー攻撃対策
セキュリオメールセキュリティ不正アクセス
情報セキュリティ教育クラウド「セキュリオ」
タイトルとURLをコピーしました