業務で仕事でメールの受信トレイを開き、メールに違和感を覚えたら、それは標的型攻撃メールかもしれません。古くからあるスパムメールや迷惑メールと異なり、被害の程度や影響度、間違えた対応を誘う手口が巧妙で、被害にあう企業が続出しています。
実際に標的型攻撃メールは国内で2005年から存在が確認されており、現在でも継続して利用されているサイバー攻撃手法です。近年では、メールの巧妙化が図られており、差出人のなりすましなどの手法と組み合わせて利用されているケースも見られます。
本記事では標的型攻撃メールの概要や具体的な被害事例、見分け方やセキュリティ訓練などの対策方法について紹介します。
具体的な対策手順が知りたい情報セキュリティ担当者の方、間違えた対応をしてしまうことを危惧する従業員の方、自組織のセキュリティ強化を図る経営者の方にも、標的型攻撃メールの被害リスクを回避するため、ぜひ一読をおすすめします。
また、標的型攻撃メールの事例やサンプルが見たい方は、事例・サンプル集を無料で配布していますので、こちらを参考にしてみてください。
【図解】標的型攻撃メールとは?巧妙化する手口と従来の迷惑メールとの違い
標的型攻撃メールは、近年深刻化する「標的型攻撃」の一つの形態です。標的型攻撃とは特定の組織や企業、または個人を狙い、機密情報の窃取を目的にサイバー攻撃を仕掛けるものです。標的型攻撃メールは特定のターゲットにメールを送りつけてマルウェア感染などを促し、機密情報を外部に流出させます。
標的型攻撃メールには、業務関係等のメールに偽装するなど、受信者が開封したくなる騙しのテクニックが駆使されています。しかも、犯人は対象のターゲットを調査のうえメールを送りつけてくるので、現実にありそうな件名や差出人名でメールが来ます。したがって、それと知らずに被害にあうケースがよくあります。
従来のメール攻撃との比較
メールを利用したサイバー攻撃は以前より存在しています。
下記の表では、標的型攻撃メールとの特徴の比較を行っていますのでご確認ください。
| 目的 | ターゲット | 手口 | |
|---|---|---|---|
| 標的型攻撃メール | 組織の持つ情報資産の略取、ランサムウェアなどの他のサイバー攻撃の糸口 | 組織に所属する従業員 | メール受信者の業務や属性などの情報を事前に調査し、関係者を装ったメールを送り、情報の略取やマルウェアに感染させる。 |
| 一般的な迷惑メール | 個人情報略取や金銭の取得 | メールアドレスを持つすべての人(無差別) | メール本文中のリンクのクリックによる悪意あるサイトへの誘導を行い情報の略取を行う。添付ファイルに仕込んだマルウェアに感染させる。メールの文面は無差別に受信した人が一部でも反応すれば良いという内容 |
| フィッシング詐欺 | 対象者の個人情報や機密情報の取得 | 何らかの方法で取得したメールアドレス | 特定の企業や組織を装ったメールにより、悪意のあるWebサイトへ誘導し、個人情報や機密情報を入力させる |
メールによるランサムウェアへの感染における対策については、「恐ろしいファイル改変の被害!ランサムウェアのメール感染の対策」でも詳しく紹介しています。あわせてご覧ください。
標的型攻撃メールの具体的な例
標的型攻撃メールはいつ、誰に送信されるかはわかりません。
例えば、下記のようなメールが想定されます。
- 経理担当者宛に『請求書送付のお知らせ』を装う
- 人事担当者宛に『履歴書』を装う
- 取引先企業の担当者からの受発注に関するメールを装う
- 公的機関からの事務手続きを装う
- 企業で利用しているITシステムやサービスからの通知を装う
組織の従業員が、標的型攻撃メールは他人事ではないという認識をしておくことが重要です。
標的型攻撃メールの被害事例
標的型攻撃メールの被害者は各国の政府系機関から、ハイテク企業/専門機関、大規模インフラ事業者、多数の個人情報を抱える公的機関や一般事業者まで多岐にわたります。
以下では、比較的近年発生した被害事例を紹介します。
東京大学の教員が標的になった被害事例
2023年に東京大学は標的型攻撃メールを受けた教員による学生の個人情報などの流出を公表しています。
報道によると、対象の教員は講演依頼を装ったメールを受け取り、やり取りの中でクリックしたリンクからマルウェアに感染し、情報漏洩が発生するという流れだったようです。
学生、職員、卒業生の個人情報が2,400件以上流出する被害が発生しています。
Emotet(エモテット)による事例
IPA(独立行政法人情報処理推進機構)は、標的型攻撃メールによるマルウェア「Emotet」の感染事例を注意喚起しています。
具体的な内容として、メールの送信者は取引先を装い、タイトルは過去の送信メールを流用、本文中には署名のような記載もあるものでした。
取引相手からのメールと見間違うような精度が特徴です。
メールには添付ファイルがあり、Wordファイルの中にEmotetへ感染するマクロが含まれていました。
PCメーカーが標的になった被害事例
2020年5月、PCメーカーが標的型攻撃メールの被害にあい、法人顧客と取引先のメールアドレスが多数流出した可能性が判明しました。
同社従業員がメールを通じて偽サイトへ誘導され、認証情報を不正に窃取されたことに起因する事例で、この件では、当該従業員のアカウントから顧客・取引先へフィッシングメールが多数送信されることとなりました。
標的型メールは組織内の部門や関係者、信頼されている組織をかたって送信されることがあり、油断なりません。
「自社のセキュリティは大丈夫?」とご心配になった方は、下記の資料でチェックしてみてください。
LRMでは各種のセキュリティコンサルティングサービスを提供しています。専門家の意見を聞いてみたい場合、まずは問い合わせしてみましょう。
標的型攻撃メールの事例については「標的型攻撃メールの被害事例とは?手口や見分け方、対策方法まで紹介」で詳しく解説しています。あわせてご覧ください。
今すぐできる!標的型攻撃メールへの具体的な対策【組織・技術・教育】
標的型攻撃メールには、様々な対策方法がありますが、一つの対策を行えば他の対策が不要となるわけではありません。
標的型攻撃メールはサイバー攻撃の入り口として攻撃の端緒も幅広いバリエーションがあるため、抜け漏れの無い幅広い対策が必要となります。
安全な利用環境の整備、予防のための技術的対策の導入、メール閲覧時の精査、教育・訓練などの対策を行い、標的型攻撃メールの被害リスクを下げましょう。
本項では標的型攻撃メールへの具体的対策を下記3つのカテゴリに分類して紹介します。
| カテゴリ | 対策 |
|---|---|
| 組織的対策 | 組織的な情報セキュリティへの対応体制作り インシデント発生時の対応フロー作成 |
| 技術的対策 | OSやアプリを最新に保つ セキュリティ対策のソリューション導入 |
| 人的対策 | 厳重なメールチェック 定期的な教育の実施 標的型攻撃メール訓練の実施 |
組織的対策(ルール作り)
組織として実施すべき対策となるのが、標的型攻撃メールに関するルール作りとなる組織的対策です。情報セキュリティポリシーをベースにセキュリティ体制を作り、実際に標的型攻撃メールを受信した時の手順となるフローを作成しておきます。
また、「情報セキュリティポリシーの作り方」として文面やサンプルを記載した資料もチェックしてみてください。
組織的な情報セキュリティへの対応体制作り
標的型攻撃メールによる被害を最小限にするための対策として、組織全体でのセキュリティ対応の体制・ルール作りがあげられます。
問題が発生してから対応方法を考えていては被害の拡大は抑えられません。
標的型攻撃メールを始めとしたサイバー攻撃に対し、発生時に迅速に対応する組織を確立し、対応に関するルールや手順を定めておくことで、被害の拡大を阻止できます。
インシデント発生時の対応フロー作成
ルールを決めていても、いざインシデントが発生したときにスムーズに対応することは簡単ではありません。
スムーズな対応に向けて、対応フローを作成しておくことも組織的な対策となります。
例えば、標的型攻撃メールを受信した場合はまずは報告(エスカレーション)を行います。報告先などもフローの中に含めておくとよいです。
次に、攻撃を受けたPCはネットワークから隔離しますが、その手順などもリンクしておきましょう。さらには、パスワードが漏れていればパスワードの変更を行います。
このような対応の流れをまとめたフロー図を用意しておくことが対策の一つとなります。
技術的対策(システム導入)
技術的な対策としては、システムやツールの導入などがあげられます。
セキュリティ製品やサービスは多岐に渡るため、組織に適した組み合わせを取り入れる事が重要です。
OSやアプリを最新に保つ
Web利用におけるセキュリティの基本事項に、OSや端末内のアプリを常に最新の状態に保つことがあげられます。
標的型攻撃メールの中には、セキュリティ脆弱性を狙った攻撃も含まれます。
脆弱性のリスクを最小限にするため、セキュリティパッチはできる限り即時で適用しましょう。
セキュリティ対策ソフトの導入
標的型攻撃メールへの対策となるシステム、ソリューションについて代表的な例を紹介します。
アンチウイルスソフト
メールに限らず、Webの利用は常に脅威と隣り合わせです。したがってセキュリティ対策ソフト(アンチウイルスソフト、次世代型アンチウイルスソフトなど)は欠かせません。また、OSやアプリと同様、ウイルス対策ソフトも常に最新の定義ファイルを入れておく(アップデートする)ことが求められます。
マルウェア感染検知・対応ソフトの導入
近年、情報セキュリティに関する考え方として広がりを見せているのがゼロトラストという概念です。セキュリティ脅威は何処にでも存在するため、あらゆるものを信頼しない、という考え方です。
従来のセキュリティの考え方は境界型といい、外部からの侵入を防ぐことがメインとされていました。しかし、すでに社内ネットワークにマルウェアが入り込んでいた場合、境界型の考え方では手遅れです。ゼロトラストの考え方で対策を進めることで、被害を最小限にしなければなりません。
ゼロトラストの考え方に沿ったセキュリティ対策として、マルウェア感染検知・対応ソフトウェアの導入があります。マルウェア感染検知・対応ソフトウェアはEDR(Endpoint Detection and Response)とも呼ばれている製品群です。
未知のマルウェアなどが境界をすり抜けてマルウェアに感染する(かもしれない)ことを想定し、端末(PCやタブレット、スマートフォンなど)やサーバ上でのマルウェアの振る舞いを検知して、それ以降の被害を最小限にするためのソフトウェアです。
EDRは従来型のセキュリティソフト(アンチウイルスソフト、次世代型アンチウイルスソフト)と入れ替わる存在ではなく、組み合わせて利用することが推奨されます。
メールフィルタの適用
標的型攻撃メールの受信を拒否する方法として、メールフィルタの適用が挙げられます。メールサーバやメールプロバイダに対し、受信するメールの差出人に一定のルールを設定することが可能です。標的型攻撃メールの配信元がわかれば、そのドメインをブラックリストに載せることにより着信を拒否することができます。
ただし、この方法はメールの送信元のドメインが判明している場合にしか利用できません。未知のサイバー攻撃者に対しては無効です。さらに、むやみにメールの受信を拒否してしまうと、業務に必要な連絡方法を失うことに繋がってしまいます。
送信元ドメイン認証技術の導入
技術的に標的型攻撃メールの被害を防ぐための方法として、送信元ドメイン認証技術の導入が挙げられます。メールの送信元とメールの受信者が互いに送信元ドメイン認証の仕組みを取り入れることで、メールの送信者のドメインが正しいことを示すことが可能です。
なりすましメールも含めて標的型攻撃メールを見破るための方策となり得ます。しかしながら、そのための前提となるのが送信者、受信者の両者が送信元ドメイン認証の仕組みを導入することです。さらに送信元ドメイン認証にもSPF、DKIM、DMARCといった種類が存在しており、すべてのメール利用者が対応するにはまだ時間が必要となりそうです。
人的対策(教育・訓練)
標的型攻撃メールの恐ろしいところは、一人でも従業員が誤った対応をすると被害が発生してしまうことです。
全従業員に標的型攻撃メールについて認識してもらう教育、メールを受信する場合に備えた標的型攻撃メール訓練などが重要な対策となります。
厳重なメールチェック
受信したメールは容易に信頼せず、各従業員が厳重なチェックを行いましょう。件名から本文内のリンク、添付ファイルに至るまでしっかり確認し、被害を未然に防ぐようにします。
- 開封前
-
- 件名・差出人
- 身に覚えのある内容かどうか
- 差出人のアドレス(閲覧可能なメーラーあり)
- 既にやりとりのある相手かどうか
- メールアドレスのドメインは不正なものでないか
- 覚えのないフリーメールアドレスからの受信ではないか
- 件名・差出人
- 本文
-
- URLリンク
- リンクの記述とジャンプ先のURLは同一か
- ジャンプ先のURLは信頼できるドメインか
- 署名内容
- 署名の相手は実在する相手か
- 電子署名による確認が可能か
- URLリンク
- 添付ファイル
- ファイル形式
- .exe、.scrなどの実行ファイル形式ではないか
- .zipなどの圧縮ファイル形式ではないか
- アイコン・拡張子
- 異なる形式のものに偽装されていないか
- ショートカットアイコン
- .lnk形式のファイルではないか
- ファイル形式
添付ファイルは、信頼できる相手からの受信メールだと確認された場合のみ開封や実行を行いましょう。
まずは、そもそも開封してもよいメールかを必ずチェックします。本文や添付ファイルにも目を配り、無闇にクリックしないことが重要です。社内のやり取りであれば、本人にメール送信の有無を確認すると安心です。
なお、メーラー(メール閲覧用のソフトウェア)の設定で確認手順を設けることが可能です。HTMLメールのテキスト表示とリンクの無効化で、操作ミスなどでのリンク実行を防ぐことができます。
添付ファイルについては、セキュリティソフトのスキャン機能を使って内容の確認を行うと、より一層安全です。
信頼できる相手からのメールでも、メールの件名、差出人、本文について最近のメールのやり取りと照らし合わせて、不自然な内容でないかも確認しましょう。
定期的な教育の実施
標的型攻撃メールは、日本国内での登場が確認されてから15年以上が経過しています。長い年月の間、その手口は進化を続けており、対策を行うにも継続的な学習が必要となっています。
さらに、教育や情報の周知、訓練を行ってから一定の期間が過ぎると人は危機感が薄れていくものです。学習後、間隔が開いてしまうとその効果が薄れてしまうとも言えます。従って、定期的かつ継続的に教育や周知、訓練を行っていくことが求められます。
標的型攻撃メールの概要やトレンドなどについての教育には、セキュリティ教育クラウド「セキュリオ」がおすすめです。
従業員向けのセキュリティ教育については、「従業員のセキュリティ教育とは?具体的な内容やポイントなどを解説」「情報セキュリティ教育の実施方法とは?具体的な手順について解説」で詳しく説明しています。あわせてご覧ください。
標的型攻撃メール訓練の実施
標的型攻撃メールは、社内の誰か一人でも引っかかってしまえば重大な被害に発展します。
そのため、従業員が確実に標的型攻撃メールに引っかからないようにする必要があります。
知識として知っているだけではなく、メールを受信した場合に正しく行動できるようにするためには、訓練による対策が有効です。
組織全体での定期的な標的型攻撃メール訓練を実施することで、従業員に適切な対策の定着や意識づけができます。
セキュリティ教育クラウド「セキュリオ」により、準備の手間を減らして標的型攻撃メールの訓練が実現可能です。
標的型攻撃メールに対する訓練のチェックリストについては、こちらも参照してください。
標的型攻撃メールの特徴
標的型攻撃メールは非常に巧妙なため、一見して判断がつかないこともありますが、注意して見れば分かるものもあります。次のような特徴のメールを目にしたら、管理者や上長など然るべき箇所に報告することをおすすめします。
不自然な日本語・フォント
一読して日本語としておかしい、または日本語にない文字やフォントが使われている場合は警戒しましょう。日本語の言い回しが不自然だったり、一部に中国語の文字(繁体字、簡体字)が使われている、英文などの外字メールなど、日本人が作成したとは思えない内容であれば注意します。
これは、攻撃メールの多くが海外から受信するものであることが理由です。
ただし、近年ではメール文面の作成に生成AIを利用しており、精度が高まって見分けづらくなっています。
心当たりのない送信元からのメール
実在の組織や人物が差出人だと、標的型メールと判断できないことも多いです。しかし、差出人の情報を綿密にチェックすることで見破れるケースが存在します。
- 知らない人物からのメール
- 内容に心当たりがないメール
- フリーアドレスからのメール
- 署名内容の誤り
所属部署や業務内容にもよりますが、おおむね上記に注意しましょう。
得意先や自社の関連企業などつきあいのある組織でも、よく知らない人物からの突然のメール、身に覚えのないメールには警戒したほうがいいでしょう。
また署名内容の間違いからあやしいメールと判断できることもあります。たとえば、実在しない組織や電話番号が記載されていたり、そもそも差出人のアドレスと署名のアドレスが違っている場合もあります。
興味を引き、開封をうながす件名
標的型攻撃メールの常習手口として、受け取った人の興味を引き、つい開けたくなってしまう件名のメールを送りつけるものがあります。ソーシャルエンジニアリングの手法を用いて、ターゲット(メール受信者)の興味のある内容や業務に関する情報を調べてメールを作成している可能性もあります。
ただし、自部門や担当業務の特性から判断がつかないものもあり、業務実態や他の見分け方も勘案して判断すべきでしょう。
- 【緊急】【重要】【至急】などと記載のある件名
- 外部との対応業務に関連する件名
- 求人関係の問い合わせ・履歴書送付
- 自社製品に関する問い合わせ・クレーム
- 取材依頼やイベント招待
- 荷物の配送
- 組織全体を対象とする文書類
- 資料の再送や差し替え
- 人事情報、事業方針
- 本文中で添付ファイルの開封やURLへのアクセスを強く促している
リンク先がおかしいURL
メールにURLリンクが記載されている場合、マルウェア感染の危険性が高く、最大限の注意をすべきです。特に、表記されているリンクとそのリンク先が異なる場合は危険です。
上記を確認する方法もありますが、誤クリックによる重大な被害をもたらす可能性があるため、URLリンクには触らないのがベストです。調査のためにどうしても必要であれば、クリックしないように留意してURLをコピーして確認します。URLのドメインが不正なものでないかも確認のポイントです。
あやしい添付ファイルなど
メールに添付ファイルがある時点で慎重な取り扱いが必要です。また、文書ファイル形式でないアイコン型のファイルについても注意します。
- 実行ファイル(「exe」「scr」等)の添付)
- ショートカットファイルの添付(「lnk」など)
- アイコンの偽装
- ファイル拡張子の偽装
一見すれば単なる文書ファイルでも、RLO偽装などによって拡張子が偽装されていて実はマルウェアが含まれたファイルである、ということもあります。警戒しておきましょう。
標的型攻撃メールで被害が出る原因
標的型攻撃メールによるサイバー攻撃の被害は後を絶ちません。次々と被害者が生まれる原因について解説します。
ターゲットを定めた計画的な攻撃であること
サイバー犯罪者も攻撃の成功確率を高めるために下調べをします。それをもとに標的の組織に侵入するための試行錯誤がなされていますので、従業員が引っかかってしまいます。
手口の巧妙化
メールの文面、差出人のなりすまし手法、添付ファイルの偽装など、標的型攻撃メールには様々なサイバー攻撃の技術が組み合わされています。信頼できる送信者からのメールと見分けづらくしていることも被害につながる原因の一つでしょう。
新たな送信元からのメールは防ぎづらい
既に知られた標的型攻撃メールの送信元ドメインの場合には、メールフィルタなどの方法で受信を拒否することも可能です。しかし、サイバー犯罪者もその点は意識しており、送信元のドメインを次々変更するなどの対応をとっています。現状、メールは業務上必要な手段であり、すべてのメールを着信拒否しておくわけには行かないので、メールの受信そのものを防ぐのは難しいのです。
誰か一人でも対応を間違えてしまえば被害につながる
標的型攻撃メールを受信する可能性があるのは企業内のあらゆる人物です。一人でも誤ってリンクのクリックや添付ファイルを開いてしまいマルウェアに感染した場合には、被害はネットワーク内に広がってしまいます。
組織の全員がセキュリティ意識・リテラシーを持っておく必要がありますので、なかなか対策として困難です。
標的型攻撃メールの被害を防ぐ鍵は「開封前の見極め」
これまで解説したように、標的型攻撃メールは巧妙化しており、誰か一人でも対応を間違えると被害に繋がります。
最大の対策は、本記事で紹介した「特徴」や「チェックポイント」に基づき、従業員一人ひとりが「開封前に見分ける」意識を持つことです。
HTMLメールのように開封だけで感染するリスクもゼロではないため 、件名や差出人、添付ファイルの有無を常に確認する体制を整えましょう。
LRMでは標的型攻撃メールのサンプル文面もご用意しています。標的型攻撃メールの特徴を、サンプル文面とあわせてチェックしましょう。
標的型攻撃メールを開封してしまったら
それでは、実際にメールを開いてしまった場合には、どのように対処すべきなのでしょうか。
標的型攻撃メールを開いてしまった時の、具体的な対処について記載します。
ネットワーク切断
まず標的型攻撃メールを開いてしまった場合には、メールを開いてしまった端末をネットワークから切断しましょう。他の端末への感染拡大や、遠隔操作による二次被害を防ぐためです。
LANケーブルを差している場合には、LANケーブルを抜きます。Wi-Fiでの接続を許可している場合には、接続の切断を行いましょう。
まず第一に、周囲へのさらなる感染拡大を防ぐことを目的として、ネットワークの切断をしなければなりません。
情報管理者や情報システム部門に報告する
ネットワーク切断後は、即時に情報セキュリティの担当者や情報システム部門、所属組織の上司などへ報告を行いましょう。
社内に情報セキュリティトラブル発生時の連絡ルールがある場合は、それにしたがって報告します。本記事内で紹介したインシデント発生時の対応フロー図を作成し、そこに記載しておけば、いざというときにも従業員は対応しやすいでしょう。
「多分、大丈夫」という自己判断は厳禁です。自己判断による業務の継続により被害が広がれば、取り返しのつかない事態になりかねません。
なるべく迅速な報告を心がけましょう。
また、「標的型攻撃のメールを開いてしまったらどうする?具体的な対応を解説」でも、標的型攻撃のメールを開いてしまった場合の具体的な対応を解説していますので、あわせてご覧ください。
標的型メールの疑似体験・訓練の重要性
標的型攻撃メールによる攻撃はすべての組織にとって他人事ではありません。
自組織に標的型攻撃メールが送信されることを想定し、情報セキュリティ担当者はしっかり標的型攻撃メール訓練を実施しましょう。
eラーニングなどの教育と組み合わせると効果的です。
LRMの「セキュリオ」では、標的型攻撃メール訓練・eラーニング・毎週配信のミニテストを組み合わせて効果的・効率的に従業員のセキュリティ意識・リテラシーを向上することが可能です。
まずは無料で始めましょう。
まとめ
標的型攻撃メールは自社の顧客を騙り、あたかも本物のように見えるメールを送信してきます。
送られてきたメールを気にせずにすべて開いていると、いつの間にかウイルスに感染し、情報漏えいといった、企業を揺るがしかねない重大なインシデントになる可能性があります。
基本的なセキュリティ対策に加え、適切なセキュリティツールの導入、定期訓練や教育の実施、万が一の場合に備えたルール作りをして、標的型攻撃メールに備えましょう。標的型攻撃メール訓練の実施には「セキュリオ」などのサービスの利用がおすすめです。
