標的型攻撃メールの対策方法とは?特徴や事例などについても解説

この記事は約26分で読めます。

仕事でメールの受信トレイを開き、なんだか違和感のあるメールだと思ったら、それは標的型攻撃メールかもしれません。古くからあるスパムメールや迷惑メールと異なり、被害の程度や影響度、油断ならなさが段違いで、被害にあう企業が続出しています。

実際には標的型攻撃メールも国内では2005年から存在が確認されており、現在でも継続して利用されているサイバー攻撃手法です。近年では、メールの巧妙化が図られており、差出人のなりすましなどの手法と組み合わせて利用されているケースも見られます。

今回は標的型攻撃メールの概要や事例、対策方法について紹介します。標的型メールの被害リスクを回避するため、ぜひ一読をおすすめします。

また、標的型攻撃メール対策として代表的な標的型攻撃メール訓練の実施方法チェックリストを無料で配布しています。まずは流れを確認しましょう。

  1. 標的型攻撃メールとは?
  2. 標的型攻撃メールの対策
    1. OSやアプリを最新に保つ
    2. セキュリティ対策ソフトの導入
    3. マルウェア感染検知・対応ソフトの導入
    4. 厳重なメールチェック
    5. 定期的な教育の実施
    6. 標的型攻撃メール訓練の実施
    7. メールフィルタの適用
    8. 送信元ドメイン認証技術の導入
    9. 組織的な情報セキュリティへの対応体制作り
  3. 標的型攻撃メールの特徴
    1. 不自然な日本語・フォント
    2. 心当たりのない送信元からのメール
    3. 興味を引いたり開封をうながす件名
    4. リンク先がおかしいURL
    5. 怪しい添付ファイルなど
  4. 標的型攻撃メールで被害が出る原因
    1. ターゲットを定めた計画的な攻撃であること
    2. 手口の巧妙化
    3. 新たな送信元からのメールは防ぎづらい
    4. 誰か一人でも対応を間違えてしまえば被害につながる
  5. 標的型攻撃メールによる被害事例
    1. パソコンメーカーが標的になった被害事例
  6. 標的型攻撃メールを開封してしまったら
  7. まとめ
  8. 標的型攻撃メールとは?
  9. 標的型攻撃メールの対策
    1. OSやアプリを最新に保つ
    2. セキュリティ対策ソフトの導入
    3. マルウェア感染検知・対応ソフトの導入
    4. 厳重なメールチェック
    5. 定期的な教育の実施
    6. 標的型攻撃メール訓練の実施
    7. メールフィルタの適用
    8. 送信元ドメイン認証技術の導入
    9. 組織的な情報セキュリティへの対応体制作り
  10. 標的型攻撃メールの特徴
    1. 不自然な日本語・フォント
    2. 心当たりのない送信元からのメール
    3. 興味を引いたり開封をうながす件名
    4. リンク先がおかしいURL
    5. 怪しい添付ファイルなど
  11. 標的型攻撃メールで被害が出る原因
    1. ターゲットを定めた計画的な攻撃であること
    2. 手口の巧妙化
    3. 新たな送信元からのメールは防ぎづらい
    4. 誰か一人でも対応を間違えてしまえば被害につながる
  12. 標的型攻撃メールによる被害事例
    1. パソコンメーカーが標的になった被害事例
  13. 標的型攻撃メールを開封してしまったら
  14. まとめ

標的型攻撃メールとは?

標的型攻撃メールは、近年深刻化する「標的型攻撃」の一つの形態です。標的型攻撃とは特定の組織や企業、または個人を狙い、機密情報の窃取を目的にサイバー攻撃を仕掛けるものです。標的型攻撃メールは特定のターゲットにメールを送りつけてマルウェアに感染させ、機密情報を外部に流出させます。

標的型攻撃メールには、業務関係等のメールに偽装するなど、受信者を開封したくなる心理にさせる騙しのテクニックが駆使されています。しかも、犯人は対象のターゲットを調査のうえメールを送りつけてくるので、現実にありそうな件名や差出人名でメールが来ます。したがって、それと知らずに被害にあうケースがよくあります。

標的型攻撃メールについてもっと知りたい方は「業務連絡を装ったメールに注意!標的型攻撃メールの概要と対策」をあわせてご覧ください。

標的型攻撃メールの対策

標的型攻撃メールには、様々な対策方法があります。しかし、一つの対策を行えば他の対策が不要となるわけではありません。

標的型攻撃メールはサイバー攻撃の入り口として利用されており、攻撃の端緒も幅広いバリエーションがあるため、幅広い対策が必要となるというのが様々な対策方法が存在する理由です。

安全な利用環境の整備、予防のための技術的対策の導入、メール閲覧時の精査、教育・訓練などの対策を行い、標的型攻撃メールの被害リスクを下げましょう。

OSやアプリを最新に保つ

Web利用の基本事項に、OSや端末内のアプリを常に最新の状態に保つことがあげられます。標的型攻撃メールの中には、セキュリティ脆弱性を狙った攻撃も含まれます。脆弱性のリスクを最小限にするため、セキュリティパッチの修正はできる限り即時適用しましょう。

セキュリティ対策ソフトの導入

メールに限らず、Webの利用は常に脅威ととなり合わせです。したがってセキュリティ対策ソフト(アンチウイルスソフト、次世代型アンチウイルスソフトなど)は欠かせません。また、OSやアプリと同様、ウイルス対策ソフトも常に最新の定義ファイルを入れておく(アップデートする)ことが求められます。

マルウェア感染検知・対応ソフトの導入

近年、情報セキュリティに関する考え方として広がりを見せているのがゼロトラストという概念です。あらゆるものを信頼せず、セキュリティ脅威は常に傍にあり得るとする考え方です。

従来のセキュリティの考え方は、境界型といい外部からの侵入を防ぐことがメインとされていました。しかし、既にマルウェアに感染してしまった場合には境界型の考え方では被害を食い止め、最少化することには繋がりません。そこで、ゼロトラストという考え方と組み合わせて利用されるようになってきています。

ゼロトラストの考え方に沿ったセキュリティ対策としてマルウェア感染検知・対応ソフトウェアの導入があります。マルウェア感染検知・対応ソフトウェアはEDR(Endpoint Detection and Response)とも呼ばれている製品群です。

未知のマルウェアなどが境界をすり抜けてマルウェアに感染する(かもしれない)ことを想定し、端末(PCやタブレット、スマートフォンなど)やサーバー上でのマルウェアの振る舞いを検知して、それ以降の被害を最小限にするためのソフトウェアです。

EDRは従来型のセキュリティソフト(アンチウイルスソフト、次世代型アンチウイルスソフト)と入れ替わる存在ではなく、組み合わせて利用することが推奨されます。

厳重なメールチェック

受信したメールに対しては、容易に信頼せず、チェックを行いましょう。必ず精査してから、本文内のリンクや添付ファイルへ対応する手順とすることで、被害を未然に防ぐことができます。

開封前
  • 件名・差出人
    • 身に覚えのある内容かどうか
  • 差出人のアドレス(閲覧可能なメーラーあり)
    • メールでのやりとりのある相手かどうか
    • メールアドレスのドメインは不正なものでないか
    • 覚えのないフリーメールアドレスからの受信ではないか
本文
  • URLリンク
    • リンクの記述とジャンプ先のURLは同一か
    • ジャンプ先のURLは信頼できるドメインか
  • 署名内容
    • 署名の相手は実在する相手か
    • 電子署名の利用による相手の確認
添付ファイル
  • 実行ファイルでないか
    • .exe、.scrなどの拡張子を持つ実行ファイルではないか
    • .zipなどの圧縮ファイル形式ではないか
  • アイコン・拡張子の偽装
  • ショートカットアイコン
    • .lnkの拡張子を持つファイルではないか

添付ファイルは、信頼できる相手からの受信メールと確認された場合のみ開封や実行を行いましょう。

まずは、そもそも開封してもよいメールかを必ずチェックします。本文や添付ファイルにも目を配り、やたらにクリックしないことが重要です。社内のやり取りであれば、本人にメール送信の有無を確認すると安心です。

なお、メーラー(メール閲覧用のソフトウェア)の設定変更により、確認手順を設けることが可能です。HTMLメールのテキスト表示とリンクの無効化により、操作ミスなどでのリンク実行を防ぐことができます。

添付ファイルについては、セキュリティソフトのスキャン機能を使って内容の確認を行うと、より安全です。

信頼できる相手からのメールでも、メールの件名、差出人、本文について最近のメールのやり取りと照らし合わせて、不自然な内容でないかも確認しましょう。

定期的な教育の実施

標的型攻撃メールは、日本国内での登場が確認されててから15年以上が経過しています。長い年月の間、その手口は進化を続けており、対策を行うにも継続的な学習が必要となっています。

さらに、教育や情報の周知、訓練を行ってから一定の期間が過ぎると人は危機感が薄れていくものです。学習後、間隔が開いてしまうとその効果が薄れてしまうとも言えます。従って、定期的かつ継続的に教育や周知、訓練を行っていくことが求められます。

標的型攻撃メール訓練の実施

標的型攻撃メールは、社内の誰か一人でも引っかかってしまうと、重大な被害に発展します。

そのため、従業員が確実に標的型攻撃メールに引っかからないようにする必要があります。

そこで、組織全体での定期的な標的型攻撃メール訓練を実施することで、従業員に適切な対策の定着や意識づけが可能です。

メールフィルタの適用

標的型攻撃メールの受信を拒否する方法として、メールフィルタの適用が挙げられます。メールサーバーやメールプロバイダに対し、受信するメールの差出人に一定のルールを設定することが可能です。標的型攻撃メールの配信元がわかれば、そのドメインをブラックリストに載せることにより着信を拒否することができます。

ただし、この方法はメールの送信元のドメインが判明している場合にしか利用できません。未知のサイバー攻撃者に対しては無効です。さらに、むやみにメールの受信を拒否してしまうと、業務に必要な連絡方法を失うことに繋がってしまいます。

送信元ドメイン認証技術の導入

技術的に標的型攻撃メールの被害を防ぐための方法として、送信元ドメイン認証技術の導入が挙げられます。メールの送信元とメールの受信者が互いに送信元ドメイン認証の仕組みを取り入れることで、メールの送信者のドメインが正しいことを示すことが可能です。

なりすましメールも含めて標的型攻撃メールを見破るための方策となり得ます。しかしながら、そのための前提となるのが送信者、受信者の両者が送信元ドメイン認証の仕組みを導入することです。さらに送信元ドメイン認証にもSPF、DKIM、DMARCといった種類が存在しており、全てのメール利用者が対応するにはまだ時間が必要となりそうです。

組織的な情報セキュリティへの対応体制作り

標的型攻撃メールによる被害を小さく抑えるための対策として、企業や組織におけるセキュリティへの対応の体制ルール作りがあげられます。問題が発生してから対応方法を考えていては被害の拡大は抑えられません。標的型攻撃メールを始めとしたサイバー攻撃に対し、発生時に対応する組織を確立し、対応に関するルールや手順を定めておくことで、被害が拡大を阻止できます。

標的型攻撃メールの特徴

標的型攻撃メールは非常に巧妙なため、一見して判断がつかないこともあります。ただ、注意してみると不審なメールと見分けられるものもあります。少なくとも複数回にわたって、次のような特徴のメールを目にしたら、IT管理者に通報したり上長に報告すべきでしょう。

不自然な日本語・フォント

一読して日本語としておかしい、または日本語にない文字やフォントが使われている場合は警戒しましょう。日本語の言い回しが不自然だったり、一部に中国語の文字(繁体字、簡体字)が使われている、英文などの外字メールなど、日本人が作成したとは思えない内容であれば注意します。

心当たりのない送信元からのメール

実在の組織や人物が差出人だと、標的型メールと判断できないことも多いです。しかし、差出人の情報をチェックすることで見破れるケースが存在します。

  • 知らない人物からのメール
  • 内容に心当たりがないメール
  • フリーアドレスからのメール
  • 署名内容の誤り

所属部署や業務内容にもよりますが、おおむね上記に注意しましょう。

得意先や自社の関連企業など、つきあいのある組織でも、まったく知らない人物からの突然のメール、ましてや業務に関係のないメールは警戒したほうがいいでしょう。

また署名内容の間違いからあやしいメールと判断できることもあります。たとえば、実在しない組織や電話番号が記載されていたり、そもそも差出人のメールアドレスと署名のアドレスが違っている場合もあります。

興味を引いたり開封をうながす件名

標的型攻撃メールの手口の一つに、開封させるため受け取った人の興味を引き、つい開けたくなる件名のメールを送りつけるものがあります。ソーシャルエンジニアリングの手法を用いて、ターゲット(メール受信者)の興味のある内容や業務に関する情報を調べてメールを作成している可能性もあります。

ただし、自部門や担当業務の特性から判断がつかないものもあり、業務実態や他の見分け方も勘案して判断すべきでしょう。

  • 【緊急】【重要】【至急】などと記載のある件名
  • 外部との対応業務に関連する件名
    • 求人関係の問い合わせ・履歴書送付
    • 自社製品に関する問い合わせ・クレーム
    • 取材依頼やイベント招聘
    • 荷物の配送
  • 組織全体を対象とする文書類
    • 資料の再送や差し替え
    • 人事情報、事業方針
  • 本文中で強く添付ファイルの開封やURLへのアクセスを促している

リンク先がおかしいURL

メールにURLリンクが記載されている場合、マルウェア感染の危険性が非常に高く、最大限の注意をすべきです。特にURLの表記と、そこから飛べるリンク先が異なる場合は危険です。

上記を確認する方法もありますが、誤クリックによる重大な被害をもたらす可能性があるため、URLリンクには触らないのがベストです。調査のためどうしても必要であれば、クリックしないように留意してURLをコピーして確認します。URLのドメインが不正なものでないかも確認のポイントです。

怪しい添付ファイルなど

メールに添付ファイルがある時点で慎重な取り扱いが必要です。また、文書ファイル形式でないアイコン型のファイルについても注意します。

  • 実行ファイル(「exe」「scr」等)の添付
  • ショートカットファイルの添付(「lnk」など)
  • アイコンの偽装
  • ファイル拡張子の偽装

メールにアイコンが添付されている場合、何らかのファイルと考えていいでしょう。つまり、一見単なる文書ファイルに見えても、マルウエアのプログラムが格納されているかもしれないと警戒すべきです。

標的型攻撃メールで被害が出る原因

標的型攻撃メールによるサイバー攻撃の被害は後を絶ちません。次々と被害者が生まれる原因について紹介します。

ターゲットを定めた計画的な攻撃であること

サイバー犯罪者も攻撃の成功確率を高めるために、事前の調査や工夫を行っています。繰り返しの攻撃の中で、データを得て成功率の高い方法を取捨選択していると考えられます。

手口の巧妙化

メールの文面、差出人のなりすまし手法、添付ファイルの偽装など、標的型攻撃メールには様々なサイバー攻撃の技術が組み合わされています。信頼できる送信者からのメールと見分けづらくしていることも被害につながる原因の一つでしょう。

新たな送信元からのメールは防ぎづらい

既に知られた標的型攻撃メールの送信元ドメインの場合には、メールフィルタなどの方法で受信を拒否することも可能です。しかし、サイバー犯罪者もその点は意識しており、送信元のドメインを次々変更するなどの対応をとっています。メールは業務上必要な手段のため、全てのメールを着信拒否しておくわけには行かないので、メールの受信そのものを防ぐのは難しいのです。

誰か一人でも対応を間違えてしまえば被害につながる

標的型攻撃メールを受信する可能性があるのは企業内のあらゆる人物です。一人でも誤ってリンクのクリックや添付ファイルを開いてしまいマルウェアに感染した場合には、被害はネットワーク内に広がってしまいます。全員が同レベルのセキュリティに関する知識と対応力が求められるため、被害が防ぎきれないのです。

標的型攻撃メールによる被害事例

標的型攻撃メールの被害者は各国の政府系機関から、ハイテク企業/専門機関、大規模インフラ事業者、多数の個人情報を抱える公的機関や一般事業者まで多岐にわたります。

ここでは、比較的近年発生した被害事例を紹介します。

パソコンメーカーが標的になった被害事例

2020年5月に、あるパソコンメーカーが標的型攻撃メールの被害にあい、法人顧客と取引先のメールアドレスが多数流出した可能性が判明しました。

経緯
  • 社内に標的型攻撃メール(フィッシングメール)が送信される
  • 社員1名が不正サイトに誘導され、メールアカウント情報を窃取される
  • 該当アカウントによる不正アクセスとフィッシングメール1220件が送信される
  • フィッシングメール受信者からの通報により発覚にいたる
対処
  • 該当アカウントのパスワード変更と不正アクセスの遮断を行う
  • フィッシングメールの送信先に報告と謝罪、注意喚起やメール削除を呼びかける

この攻撃で使われた手口や文言は明らかになっていません。あくまで推測にすぎませんが、メールのアカウント情報の入力を誘導されたことから、社内や事務の委託業者など内部関係者をよそおったメールの可能性があります。

過去にあった別の事例では所属する業界団体を経由した標的型攻撃メールの被害が知られています。標的型メールは組織内の部門や関係者、信頼されている組織団体をかたって送信されることがあり、油断がなりません。

標的型攻撃メールを開封してしまったら

最後に、万一標的型攻撃メールを開封してしまった場合の対処を紹介します。

気づかずに怪しいメールを開封してしまっても、以下の手立てを講じ、できるだけ被害が拡大しないよう努めましょう。

  • 本文のURLリンクをクリックしない
  • 添付ファイルは開かない
  • ウイルス対策ソフトなどによる端末のウイルススキャン実施
  • 社内ルールにしたがい、セキュリティ担当者に報告

まとめ

メールは日々の業務に欠かせないツールの一つですが、日常的に利用するため攻撃される機会も多く、あらゆるサイバー攻撃の端緒となることがあり得ます。
標的型攻撃メールへの対策として、各種のITの仕組みを活用した対策を実施することはもちろんのこと、標的型攻撃メールへの訓練サービスの活用も有効です。安全なメール利用のためにも、一度検討されてみることをおすすめします。

LRMのセキュリオでは、GR スタンダードプランの内容を無料でトライアル可能です。ぜひお試しください。

仕事でメールの受信トレイを開き、なんだか違和感のあるメールだと思ったら、それは標的型攻撃メールかもしれません。古くからあるスパムメールや迷惑メールと異なり、被害の程度や影響度、油断ならなさが段違いで、被害にあう企業が続出しています。

実際には標的型攻撃メールも国内では2005年から存在が確認されており、現在でも継続して利用されているサイバー攻撃手法です。近年では、メールの巧妙化が図られており、差出人のなりすましなどの手法と組み合わせて利用されているケースも見られます。

今回は標的型攻撃メールの概要や事例、対策方法について紹介します。標的型メールの被害リスクを回避するため、ぜひ一読をおすすめします。

また、標的型攻撃メール対策として代表的な標的型攻撃メール訓練の実施方法チェックリストを無料で配布しています。まずは流れを確認しましょう。

標的型攻撃メールとは?

標的型攻撃メールは、近年深刻化する「標的型攻撃」の一つの形態です。標的型攻撃とは特定の組織や企業、または個人を狙い、機密情報の窃取を目的にサイバー攻撃を仕掛けるものです。標的型攻撃メールは特定のターゲットにメールを送りつけてマルウェアに感染させ、機密情報を外部に流出させます。

標的型攻撃メールには、業務関係等のメールに偽装するなど、受信者を開封したくなる心理にさせる騙しのテクニックが駆使されています。しかも、犯人は対象のターゲットを調査のうえメールを送りつけてくるので、現実にありそうな件名や差出人名でメールが来ます。したがって、それと知らずに被害にあうケースがよくあります。

標的型攻撃メールの対策

標的型攻撃メールには、様々な対策方法があります。しかし、一つの対策を行えば他の対策が不要となるわけではありません。

標的型攻撃メールはサイバー攻撃の入り口として利用されており、攻撃の端緒も幅広いバリエーションがあるため、幅広い対策が必要となるというのが様々な対策方法が存在する理由です。

安全な利用環境の整備、予防のための技術的対策の導入、メール閲覧時の精査、教育・訓練などの対策を行い、標的型攻撃メールの被害リスクを下げましょう。

OSやアプリを最新に保つ

Web利用の基本事項に、OSや端末内のアプリを常に最新の状態に保つことがあげられます。標的型攻撃メールの中には、セキュリティ脆弱性を狙った攻撃も含まれます。脆弱性のリスクを最小限にするため、セキュリティパッチの修正はできる限り即時適用しましょう。

セキュリティ対策ソフトの導入

メールに限らず、Webの利用は常に脅威ととなり合わせです。したがってセキュリティ対策ソフト(アンチウイルスソフト、次世代型アンチウイルスソフトなど)は欠かせません。また、OSやアプリと同様、ウイルス対策ソフトも常に最新の定義ファイルを入れておく(アップデートする)ことが求められます。

マルウェア感染検知・対応ソフトの導入

近年、情報セキュリティに関する考え方として広がりを見せているのがゼロトラストという概念です。あらゆるものを信頼せず、セキュリティ脅威は常に傍にあり得るとする考え方です。

従来のセキュリティの考え方は、境界型といい外部からの侵入を防ぐことがメインとされていました。しかし、既にマルウェアに感染してしまった場合には境界型の考え方では被害を食い止め、最少化することには繋がりません。そこで、ゼロトラストという考え方と組み合わせて利用されるようになってきています。

ゼロトラストの考え方に沿ったセキュリティ対策としてマルウェア感染検知・対応ソフトウェアの導入があります。マルウェア感染検知・対応ソフトウェアはEDR(Endpoint Detection and Response)とも呼ばれている製品群です。

未知のマルウェアなどが境界をすり抜けてマルウェアに感染する(かもしれない)ことを想定し、端末(PCやタブレット、スマートフォンなど)やサーバー上でのマルウェアの振る舞いを検知して、それ以降の被害を最小限にするためのソフトウェアです。

EDRは従来型のセキュリティソフト(アンチウイルスソフト、次世代型アンチウイルスソフト)と入れ替わる存在ではなく、組み合わせて利用することが推奨されます。

厳重なメールチェック

受信したメールに対しては、容易に信頼せず、チェックを行いましょう。必ず精査してから、本文内のリンクや添付ファイルへ対応する手順とすることで、被害を未然に防ぐことができます。

開封前
  • 件名・差出人
    • 身に覚えのある内容かどうか
  • 差出人のアドレス(閲覧可能なメーラーあり)
    • メールでのやりとりのある相手かどうか
    • メールアドレスのドメインは不正なものでないか
    • 覚えのないフリーメールアドレスからの受信ではないか
本文
  • URLリンク
    • リンクの記述とジャンプ先のURLは同一か
    • ジャンプ先のURLは信頼できるドメインか
  • 署名内容
    • 署名の相手は実在する相手か
    • 電子署名の利用による相手の確認
添付ファイル
  • 実行ファイルでないか
    • .exe、.scrなどの拡張子を持つ実行ファイルではないか
    • .zipなどの圧縮ファイル形式ではないか
  • アイコン・拡張子の偽装
  • ショートカットアイコン
    • .lnkの拡張子を持つファイルではないか

添付ファイルは、信頼できる相手からの受信メールと確認された場合のみ開封や実行を行いましょう。

まずは、そもそも開封してもよいメールかを必ずチェックします。本文や添付ファイルにも目を配り、やたらにクリックしないことが重要です。社内のやり取りであれば、本人にメール送信の有無を確認すると安心です。

なお、メーラー(メール閲覧用のソフトウェア)の設定変更により、確認手順を設けることが可能です。HTMLメールのテキスト表示とリンクの無効化により、操作ミスなどでのリンク実行を防ぐことができます。

添付ファイルについては、セキュリティソフトのスキャン機能を使って内容の確認を行うと、より安全です。

信頼できる相手からのメールでも、メールの件名、差出人、本文について最近のメールのやり取りと照らし合わせて、不自然な内容でないかも確認しましょう。

定期的な教育の実施

標的型攻撃メールは、日本国内での登場が確認されててから15年以上が経過しています。長い年月の間、その手口は進化を続けており、対策を行うにも継続的な学習が必要となっています。

さらに、教育や情報の周知、訓練を行ってから一定の期間が過ぎると人は危機感が薄れていくものです。学習後、間隔が開いてしまうとその効果が薄れてしまうとも言えます。従って、定期的かつ継続的に教育や周知、訓練を行っていくことが求められます。

標的型攻撃メール訓練の実施

標的型攻撃メールは、社内の誰か一人でも引っかかってしまうと、重大な被害に発展します。

そのため、従業員が確実に標的型攻撃メールに引っかからないようにする必要があります。

そこで、組織全体での定期的な標的型攻撃メール訓練を実施することで、従業員に適切な対策の定着や意識づけが可能です。

メールフィルタの適用

標的型攻撃メールの受信を拒否する方法として、メールフィルタの適用が挙げられます。メールサーバーやメールプロバイダに対し、受信するメールの差出人に一定のルールを設定することが可能です。標的型攻撃メールの配信元がわかれば、そのドメインをブラックリストに載せることにより着信を拒否することができます。

ただし、この方法はメールの送信元のドメインが判明している場合にしか利用できません。未知のサイバー攻撃者に対しては無効です。さらに、むやみにメールの受信を拒否してしまうと、業務に必要な連絡方法を失うことに繋がってしまいます。

送信元ドメイン認証技術の導入

技術的に標的型攻撃メールの被害を防ぐための方法として、送信元ドメイン認証技術の導入が挙げられます。メールの送信元とメールの受信者が互いに送信元ドメイン認証の仕組みを取り入れることで、メールの送信者のドメインが正しいことを示すことが可能です。

なりすましメールも含めて標的型攻撃メールを見破るための方策となり得ます。しかしながら、そのための前提となるのが送信者、受信者の両者が送信元ドメイン認証の仕組みを導入することです。さらに送信元ドメイン認証にもSPF、DKIM、DMARCといった種類が存在しており、全てのメール利用者が対応するにはまだ時間が必要となりそうです。

組織的な情報セキュリティへの対応体制作り

標的型攻撃メールによる被害を小さく抑えるための対策として、企業や組織におけるセキュリティへの対応の体制ルール作りがあげられます。問題が発生してから対応方法を考えていては被害の拡大は抑えられません。標的型攻撃メールを始めとしたサイバー攻撃に対し、発生時に対応する組織を確立し、対応に関するルールや手順を定めておくことで、被害が拡大を阻止できます。

標的型攻撃メールの特徴

標的型攻撃メールは非常に巧妙なため、一見して判断がつかないこともあります。ただ、注意してみると不審なメールと見分けられるものもあります。少なくとも複数回にわたって、次のような特徴のメールを目にしたら、IT管理者に通報したり上長に報告すべきでしょう。

不自然な日本語・フォント

一読して日本語としておかしい、または日本語にない文字やフォントが使われている場合は警戒しましょう。日本語の言い回しが不自然だったり、一部に中国語の文字(繁体字、簡体字)が使われている、英文などの外字メールなど、日本人が作成したとは思えない内容であれば注意します。

心当たりのない送信元からのメール

実在の組織や人物が差出人だと、標的型メールと判断できないことも多いです。しかし、差出人の情報をチェックすることで見破れるケースが存在します。

  • 知らない人物からのメール
  • 内容に心当たりがないメール
  • フリーアドレスからのメール
  • 署名内容の誤り

所属部署や業務内容にもよりますが、おおむね上記に注意しましょう。

得意先や自社の関連企業など、つきあいのある組織でも、まったく知らない人物からの突然のメール、ましてや業務に関係のないメールは警戒したほうがいいでしょう。

また署名内容の間違いからあやしいメールと判断できることもあります。たとえば、実在しない組織や電話番号が記載されていたり、そもそも差出人のメールアドレスと署名のアドレスが違っている場合もあります。

興味を引いたり開封をうながす件名

標的型攻撃メールの手口の一つに、開封させるため受け取った人の興味を引き、つい開けたくなる件名のメールを送りつけるものがあります。ソーシャルエンジニアリングの手法を用いて、ターゲット(メール受信者)の興味のある内容や業務に関する情報を調べてメールを作成している可能性もあります。

ただし、自部門や担当業務の特性から判断がつかないものもあり、業務実態や他の見分け方も勘案して判断すべきでしょう。

  • 【緊急】【重要】【至急】などと記載のある件名
  • 外部との対応業務に関連する件名
    • 求人関係の問い合わせ・履歴書送付
    • 自社製品に関する問い合わせ・クレーム
    • 取材依頼やイベント招聘
    • 荷物の配送
  • 組織全体を対象とする文書類
    • 資料の再送や差し替え
    • 人事情報、事業方針
  • 本文中で強く添付ファイルの開封やURLへのアクセスを促している

リンク先がおかしいURL

メールにURLリンクが記載されている場合、マルウェア感染の危険性が非常に高く、最大限の注意をすべきです。特にURLの表記と、そこから飛べるリンク先が異なる場合は危険です。

上記を確認する方法もありますが、誤クリックによる重大な被害をもたらす可能性があるため、URLリンクには触らないのがベストです。調査のためどうしても必要であれば、クリックしないように留意してURLをコピーして確認します。URLのドメインが不正なものでないかも確認のポイントです。

怪しい添付ファイルなど

メールに添付ファイルがある時点で慎重な取り扱いが必要です。また、文書ファイル形式でないアイコン型のファイルについても注意します。

  • 実行ファイル(「exe」「scr」等)の添付
  • ショートカットファイルの添付(「lnk」など)
  • アイコンの偽装
  • ファイル拡張子の偽装

メールにアイコンが添付されている場合、何らかのファイルと考えていいでしょう。つまり、一見単なる文書ファイルに見えても、マルウエアのプログラムが格納されているかもしれないと警戒すべきです。

標的型攻撃メールで被害が出る原因

標的型攻撃メールによるサイバー攻撃の被害は後を絶ちません。次々と被害者が生まれる原因について紹介します。

ターゲットを定めた計画的な攻撃であること

サイバー犯罪者も攻撃の成功確率を高めるために、事前の調査や工夫を行っています。繰り返しの攻撃の中で、データを得て成功率の高い方法を取捨選択していると考えられます。

手口の巧妙化

メールの文面、差出人のなりすまし手法、添付ファイルの偽装など、標的型攻撃メールには様々なサイバー攻撃の技術が組み合わされています。信頼できる送信者からのメールと見分けづらくしていることも被害につながる原因の一つでしょう。

新たな送信元からのメールは防ぎづらい

既に知られた標的型攻撃メールの送信元ドメインの場合には、メールフィルタなどの方法で受信を拒否することも可能です。しかし、サイバー犯罪者もその点は意識しており、送信元のドメインを次々変更するなどの対応をとっています。メールは業務上必要な手段のため、全てのメールを着信拒否しておくわけには行かないので、メールの受信そのものを防ぐのは難しいのです。

誰か一人でも対応を間違えてしまえば被害につながる

標的型攻撃メールを受信する可能性があるのは企業内のあらゆる人物です。一人でも誤ってリンクのクリックや添付ファイルを開いてしまいマルウェアに感染した場合には、被害はネットワーク内に広がってしまいます。全員が同レベルのセキュリティに関する知識と対応力が求められるため、被害が防ぎきれないのです。

標的型攻撃メールによる被害事例

標的型攻撃メールの被害者は各国の政府系機関から、ハイテク企業/専門機関、大規模インフラ事業者、多数の個人情報を抱える公的機関や一般事業者まで多岐にわたります。

ここでは、比較的近年発生した被害事例を紹介します。

パソコンメーカーが標的になった被害事例

2020年5月に、あるパソコンメーカーが標的型攻撃メールの被害にあい、法人顧客と取引先のメールアドレスが多数流出した可能性が判明しました。

経緯
  • 社内に標的型攻撃メール(フィッシングメール)が送信される
  • 社員1名が不正サイトに誘導され、メールアカウント情報を窃取される
  • 該当アカウントによる不正アクセスとフィッシングメール1220件が送信される
  • フィッシングメール受信者からの通報により発覚にいたる
対処
  • 該当アカウントのパスワード変更と不正アクセスの遮断を行う
  • フィッシングメールの送信先に報告と謝罪、注意喚起やメール削除を呼びかける

この攻撃で使われた手口や文言は明らかになっていません。あくまで推測にすぎませんが、メールのアカウント情報の入力を誘導されたことから、社内や事務の委託業者など内部関係者をよそおったメールの可能性があります。

過去にあった別の事例では所属する業界団体を経由した標的型攻撃メールの被害が知られています。標的型メールは組織内の部門や関係者、信頼されている組織団体をかたって送信されることがあり、油断がなりません。

標的型攻撃メールの事例については「標的型攻撃メールの被害事例とは?手口や見分け方、対策方法まで紹介」で詳しく解説しています。あわせてご覧ください。

標的型攻撃メールを開封してしまったら

最後に、万一標的型攻撃メールを開封してしまった場合の対処を紹介します。

気づかずに怪しいメールを開封してしまっても、以下の手立てを講じ、できるだけ被害が拡大しないよう努めましょう。

  • 本文のURLリンクをクリックしない
  • 添付ファイルは開かない
  • ウイルス対策ソフトなどによる端末のウイルススキャン実施
  • 社内ルールにしたがい、セキュリティ担当者に報告

まとめ

メールは日々の業務に欠かせないツールの一つですが、日常的に利用するため攻撃される機会も多く、あらゆるサイバー攻撃の端緒となることがあり得ます。
標的型攻撃メールへの対策として、各種のITの仕組みを活用した対策を実施することはもちろんのこと、標的型攻撃メールへの訓練サービスの活用も有効です。安全なメール利用のためにも、一度検討されてみることをおすすめします。

LRMのセキュリオでは、GR スタンダードプランの内容を無料でトライアル可能です。ぜひお試しください。

情報セキュリティ対策サイバー攻撃対策
タイトルとURLをコピーしました