標的型攻撃メール徹底解説!スパムとの違い、回避方法から被害を受けた際の対処法まで

この記事は約7分で読めます。

IPA(情報処理推進機構)]が2020年3月26日に発表した情報セキュリティ10大脅威2020」では、組織部門の1位に「標的型攻撃による機密情報の搾取が取り上げられました。

「情報セキュリティ10大脅威」とは、前年に発生した社会的な影響が大きかったと考えられる情報セキュリティにおける事案から、IPAが脅威候補を算出し、情報セキュリティ分野の研究者、企業の実務担当者など約140名のメンバーから構成される「10大脅威選考会」が脅威候補に対して審査・投票を行い決定したものです。

標的型攻撃メールは標的型攻撃の一種です。これまでもなにかと話題になっているため、名前を聞いたことがある人は多いかもしれません。

この記事では、そもそも標的型攻撃メールとは何なのかということから、その回避方法や被害を受けた際の対処方法などについて、詳しく解説いたします。

LRM株式会社が提供しているサービス「Seculio」では、最大40種類以上の教材が無料で利用できるeラーニング機能に加えて、標的型攻撃メール訓練の機能も提供しています。
無料トライアルでも機能をご利用いただけますので、まずは1度お試しいただけますと幸いです。

また、標的型攻撃メールの事例・代表的な手口についてまとめた資料を無料でご覧いただけます。ぜひ、本記事と併せてご活用ください!

標的型攻撃メールとは

IPAによると、標的型攻撃メールとは「情報窃取を目的として特定の組織に送られる、ウイルスファイルを添付したり、ウイルスに感染するサイトに誘導する仕掛けを施したりしたメール」のことを言うそうです。

不特定多数の対象にばらまかれる通常の迷惑メールとは異なり、標的型攻撃メールは下記のような特徴があります。

標的型攻撃メールの特徴

  • 送信者名として、実在する信頼できそうな組織名や個人名を詐称
  • 受信者の業務に関係の深い話題や、詐称した送信者が扱っていそうな話題
  • ウイルス対策ソフトを使っていてもウイルスが検知されない場合が多い
  • メールが海外のIPアドレスから発信される場合が多い
  • 感染しても、パソコンが重たくなるとか変なメッセージが表示されることは余りない
  • 外部の指令サーバ(C&Cサーバ)と通信
  • 長期間にわたって標的となる組織に送り続けられる(内容は毎回異なる)

IPA 標的型攻撃/新しいタイプの攻撃の実態と対策」から引用

上記からわかるように、標的型攻撃メールではメール受信者が不信感を抱かないように、様々な「騙しのテクニック」が駆使されています。

スパムメール・フィッシングメールとの違い

標的型攻撃メールと同じような言葉として、スパムメールとフィッシングメールといったものがあります。それぞれの違いは、下記のとおりです。

スパムメール

いわゆる広告メールです。

中でも、受信者の意向を汲まず、無差別・大量にばらまかれるメールのことを指します。
「SPAM」という缶詰のメーカーが「スパム」と連呼するコマーシャルを流していたことが由来といわれています。

フィッシングメール

銀行やクレジットカードなどの名前を騙り、本物そっくりのメールでフィッシングサイトに誘導するメールを指します。
スパムメールとは異なり、相手を騙して詐欺をおこなうことを目的としています。なかでも最近は、QRコード決済を利用したフィッシングメール詐欺に関する報道をよく見かけます。

先日もセブン&アイ・ホールディングスのキャッシュレス決済サービス「7pay」が、わずか4日ほどでセキュリティの問題が問われたことがありました。

標的型メールはその名の通り、特定のターゲットをピンポイントで狙い撃ちして送ってきます。
一方で一般的なスパムメールやフィッシングメールは、相手を絞らずに無差別にメールを送ってきます。

標的型攻撃メールの傾向と見分け方

標的型攻撃のメールには傾向がありますので、いくつか典型的な例をご紹介します。

つい開封してしまうような興味を引く件名

送信する側からすれば、標的型攻撃メールは開いてもらわなければ意味がありません。そのため、受信者がつい開いてしまうような件名のメールを送ってきます。

例えば、以下のようなものです。

  • 自社の製品やサービスに対するお問い合わせ or クレーム 
  • 件名に「Re」が付いており、やり取り中を思わせるもの
  • VIP訪問情報など、ゴシップ的な内容
  • 情報セキュリティに関する注意喚起
  • 災害情報

怪しいメールアドレス

標的型攻撃メールは、大抵の場合なりすました組織、人に寄せたメールアドレスから送られてきます。たとえば「lrm_taro@lrm.jp」という人を騙る場合は、「lrm_taro@lrn.jp」「lrm_taro@gmail.com」といった具合に、似通ったドメインやフリードメインを利用してくることが多いです。

本物を装ったメール文面

標的型攻撃メールの送信者は、利用サービスやお客様、友人知人をなりすまして巧妙なメールを送ってきますが、下記のようなちょっとした違いから標的型メールであると見抜ける場合もあります。

  • 普段とは異なる言い回し
    例:お疲れさまです。 → お世話様です。
  • 日本語では使用されない漢字の使用
    例:東京オフィス → 东京オフィス
  • 微妙にドメインが異なるURL
    例:lrm.jp → lrn.jp
  • 表示と実際のURLが異なるリンク (HTMLメールの場合)

怪しい添付ファイル

標的型攻撃メールでは、ウイルスを含んだファイルを添付し、受信者にファイルをダウンロード、開封させることを目的とするものが多いです。そのため、以下のような怪しいファイルが添付されている場合は注意しましょう。

  • 実行形式ファイル(exe / scr など)
  • ショートカットファイル(lnk / pif など)
  • 実行形式ファイルなのに文書ファイルやフォルダのアイコンになっているファイル 
  • ファイル名が二重拡張子になっているファイル
  • ファイル拡張子の前に大量の空白文字が入っているファイル
  • 中のファイルが文字化けしている圧縮ファイル
  • RLOコードが利用されているファイル
    RLO:文字の表示順を変える制御文字を利用し、ファイル名の拡張子を偽装する手法

メールを受信した際は、ぜひ上記のような点に当てはまるものがないか確認してみてください。

とはいえ、届くメールを1通1通念入りに細かくチェックをするのも難しいかと思いますので、まずは最低限下記のような違和感がないかチェックしてみることから始めると良いでしょう。

標的型攻撃メールのよくある手口から、事例、見破り方まで網羅的に学べる資料はこちら

もし標的型メールに引っかかったら

標的型メールは日々巧妙化しています。

どれだけ注意をしていても、引っかかるときがくるかもしれません。そのようなときは、取り急ぎ下記のとおりの対応をおこない、自社のルールに沿って解決していきましょう。

  • ネットワークからPCを切り離す(被害拡大の防止
  • 情報セキュリティ管理者など、担当者に連絡する

なお、不審なメールを受信した際、急いでパソコンの初期化をする方がいますが、事前に情報セキュリティ管理者などに、初期化して問題ないか確認しましょう。初期化すると感染機器や流出情報の特定が困難になるため、自分の判断で対応するのはよくありません。

担当者は、報告を受けたら当該メールにウイルス感染の仕掛けがあるか調べると共に、同様の攻撃メールが他の人に届いていないか調査し、注意喚起をおこないましょう。

なお、IPAが標的型攻撃を受けた組織に向けて相談窓口を設けていますので、いざというときは相談すると良いでしょう。専門的な知見を持つ相談員が対応してくれます。

まとめ

トレンドマイクロが2015年に実施した調査では、標的型攻撃の被害に気づくのは、最初のマルウェア侵入から平均156日後(約5ヶ月)という結果が出ています。

標的型メールによる攻撃を受けても、対応が遅れてしまうのが現状です。
この記事を参考に、少しでも標的型メールの対策を進めていっていただければと思います。

LRM株式会社が提供しているサービス「Seculio」では、最大40種類以上の教材が無料で利用できるeラーニング機能に加えて、標的型攻撃メール訓練の機能も提供しています
無料トライアルでも機能をご利用いただけますので、まずは1度お試しいただけますと幸いです。

また、標的型攻撃の事例や対策についてより詳しく知りたい方は、ぜひ以下の資料をご活用ください。

情報セキュリティ対策サイバー攻撃対策インシデント対策
タイトルとURLをコピーしました