標的型攻撃メールは標的型攻撃の一種です。これまでもなにかと話題になっているため、名前を聞いたことがある人は多いかもしれません。
IPA(情報処理推進機構)の「情報セキュリティ10大脅威2023」では、組織部門の3位に「標的型攻撃による機密情報の搾取」が取り上げられました。
この記事では、そもそも標的型攻撃メールとは何なのかということから、その回避方法や被害を受けた際の対処方法などについて、詳しく解説いたします。
こちらでは、標的型攻撃メールの本当の事例から見破り方を知れる「標的型攻撃メール 事例・サンプル集」を無料で配布しています。本記事と併せて、一層の理解を深めることができます!
標的型攻撃メールとは
IPAによると、標的型攻撃メールとは「情報窃取を目的として特定の組織に送られる、ウイルスファイルを添付したり、ウイルスに感染するサイトに誘導する仕掛けを施したりしたメール」のことを言うそうです。
不特定多数の対象にばらまかれる通常の迷惑メールとは異なり、標的型攻撃メールは下記のような特徴があります。
標的型攻撃メールの特徴
- 送信者名として、実在する信頼できそうな組織名や個人名を詐称
- 受信者の業務に関係の深い話題や、詐称した送信者が扱っていそうな話題
- ウイルス対策ソフトを使っていてもウイルスが検知されない場合が多い
- メールが海外のIPアドレスから発信される場合が多い
- 感染しても、パソコンが重たくなるとか変なメッセージが表示されることは余りない
- 外部の指令サーバ(C&Cサーバ)と通信
- 長期間にわたって標的となる組織に送り続けられる(内容は毎回異なる)
上記からわかるように、標的型攻撃メールではメール受信者が不信感を抱かないように、様々な「騙しのテクニック」が駆使されています。
スパムメール・フィッシングメールとの違い
標的型攻撃メールと同じような言葉として、スパムメールとフィッシングメールといったものがあります。それぞれの違いは、下記のとおりです。
スパムメール
いわゆる広告メールです。
中でも、受信者の意向を汲まず、無差別・大量にばらまかれるメールのことを指します。
「SPAM」という缶詰のメーカーが「スパム」と連呼するコマーシャルを流していたことが由来といわれています。
フィッシングメール
銀行やクレジットカードなどの名前を騙り、本物そっくりのメールでフィッシングサイトに誘導するメールを指します。
スパムメールとは異なり、相手を騙して詐欺をおこなうことを目的としています。なかでも最近は、QRコード決済を利用したフィッシングメール詐欺に関する報道をよく見かけます。
先日もセブン&アイ・ホールディングスのキャッシュレス決済サービス「7pay」が、わずか4日ほどでセキュリティの問題が問われたことがありました。
標的型メールはその名の通り、特定のターゲットをピンポイントで狙い撃ちして送ってきます。
一方で一般的なスパムメールやフィッシングメールは、相手を絞らずに無差別にメールを送ってきます。
標的型攻撃メールの傾向と見分け方
標的型攻撃のメールには傾向がありますので、いくつか典型的な例をご紹介します。
つい開封してしまうような興味を引く件名
送信する側からすれば、標的型攻撃メールは開いてもらわなければ意味がありません。そのため、受信者がつい開いてしまうような件名のメールを送ってきます。
例えば、以下のようなものです。
- 自社の製品やサービスに対するお問い合わせ or クレーム
- 件名に「Re」が付いており、やり取り中を思わせるもの
- VIP訪問情報など、ゴシップ的な内容
- 情報セキュリティに関する注意喚起
- 災害情報
怪しいメールアドレス
標的型攻撃メールは、大抵の場合なりすました組織、人に寄せたメールアドレスから送られてきます。たとえば「lrm_taro@lrm.jp」という人を騙る場合は、「lrm_taro@lrn.jp」「lrm_taro@gmail.com」といった具合に、似通ったドメインやフリードメインを利用してくることが多いです。
LRMの提供する「セキュリオ」の標的型攻撃メール訓練では、予め10種類以上のドメインが登録されているほか、利用したいドメインを登録することが可能です。
本物を装ったメール文面
標的型攻撃メールの送信者は、利用サービスやお客様、友人知人をなりすまして巧妙なメールを送ってきますが、下記のようなちょっとした違いから標的型メールであると見抜ける場合もあります。
- 普段とは異なる言い回し
例:お疲れさまです。 → お世話様です。 - 日本語では使用されない漢字の使用
例:東京オフィス → 东京オフィス - 微妙にドメインが異なるURL
例:lrm.jp → lrn.jp - 表示と実際のURLが異なるリンク (HTMLメールの場合)
怪しい添付ファイル
標的型攻撃メールでは、ウイルスを含んだファイルを添付し、受信者にファイルをダウンロード、開封させることを目的とするものが多いです。そのため、以下のような怪しいファイルが添付されている場合は注意しましょう。
- 実行形式ファイル(exe / scr など)
- ショートカットファイル(lnk / pif など)
- 実行形式ファイルなのに文書ファイルやフォルダのアイコンになっているファイル
- ファイル名が二重拡張子になっているファイル
- ファイル拡張子の前に大量の空白文字が入っているファイル
- 中のファイルが文字化けしている圧縮ファイル
- RLOコードが利用されているファイル
RLO:文字の表示順を変える制御文字を利用し、ファイル名の拡張子を偽装する手法
メールを受信した際は、ぜひ上記のような点に当てはまるものがないか確認してみてください。
とはいえ、届くメールを1通1通念入りに細かくチェックをするのも難しいかと思いますので、まずは最低限下記のような違和感がないかチェックしてみることから始めると良いでしょう。
こうした特徴を踏まえて実際の事例を見てみましょう。
もし標的型メールに引っかかったら
標的型メールは日々巧妙化しています。
どれだけ注意をしていても、引っかかるときがくるかもしれません。そのようなときは、取り急ぎ下記のとおりの対応をおこない、自社のルールに沿って解決していきましょう。
- ネットワークからPCを切り離す(被害拡大の防止)
- 情報セキュリティ管理者など、担当者に連絡する
なお、不審なメールを受信した際、急いでパソコンの初期化をする方がいますが、事前に情報セキュリティ管理者などに、初期化して問題ないか確認しましょう。初期化すると感染機器や流出情報の特定が困難になるため、自分の判断で対応するのはよくありません。
担当者は、報告を受けたら当該メールにウイルス感染の仕掛けがあるか調べると共に、同様の攻撃メールが他の人に届いていないか調査し、注意喚起をおこないましょう。
なお、IPAが標的型攻撃を受けた組織に向けて相談窓口を設けていますので、いざというときは相談すると良いでしょう。専門的な知見を持つ相談員が対応してくれます。
まとめ
トレンドマイクロが2015年に実施した調査では、標的型攻撃の被害に気づくのは、最初のマルウェア侵入から平均156日後(約5ヶ月)という結果が出ています。
標的型メールによる攻撃を受けても、対応が遅れてしまうのが現状です。
この記事を参考に、少しでも標的型メールの対策を進めていっていただければと思います。
効果のある標的型攻撃メール対策をご検討中の方には、「セキュリオ」の標的型攻撃メール訓練がおすすめです。
- ビジネスメール詐欺、フィッシング、添付ファイル…といった多様な訓練形式
- 30種類以上の文面テンプレートが簡単に選び放題、送り放題
- メールの開封からクリック/ダウンロードまで詳細で本質的なレポートを自動集計
また、「セキュリオ」のeラーニング機能をご利用いただけば、標的型攻撃メール訓練の事前/事後教育で訓練実施効果を大幅に向上することができます。
こちらから1回無料で実施していただけます。
