標的型攻撃メールの対策方法とは？特徴や事例などについても解説

仕事でメールの受信トレイを開き、なんだか違和感のあるメールだと思ったら、それは標的型攻撃メールかもしれません。古くからあるスパムメールや迷惑メールと異なり、被害の程度や影響度、油断のならなさが段違いで、被害にあう企業が続出しています。

実際に標的型攻撃メールは国内で2005年から存在が確認されており、現在でも継続して利用されているサイバー攻撃手法です。近年では、メールの巧妙化が図られており、差出人のなりすましなどの手法と組み合わせて利用されているケースも見られます。

今回は標的型攻撃メールの概要や事例、対策方法について紹介します。標的型メールの被害リスクを回避するため、ぜひ一読をおすすめします。

また、標的型攻撃メールの事例やサンプルが見たい方は、事例・サンプル集を無料で配布していますので、こちらを参考にしてみてください。

標的型攻撃メールとは？

標的型攻撃メールは、近年深刻化する「標的型攻撃」の一つの形態です。標的型攻撃とは特定の組織や企業、または個人を狙い、機密情報の窃取を目的にサイバー攻撃を仕掛けるものです。標的型攻撃メールは特定のターゲットにメールを送りつけてマルウェア感染などを促し、機密情報を外部に流出させます。

標的型攻撃メールには、業務関係等のメールに偽装するなど、受信者が開封したくなる騙しのテクニックが駆使されています。しかも、犯人は対象のターゲットを調査のうえメールを送りつけてくるので、現実にありそうな件名や差出人名でメールが来ます。したがって、それと知らずに被害にあうケースがよくあります。

標的型攻撃メールの対策

標的型攻撃メールには、様々な対策方法がありますが、一つの対策を行えば他の対策が不要となるわけではありません。

標的型攻撃メールはサイバー攻撃の入り口として攻撃の端緒も幅広いバリエーションがあるため、抜け漏れの無い幅広い対策が必要となります。

安全な利用環境の整備、予防のための技術的対策の導入、メール閲覧時の精査、教育・訓練などの対策を行い、標的型攻撃メールの被害リスクを下げましょう。

OSやアプリを最新に保つ

Web利用の基本事項に、OSや端末内のアプリを常に最新の状態に保つことがあげられます。標的型攻撃メールの中には、セキュリティ脆弱性を狙った攻撃も含まれます。脆弱性のリスクを最小限にするため、セキュリティパッチはできる限り即時で適用しましょう。

セキュリティ対策ソフトの導入

メールに限らず、Webの利用は常に脅威と隣り合わせです。したがってセキュリティ対策ソフト（アンチウイルスソフト、次世代型アンチウイルスソフトなど）は欠かせません。また、OSやアプリと同様、ウイルス対策ソフトも常に最新の定義ファイルを入れておく（アップデートする）ことが求められます。

マルウェア感染検知・対応ソフトの導入

近年、情報セキュリティに関する考え方として広がりを見せているのがゼロトラストという概念です。セキュリティ脅威は何処にでも存在するため、あらゆるものを信頼しない、という考え方です。

従来のセキュリティの考え方は境界型といい、外部からの侵入を防ぐことがメインとされていました。しかし、すでに社内ネットワークにマルウェアが入り込んでいた場合、境界型の考え方では手遅れです。ゼロトラストの考え方で対策を進めることで、被害を最小限にしなければなりません。

ゼロトラストの考え方に沿ったセキュリティ対策として、マルウェア感染検知・対応ソフトウェアの導入があります。マルウェア感染検知・対応ソフトウェアはEDR（Endpoint Detection and Response）とも呼ばれている製品群です。

未知のマルウェアなどが境界をすり抜けてマルウェアに感染する（かもしれない）ことを想定し、端末（PCやタブレット、スマートフォンなど）やサーバ上でのマルウェアの振る舞いを検知して、それ以降の被害を最小限にするためのソフトウェアです。

EDRは従来型のセキュリティソフト（アンチウイルスソフト、次世代型アンチウイルスソフト）と入れ替わる存在ではなく、組み合わせて利用することが推奨されます。

厳重なメールチェック

受信したメールは容易に信頼せず、厳重なチェックを行いましょう。件名から本文内のリンク、添付ファイルに至るまでしっかり確認し、被害を未然に防ぐようにします。

開封前

• 件名・差出人
  • 身に覚えのある内容かどうか
• 差出人のアドレス（閲覧可能なメーラーあり）
  • 既にやりとりのある相手かどうか
  • メールアドレスのドメインは不正なものでないか
  • 覚えのないフリーメールアドレスからの受信ではないか

本文

• URLリンク
  • リンクの記述とジャンプ先のURLは同一か
  • ジャンプ先のURLは信頼できるドメインか
• 署名内容
  • 署名の相手は実在する相手か
  • 電子署名による確認が可能か

添付ファイル

• ファイル形式
  • .exe、.scrなどの実行ファイル形式ではないか
  • .zipなどの圧縮ファイル形式ではないか
• アイコン・拡張子
  • 異なる形式のものに偽装されていないか
• ショートカットアイコン
  • .lnk形式のファイルではないか

添付ファイルは、信頼できる相手からの受信メールだと確認された場合のみ開封や実行を行いましょう。

まずは、そもそも開封してもよいメールかを必ずチェックします。本文や添付ファイルにも目を配り、無闇にクリックしないことが重要です。社内のやり取りであれば、本人にメール送信の有無を確認すると安心です。

なお、メーラー（メール閲覧用のソフトウェア）の設定で確認手順を設けることが可能です。HTMLメールのテキスト表示とリンクの無効化で、操作ミスなどでのリンク実行を防ぐことができます。

添付ファイルについては、セキュリティソフトのスキャン機能を使って内容の確認を行うと、より一層安全です。

信頼できる相手からのメールでも、メールの件名、差出人、本文について最近のメールのやり取りと照らし合わせて、不自然な内容でないかも確認しましょう。

定期的な教育の実施

標的型攻撃メールは、日本国内での登場が確認されてから15年以上が経過しています。長い年月の間、その手口は進化を続けており、対策を行うにも継続的な学習が必要となっています。

さらに、教育や情報の周知、訓練を行ってから一定の期間が過ぎると人は危機感が薄れていくものです。学習後、間隔が開いてしまうとその効果が薄れてしまうとも言えます。従って、定期的かつ継続的に教育や周知、訓練を行っていくことが求められます。

標的型攻撃メール訓練の実施

標的型攻撃メールは、社内の誰か一人でも引っかかってしまえば重大な被害に発展します。

そのため、従業員が確実に標的型攻撃メールに引っかからないようにする必要があります。

そこで、組織全体での定期的な標的型攻撃メール訓練を実施することで、従業員に適切な対策の定着や意識づけが可能です。

メールフィルタの適用

標的型攻撃メールの受信を拒否する方法として、メールフィルタの適用が挙げられます。メールサーバやメールプロバイダに対し、受信するメールの差出人に一定のルールを設定することが可能です。標的型攻撃メールの配信元がわかれば、そのドメインをブラックリストに載せることにより着信を拒否することができます。

ただし、この方法はメールの送信元のドメインが判明している場合にしか利用できません。未知のサイバー攻撃者に対しては無効です。さらに、むやみにメールの受信を拒否してしまうと、業務に必要な連絡方法を失うことに繋がってしまいます。

送信元ドメイン認証技術の導入

技術的に標的型攻撃メールの被害を防ぐための方法として、送信元ドメイン認証技術の導入が挙げられます。メールの送信元とメールの受信者が互いに送信元ドメイン認証の仕組みを取り入れることで、メールの送信者のドメインが正しいことを示すことが可能です。

なりすましメールも含めて標的型攻撃メールを見破るための方策となり得ます。しかしながら、そのための前提となるのが送信者、受信者の両者が送信元ドメイン認証の仕組みを導入することです。さらに送信元ドメイン認証にもSPF、DKIM、DMARCといった種類が存在しており、すべてのメール利用者が対応するにはまだ時間が必要となりそうです。

組織的な情報セキュリティへの対応体制作り

標的型攻撃メールによる被害を最小限にするための対策として、組織全体でのセキュリティ対応の体制・ルール作りがあげられます。問題が発生してから対応方法を考えていては被害の拡大は抑えられません。標的型攻撃メールを始めとしたサイバー攻撃に対し、発生時に迅速に対応する組織を確立し、対応に関するルールや手順を定めておくことで、被害の拡大を阻止できます。

標的型攻撃メールの特徴

標的型攻撃メールは非常に巧妙なため、一見して判断がつかないこともありますが、注意して見れば分かるものもあります。次のような特徴のメールを目にしたら、管理者や上長など然るべき箇所に報告することをおすすめします。

不自然な日本語・フォント

一読して日本語としておかしい、または日本語にない文字やフォントが使われている場合は警戒しましょう。日本語の言い回しが不自然だったり、一部に中国語の文字（繁体字、簡体字）が使われている、英文などの外字メールなど、日本人が作成したとは思えない内容であれば注意します。

これは、攻撃メールの多くが海外から受信するものであることが理由です。

心当たりのない送信元からのメール

実在の組織や人物が差出人だと、標的型メールと判断できないことも多いです。しかし、差出人の情報を綿密にチェックすることで見破れるケースが存在します。

所属部署や業務内容にもよりますが、おおむね上記に注意しましょう。

得意先や自社の関連企業などつきあいのある組織でも、よく知らない人物からの突然のメール、身に覚えのないメールには警戒したほうがいいでしょう。

また署名内容の間違いからあやしいメールと判断できることもあります。たとえば、実在しない組織や電話番号が記載されていたり、そもそも差出人のアドレスと署名のアドレスが違っている場合もあります。

興味を引き、開封をうながす件名

標的型攻撃メールの常習手口として、受け取った人の興味を引き、つい開けたくなってしまう件名のメールを送りつけるものがあります。ソーシャルエンジニアリングの手法を用いて、ターゲット（メール受信者）の興味のある内容や業務に関する情報を調べてメールを作成している可能性もあります。

ただし、自部門や担当業務の特性から判断がつかないものもあり、業務実態や他の見分け方も勘案して判断すべきでしょう。

リンク先がおかしいURL

メールにURLリンクが記載されている場合、マルウェア感染の危険性が高く、最大限の注意をすべきです。特に、表記されているリンクとそのリンク先が異なる場合は危険です。

上記を確認する方法もありますが、誤クリックによる重大な被害をもたらす可能性があるため、URLリンクには触らないのがベストです。調査のためにどうしても必要であれば、クリックしないように留意してURLをコピーして確認します。URLのドメインが不正なものでないかも確認のポイントです。

あやしい添付ファイルなど

メールに添付ファイルがある時点で慎重な取り扱いが必要です。また、文書ファイル形式でないアイコン型のファイルについても注意します。

一見すれば単なる文書ファイルでも、RLO偽装などによって拡張子が偽装されていて実はマルウェアが含まれたファイルである、ということもあります。警戒しておきましょう。

標的型攻撃メールで被害が出る原因

標的型攻撃メールによるサイバー攻撃の被害は後を絶ちません。次々と被害者が生まれる原因について紹介します。

ターゲットを定めた計画的な攻撃であること

サイバー犯罪者も攻撃の成功確率を高めるために下調べをします。それをもとに標的の組織に侵入するための試行錯誤がなされていますので、従業員が引っかかってしまいます。

手口の巧妙化

メールの文面、差出人のなりすまし手法、添付ファイルの偽装など、標的型攻撃メールには様々なサイバー攻撃の技術が組み合わされています。信頼できる送信者からのメールと見分けづらくしていることも被害につながる原因の一つでしょう。

新たな送信元からのメールは防ぎづらい

既に知られた標的型攻撃メールの送信元ドメインの場合には、メールフィルタなどの方法で受信を拒否することも可能です。しかし、サイバー犯罪者もその点は意識しており、送信元のドメインを次々変更するなどの対応をとっています。現状、メールは業務上必要な手段であり、すべてのメールを着信拒否しておくわけには行かないので、メールの受信そのものを防ぐのは難しいのです。

誰か一人でも対応を間違えてしまえば被害につながる

標的型攻撃メールを受信する可能性があるのは企業内のあらゆる人物です。一人でも誤ってリンクのクリックや添付ファイルを開いてしまいマルウェアに感染した場合には、被害はネットワーク内に広がってしまいます。

組織の全員がセキュリティ意識・リテラシーを持っておく必要がありますので、なかなか対策として困難です。

標的型攻撃メールによる被害事例

標的型攻撃メールの被害者は各国の政府系機関から、ハイテク企業/専門機関、大規模インフラ事業者、多数の個人情報を抱える公的機関や一般事業者まで多岐にわたります。

ここでは、比較的近年発生した被害事例を紹介します。

PCメーカーが標的になった被害事例

2020年5月、PCメーカーが標的型攻撃メールの被害にあい、法人顧客と取引先のメールアドレスが多数流出した可能性が判明しました。

同社従業員がメールを通じて偽サイトへ誘導され、認証情報を不正に窃取されたことに起因する事例で、この件では、当該従業員のアカウントから顧客・取引先へフィッシングメールが多数送信されることとなりました。

標的型メールは組織内の部門や関係者、信頼されている組織をかたって送信されることがあり、油断なりません。

取引先を装う標的型メールから感染・顧客情報流出

2016年6月、大手旅行代理店が不正アクセスを受け、最大793万人分の顧客情報が流出した可能性があることを発表しました。

子会社運営の予約サイトに標的型攻撃メールが届き、添付ファイルを開封したためシステム内部がウイルスに感染しました。メールの送信元が取引先の航空会社名義だったことから、従業員は疑いを持たなかったといいます。

ウイルス感染によりPCやサーバを遠隔操作され、同年3月15日から10日間ほどで大量の顧客情報が外部流出したとみられます。

標的型メールの感染を検知するも被害が拡大

日本年金機構では2015年に職員の端末が攻撃を受け、公的機関としては最大となる約125万件の情報流出があったと発表しました。年金機構の職員が学術機関の職員を語った標的型攻撃メールを開封したため、LANサーバに保管中の年金情報が窃取されました。

同年5月8日にウィルス感染を確認、職員らに注意喚起したものの組織内に徹底されず、再度攻撃メールの添付ファイルをうっかり開封、感染がさらに広がったとみられます。

標的型攻撃メールの事例については「標的型攻撃メールの被害事例とは？手口や見分け方、対策方法まで紹介」で詳しく解説しています。あわせてご覧ください。

標的型攻撃メールの対策法

​​仮に標的型攻撃メールが届いても、その見分け方を理解しておけば、かなりの対策になります。​

​​チェックするポイントはメールの開封前後で異なりますが、HTMLメールのなかには開封しただけでマルウェアに感染するものがあるため、できれば開封せずに不審なメールか判断できることが望ましいです。​

件名や差出人名に不審な点がないか、メールアドレスが確認できるならばそれもチェックします。簡体字などの外字が混じっていないか、知人からのメールであれば、なりすましではないかも確認しましょう。

​​また、メールにもし添付ファイルがある場合は、更に注意が必要です。​標的型攻撃メールでは、ウイルスを含んだファイルを添付し、受信者にファイルをダウンロード、開封させることを目的とするものが多いです。​

​​中にはRLOコードという、文字の表示順を変える制御文字を利用して、ファイル名の拡張子を偽装する手法も存在するので、一見しただけではウイルスかどうかを判断できないので、注意しましょう。

​標的型攻撃メールの特徴をサンプル文面とあわせてチェックしましょう。

標的型攻撃メールを開封してしまったら

では、実際にメールを開いてしまった場合には、どのように対処すべきなのでしょうか。

標的型攻撃メールを開いてしまった時の、具体的な対処について記載します。

ネットワーク切断

まず標的型攻撃メールを開いてしまった場合には、メールを開いてしまった端末をネットワークから切断しましょう。他の端末への感染拡大や、遠隔操作による二次被害を防ぐためです。

LANケーブルを差している場合には、LANケーブルを抜きます。Wi-Fiでの接続を許可している場合には、接続の切断を行いましょう。

まず第一に、周囲へのさらなる感染拡大を防ぐことを目的として、ネットワークの切断をしなければなりません。

情報管理者や情報システム部門に報告する

ネットワーク切断後は、即時に情報セキュリティの担当者や情報システム部門、所属組織の上司などへ報告を行いましょう。

社内に情報セキュリティトラブル発生時の連絡ルールがある場合は、それにしたがって報告します。

「多分、大丈夫」という自己判断は厳禁です。自己判断による業務の継続により被害が広がれば、取り返しのつかない事態になりかねません。

なるべく迅速な報告を心がけましょう。

また、「標的型攻撃のメールを開いてしまったらどうする？具体的な対応を解説」でも、標的型攻撃のメールを開いてしまった場合の具体的な対応を解説していますので、あわせてご覧ください。

標的型メールの疑似体験・訓練の重要性

標的型攻撃メールによる攻撃はすべての組織にとって他人事ではありません。

自組織に標的型攻撃メールが送信されることを想定し、情報セキュリティ担当者はしっかり標的型攻撃メール訓練を実施しましょう。

eラーニングなどの教育と組み合わせると効果的です。

LRMの「セキュリオ」では、標的型攻撃メール訓練・eラーニング・毎週配信のミニテストを組み合わせて効果的・効率的に従業員のセキュリティ意識・リテラシーを向上することが可能です。

まずは無料で始めましょう。

まとめ

​​標的型攻撃メールは自社の顧客を騙り、あたかも本物のように見えるメールを送信してきます。​

​​送られてきたメールを気にせずにすべて開いていると、いつの間にかウイルスに感染し、情報漏えいといった、企業を揺るがしかねない重大なインシデントになる可能性があります。​

​​基本的なセキュリティ対策に加え、適切なセキュリティツールの導入、定期訓練や教育の実施、万が一の場合に備えたルール作りをして、標的型攻撃メールに備えましょう。