情報セキュリティを守ることは企業にとって重要な課題となりました。ITシステムの構築では、セキュリティ対策を欠かさず、脆弱性には迅速な対応を行うことがセキュリティ担当者には求められます。
しかし、万全を期したセキュリティ対策も標的型攻撃を受けることにより内側から崩されてしまう可能性があります。標的型攻撃はメールを起点とすることが多く、その文面は徐々に精度が高まり見分けづらく進化しています。
また、従業員のセキュリティ意識不足にお悩みのご担当者様必見。標的型攻撃メール訓練実施方法チェックリストを無料で配布しています。まずは流れをご確認ください。
標的型攻撃についておさらい
標的型攻撃(英:targeted attack)とは、攻撃者が機密情報の詐取など明確な目的を持って、特定の組織や個人を対象に行うサイバー攻撃です。無差別なウイルス感染を狙うような手口とは一線を画しており、 価値の高い情報を保有する相手をターゲットとします。特に狙いすました攻撃によるフィッシングは、銛や水中銃による狩りを表す「スピアフィッシング」とも呼ばれます。
標的型攻撃は価値のある対象を絞って攻撃を行う特徴から、手間のかかる大がかりなものであることが多く、背後に国家や関連機関が関わっている場合もあるとされます。Operation Aurora(オペレーションオーロラ、オーロラ作戦)では、関連マルウェアが中国政府とつながりのある人物により作成されており、関与の可能性が指摘されました。オペレーションオーロラについては事例にてより詳細に記載しています。
標的型攻撃として送信されるメールを特に「標的型攻撃メール」と呼びます。
標的型攻撃メールについてもっと知りたい方は「業務連絡を装ったメールに注意!標的型攻撃メールの概要と対策」をあわせてお読みください。
標的型攻撃の手口
標的型攻撃の初期段階には、メールが多く用いられます。メールを取り掛かりとして、添付ファイルからのマルウェア感染、マルウェア感染に繋がるURLへの誘導、フィッシングサイトへの誘導などを行います。
- 脆弱性を突く添付ファイルなどを対象者へ送り付け、マルウェアへ感染させる
- メールに記載のURLから悪意あるWebサイトへ誘導し、マルウェアに感染させる
- メールに記載のURLからフィッシング用のWebサイトへ誘導し、サイトを使って情報を略取する
マルウェアに感染させた後は、マルウェアが外部と通信を行い、ネットワークへの不正アクセスや社外への情報送信を行い、さらなる攻撃に繋がります。
フィッシングサイトに誘導された場合には、フィッシングサイトから重要な情報やパスワードが詐取され、さらなる被害に繋がってしまいます。
標的型攻撃の由縁
標的型攻撃と呼ばれる由縁は、ターゲット(標的)についてあらかじめ入念に調べ、業務内容など環境に合わせたソーシャルエンジニアリング的手法を用いることです。ターゲットの業務内容を把握し、業務に関連のあるような内容のメールを送信して攻撃の精度をあげています。
ソーシャルエンジニアリングについては、こちらの記事も参照ください。
無差別にメールをばら撒いて、引っかかった相手をターゲットとする手口とは一線を画すものです。
標的型攻撃の被害
標的型攻撃によりマルウェアに感染した場合、マルウェアの多くは感染端末の外部と通信を行います。企業などの組織内部のネットワークへ不正アクセスを行ったり、他端末へ感染を広げる振る舞いをしながら、継続的に情報を外部のサイバー犯罪者の元に送信し、情報漏えいが発生します。
組織内部の機密情報を盗まれたり、あらたなマルウェアへの感染、システムやデータの改ざん、破壊活動といったリスクがあります。
フィッシングにより情報を略取された場合にも、その情報を利用して被害を拡げられてしまいます。
標的型攻撃メールの被害事例とは
標的型攻撃メールについて、その事例を紹介します。
オペレーションオーロラ
Operation Aurora(オペレーションオーロラ、オーロラ作戦)は米Google、Adobe、Symantec、Yahoo!などの企業に対して行われたサイバー攻撃です。2010年1月にGoogleによって最初に報告されており、Microsoft社のInternet Explorerの未知の脆弱性を突いてマルウェアへの感染をさせるものでした。
その攻撃の糸口となったのは、関係者を装ったメール内に記載されたURLのクリックにより攻撃用のWebサイトにジャンプしマルウェアに感染するというもの。メールは対象者にあわせた内容となっており、標的型攻撃メールの代表的な事例といえます。
攻撃元は中国のサイバー犯罪者集団といわれており、30社以上が攻撃を受けたとされています。知的財産の詐取などの被害が出ており、Webメールのアカウント情報の流出も発生しました。
Googleの中国本土でのWeb検索サービスからの撤退などに大きな影響を及ぼしています。
日本年金機構
2015年、日本年金機構は125万人の個人情報の流出したことを報告しました。
2015年5月8日から18日の間に、業務用メールアドレスと職員個人の業務用メールアドレス宛に標的型攻撃メールが124通送られました。そのうち5通に対し添付ファイルを開いたり、URLへのリンクをクリックしてファイルをダウンロードしてしまったと報告しています。これが発端となり、サイバー犯罪者の侵入を許し、外部からの操作や不審な通信が行われる事態となりました。
この攻撃における標的型攻撃メールでは、特定の拠点の職員を狙い、実在の職員の名前や業務に関係する内容を記載するなど、巧妙な手口が取られていました。
JTB
2016年6月、旅行業大手JTBは、取引先を装った標的型攻撃メールによりウイルス感染したことが発端となり、顧客の個人情報の流出が発生したことを発表しました。793万人にも及ぶパスポート番号も含む個人情報の流出は、被害の大きさからもインパクトの大きいものでした。
公安調査庁による報告より
近年では新型コロナウイルスに関係した内容や、直接的に金銭を狙った銀行への攻撃などが確認されており、公安調査庁による注意喚起もなされています。
重要 医療分野が標的に
- 新型コロナウイルス感染症への対応に関与する医療機関、製薬会社、研究機関などを標的とする攻撃が活発
- 感染拡大によって、新型コロナウイルス感染症関連の情報収集に対する関心が高まった可能性
→
米国CISA・英国NCSC共同アラート
新型コロナウイルス感染症の感染拡大下では、引き続き医療分野が標的となる可能性バングラデシュ中央銀⾏における不正送⾦事案(2016年)
公安調査庁「サイバー空間における脅威の概況2021」引用
バングラデシュ中央銀行が標的型メール攻撃を受け、国際銀行間通信協会(SWIFT)システムを 通じて米国ニューヨーク連邦準備銀行に不正な送金指図が送信された結果、バングラデシュから 他のアジア諸国の口座への不正送金が実行。被害額は約8,100万ドルに上る模様
標的型攻撃メールの代表的なテーマ・文面
本項では標的型攻撃メールのサンプルとして、メールのテーマや文面サンプルをご紹介します。
標的型攻撃メールのテーマの具体例
標的型攻撃メールでよく利用されるテーマには、下記の具体例があります。
- 心当たりはないが、確認せざるを得ない内容
e.g.仕事の依頼、就職に関する問い合わせ、製品に関する問い合わせやクレーム、アンケート調査 - 興味をそそられる内容
- 公的機関のお知らせを装ったもの
e.g.新型コロナウイルス関連のお知らせ、災害情報 - 会社組織の全体案内を装ったもの
e.g.人事移動情報、事業方針の連絡 - 決済や配送業者を装ったもの
e.g.宅配業者からの連絡、ECサイトからの通知 - 利用者の多いサービスを装ったもの
e.g.Amazon、Google、Microsoft
標的型攻撃メールの文面の具体例
人事担当者に向けた採用応募者を装ったメール
標的型攻撃メールではメールの受信者を想定し、業務に関するメールを装うことがあります。
ご担当様
XX社の○○です。
採用に関する書類についての質問です。
こちらから提出ができますでしょうか。
ご担当様
XX社の○○です。
ご返信ありがとうございます。
それでは前記の件、添付いたします。
セキュリティに関する注意を装ったメール
IPAなどの機関を装い、注意喚起などに見せかけたメールが送られることもあります。
Microsoft Officeの脆弱性修正について(MS14-XXXX)(CVE-XXXX)
日本マイクロソフト社のMicrosoft Officeにリモートコードが実行される等の脆弱性が存在します。・・・・・
日本マイクロソフト社からの情報
http://XXXXX.XXXX.com/XX/XXXX
こうしたサンプルを、もっと詳細な解説付きのpdf資料で確認しましょう。
標的型攻撃メールの見分け方
前項のような文面・テーマの特徴から、標的型攻撃メールの見分け方としては下記が挙げられます。
- 不自然な日本語や繁体字、簡体字の使用
- 心当たりのない内容・送信者
- フリーアドレスからのメール
- 件名に【緊急】【重要】【至急】などの記載
- 詳細な説明の無いままに添付ファイル・URLの開封を促してくる
- 外部からの業務連絡や、組織全体を対象とする内容
- URL/添付ファイルの表記や形式が不正
標的型攻撃メールの見分け方については、「標的型攻撃メールの対策方法とは?特徴や事例などについても解説」で解説していますので、詳しくはそちらをご参照ください。
標的型攻撃メールの主な対策方法
セキュリティ対策ソフトの導入
標的型攻撃メールでは不正なメールがマルウェアへの感染や情報の不正窃取につながります。そして、外部からの不正アクセスや社外への情報漏えいへと発展します。
そうなってしまわないよう、セキュリティ対策ソフトの導入も一つの対策です。マルウェアを検知するソフトや不正なアクセス・動作を検知するソフトなど多様な種類があるため、自社に合ったものを選びましょう。
ただ、Emotetなど、セキュリティ対策ソフトの検知をすり抜けるマルウェアも近年少なくないため、注意は必要です。
メールフィルタの利用
あるいは、特定の差出人やドメインをブラックリスト(受信拒否リスト)/ホワイトリスト(受信許可リスト)にしてしまい、配信元を制限するという方法もあります。
攻撃者のメールアドレスが判明している場合や、業務上特定の相手としかメールのやり取りをしない場合においては、セキュアにメールを利用する手段として有効かもしれません。
ただし、送信元ドメインが不明な未知の攻撃者をブラックリストに入れてしまうことはできませんし、また、過剰にホワイトリストを絞ってしまうことで業務上必要なメールまで受信できなくなる可能性があります。
標的型攻撃メール訓練・教育の定期実施
つまるところ標的型攻撃メールは、受信した従業員が引っかからないことが基本的にして最大の対策になります。従業員が標的型攻撃メールを適切に見分けられるようセキュリティリテラシー・意識を醸成しましょう。
注意が必要なのは、従業員にとってセキュリティ対策にポジティブなイメージがないことが多く、特にセキュリティ意識を保っておくことが難しいです。
そのため、標的型攻撃メール対策としては、従業員が実際に自分ゴトとして攻撃メールを体感できる標的型攻撃メール訓練の実施が有効です。定期的な実施をすればセキュリティ意識の維持にも効果が期待できます。
その他にも標的型攻撃メールの対策が知りたい方は「標的型攻撃メールの対策方法とは?特徴や事例などについても解説」をあわせてお読みください。
まとめ
標的型攻撃メールの精度は時間の経過とともに高まりを見せており、メールの内容や送信元のチェック、添付ファイルやリンクを安易に開かないというメール受信者の対応が必要です。
標的型攻撃メールの手口・事例においては
- マルウェア感染や偽サイトでの情報窃取が常套手段
- メールのテーマや件名・本文に代表的な特徴があり、見分けることも可能
- 従業員が適切に見分けられるようリテラシー・意識の醸成が必要
といったことが考えられます。
代表例・具体例を押さえて適切な対策を取りましょう。