標的型攻撃メールは、特定の企業や組織を対象に、顧客、取引先、ときには上司になりすまし、マルウェア感染や認証情報の不正窃取を通じて、機密情報を盗み出したり金銭を要求したりする攻撃手法です。
本記事では、標的型攻撃メールにはいったいどんな特徴があり、どうやって見分けることができるのか、文面や対策も見ながら考えていきます。
また、標的型攻撃メールの見破り方をサンプル付きでわかりやすくまとめた資料を無料で配布しています。こちらもダウンロードしてご活用ください。
標的型攻撃メールについておさらい
標的型攻撃メールは標的型攻撃の代表で、特定の組織や企業を狙って、機密情報の窃取や金銭の要求を目的にメールが送信されるサイバー攻撃です。
業務で関係のある顧客、取引先、上長などになりすまし、受信者がついつい開封したくなるような工夫を施して送信されます。
標的型攻撃メールについてもっと知りたい方は「標的型攻撃メールの対策方法とは?特徴や事例などについても解説」で解説していますので、あわせて読んでみてください。
標的型攻撃メールの特徴と見分け方
標的型攻撃メールは、受信者が開封してしまうように、受信者について下調べした上で最適化されて送信されます。巧妙な場合だと、すでになされているメールのやりとりに返信の形で送信されることもあり、メールを利用する上では常に注意しておく必要があります。
では、どんな特徴に注意すればよいのでしょうか。いくつかに分けてみていきます。
件名
標的型攻撃メールの件名の特徴としては、「【至急】」「【重要】」「アカウントを停止しました」といった大げさな表記が挙げられます。
これは、件名を見た受信者がドキッとし、咄嗟にメールを開封したり添付ファイルやリンクを開いたりすることを狙っています。
いささか精神論的ですが、メールチェックをする際は、条件反射的に見ていくのではなく、冷静に一呼吸おいてメールを確認する姿勢が必要です。
また、自身に心当たりのないメールは基本的に開封しないようにしましょう。
メールアドレス
送信元メールアドレスやドメインが不自然であることも、標的型攻撃メールの特徴の一つです。
企業を名乗っているのにフリーメールから送信されている、アドレス内の英単語の「o(オー)」が「0(ゼロ)」になっているなどで受信者の誤認を狙っている、差出人欄が偽装されている、といった場合には注意が必要です。
近年の標的型攻撃メールは本文がHTMLで精巧に作りこまれ、一見すると本物と見分けがつかない場合もあります。
機密情報や認証情報にまつわるやりとりの際は必ず送信元メールアドレスが適正なものか確認しましょう。
文面
これは、近年の生成AIの普及やOutlookハーベスティングという文面生成技術により攻撃者が克服しつつある特徴ですが、念のためご紹介します。
フィッシングメールや標的型攻撃メールは海外から送信されることが多く、英語を直訳した文体になっていることがあります。
文体は自然でも、「东京(東京)」、「检查(検査)」など日本語では本来使用されない漢字が使用されている場合もあります。
また、すでにやりとりしたことのある相手であれば、普段の文体と異なっているという特徴も考えられます。
添付ファイル・URL
標的型攻撃メールでは、添付ファイルやURLを受信者が開封・クリックしてしまうような工夫が施されます。
特にメール本文で説明が無いまま「添付をご確認ください」などとされたファイルは第一に不審です。
RLOコードと呼ばれる文字を右から左に向けて進めるコードを悪用して、exeファイルをtxtファイルに見せかけるという高度な手法も見られます。
URLでは、「apple」が「app1e」になっているなど受信者の誤認を狙った手法が目立ちます。HTMLを用いて不正なURLを適正なURLに見せかける場合もあります。
文面の事例をみてみよう
それでは、文面の事例を見てみましょう。
送信者:山田 太郎 <yamada.tarou@abcd.com>
件名:新機能に関するお問い合わせ
添付:問い合わせ内容.zip (64KB)
LRM株式会社 問い合わせ窓口様
株式会社ABCDの山田です。お世話になっております。
先週発表されました貴社サービスの新機能について、導入を検討しております。
今週または来週、打ち合わせの場を設けていただきたいと存じますが、まずはいくつかの質問を送らせていただきます。
回答いただきたく、お願い申し上げます。
————————
株式会社ABCD 情報システム部 山田 太郎
東京都品川区五反田△-△-△ □○ビル5F
TEL:xxx-xxxx-xxxx FAX:xxx-xxxx-xxxx
E-mail:yamada.tarou@efgmail.com
上記のメールは標的型攻撃メールのサンプル文面です。このメールにおける標的型攻撃メールの特徴は下記の3つです。
1. 実行形式の添付ファイルになっている
そもそも質問を添付ファイルで送信するというのが不審ですが、それがExcelやWord形式ではなく実行形式のZipファイルとなっています。
Zipファイル自体が危険というわけではないのですが、Zipファイルにはウイルスやマルウェアを組み込むことができるので安易に解凍することはとても危険です。
最恐のマルウェアと呼ばれる「Emotet」でもZipファイルを利用した攻撃の手法が取られています。
2. 差出人のアドレスと文末署名が一致しない
差出人のメールアドレスは「yamada.tarou@abcd.com」となっているのに対し、最下部の署名欄は「yamada.tarou@efgmail.com」となっています。
これは、別人になりすましてメールを送信しているためにこのような状態になっています。
3. サービス名を明記していない
顧客からの問い合わせメールであるのに、問い合わせ対象のサービス名が明記されていません。これは、攻撃者が一般的なテンプレートを利用して攻撃していることが原因です。
ただ、最近の攻撃では、本文中にサービス名や製品名の記載が含まれていることもあるため、そこは注意が必要です。
こうした標的型攻撃メールの事例・サンプルをもっとたくさん見たい方はこちらをご確認ください。
有効な対策
標的型攻撃メールへの対策としては、原則、特徴を把握して従業員全員がしっかり見分ける、騙されない、ということが第一です。
迷惑メール検知ツールやマルウェア検知システムも一定の効果はありますが、前者は適正なメールまで迷惑メールとして振り分けられてしまうリスクもありますし、後者については、自身を暗号化することでマルウェア検知をすり抜けるマルウェアも登場していることがわかっています。
最も確実に会社を守る方法は、従業員が適切なセキュリティ意識・リテラシーを身につけることです。
LRMのセキュリティ教育クラウド「セキュリオ」の標的型攻撃メール訓練では、豊富なテンプレートから訓練メールを選び放題、送り放題、カスタマイズもかんたんです。
さらに、セキュリティコンサルタント監修のeラーニングや毎週配信のミニテストと組み合わせて従業員の意識・リテラシーを定着させることができます。
まずは無料でお試しください。
まとめ
標的型攻撃メールの特徴についてご紹介しました。
標的型攻撃メールは、件名・メールアドレス・文面・添付ファイル・URLに現れる特徴を従業員一人一人が見抜き、開封しない心がけが必要になります。
しっかりセキュリティ意識・リテラシーを上げていきましょう。