情報畑でつかまえてロゴ
本サイトは NTTテクノクロスが旬の IT をキーワードに
IT 部門が今知っておきたい最新テクノロジーに関する情報をお届けするサイトです

怪しいメールにどう対応する?標的型攻撃の傾向と対策

標的型メール攻撃の手口は年々巧妙化しています。まず事例を知ることで標的型攻撃の恐怖を理解しましょう。そのうえで、一通のメールから始まるセキュリティ被害について、「知識」と「環境」の両面からどのように対応を行えばいいのか紹介します。

特集記事
- 2016年11月09日公開

うっかりメールの添付ファイルを開いたら、そこにマルウェアが仕込まれていて大惨事につながる、という事態はいまだにあとを絶ちません。このようなトラブルが起こる原因は、危険ななりすましメールと通常のきちんとしたメールを正確に見極めるのが困難なことにあります。

今回は標的型攻撃メールの手口について事例を通じて、その怖さを理解しましょう。その上で、不審メール対策のツールや侵入を検知するしくみ、万が一侵入されても被害が拡大しないための対策、社員への教育など、一通のメールから始まるセキュリティ被害への対応策を紹介します。

ついつい開いてしまった一通のメールから悲劇が始まる

みなさんは、こんなメールが届いたら、どんな行動をとりますか?

メールサンプル

ご自身の受信メールボックスの件数が多い方は、ついつい添付ファイルをクリックしたくなったり、あるいは、"システム管理部"だと名乗っている送信者へメールを返信してしまうかもしれません。あきらかに仕事と関係ない内容であれば、すぐにスパムメールあるいはなりすましメールと気付くと思いますが、このような業務・職務に直接関係するメール内容ですと、ついつい反応してしまうという方も多いのではないでしょうか?

「標的型攻撃」とは、このように特定の企業を狙ってマルウェアの仕込まれたファイルを添付、またはリンクを記載したメールを送りつけるサイバー攻撃の手法のことです。被害は、メールの受信者がその添付ファイルを開いたり、リンクをクリックすることで始まります。1台のパソコンが入り口となるため、たったひとりの不注意や知識不足が社内全体や取引先にまで影響を及ぼす重大な事故につながる可能性もあります。「ついつい」が命取りになるというわけです。

ついつい開いてしまう標的型メールが心配かな?

私の「サイファークラフトメール」は、標的型メール攻撃から君たちのビジネスを守るぞ!

キャラクター画像
キャプテン・クラフトマン

マルウェアに気づかず被害が連鎖する場合も

パソコンがマルウェアに感染すると、感染したパソコン内の情報が収集され勝手に外部に送信されたり、そのパソコンを中継地点として、社内のネットワークやシステムのより深い部分に侵入されたりといった被害を及ぼしかねません。

また、感染したパソコンを媒介に取引先や社外にも標的型攻撃メールが送られたり、そのパソコンでやりとりされていたメールの宛先や差出人、署名といった情報を踏み台として、次の標的型攻撃のための情報として利用されることもあります。

さらに、標的型攻撃メールは次々と新しい種類のものが登場するため、アンチウイルスソフトのパターンファイルの更新が追いつかないことが多く、侵入されてもアンチウイルスソフトで検出できずに時間が経過してしまうケースもあります。トレンドマイクロが2015年に実施した調査では、標的型攻撃の被害に気付くのは、最初の侵入から平均156日(約5カ月)後との結果も出ています。侵入されてからその事実に気づくまでの間にもマルウェアは活動し続け、被害が拡大しているのです。

ますます巧妙化する近年の標的型攻撃メール

標的型攻撃メールのなかには、明らかにタイトルや文章の内容、日本語の使い方などが不自然なものもあります。このようなメールは比較的見分けやすいため、日ごろから注意していれば誤って開封したり、添付ファイルを開いてしまうことは少ないでしょう。

しかし、近年はより巧妙化した、実際の業務メールを装った標的型攻撃メールも増えています。その企業と実際に関わりのある実在の企業名や送信者名を詐称し、メールの件名や添付ファイルの形式や署名も実在のものを真似て、内容から重要度や緊急性の高いメールだと思わせるものが送られてきた場合、疑いを持たずに開いてしまう人は少なくないはずです。さらに、送信者アドレスとして、実在する取引先の正規のドメインを詐称して送られてくるなど、実際の業務メールとの識別がより困難なケースも存在します。

先ほどのメールの例であれば、本文に書かれている「システム管理部 佐藤」という部署名や担当者は社内に実在するのか、あるいは送信元のメールアドレスが見知らぬドメインやフリーメールを使っていないかといった点を確認しましょう。また添付ファイルの拡張子が適切かどうかも注意したいポイントです。

また、他に悩ましい具体例として、

  • 企業がWebサイトで公開している採用窓口のメールアドレス宛に、就職希望者からのメールを装って、「添付の書類を確認してほしい」といった内容の添付ファイル付きメール
  • 「お問い合わせ窓口」として公開しているメールアドレスにもっともな内容で問い合わせを装った標的型攻撃メール

が送られてくる事例も発生しています。

このようなケースの場合、本当の就職希望者や顧客であれば企業はきちんと対応しなければならないため、あまり疑うことなく添付ファイルを開いてしまう可能性が高くなるでしょう。

標的型攻撃メール訓練を毎年実施し、常日頃メール攻撃に備えているという企業でも、冒頭で紹介したような内容のメールに対しては、約1/4、24.3%の従業員が反応し、添付ファイルを開封してしまったという結果が出ています。

攻撃者は、どんな手段、手法で狙ってくるかわかりません。標的型メールは年々巧妙になっています。訓練を実施している、あるいは常日頃気をつけているといった方も、今一度、点検方法を確認してみてください。また、万が一、不適切な操作をしてしまった場合の対処方法や相談先などを事前に確認しておくべきでしょう。

標的型メールの被害を防ぐためにできることは?

標的型メールの被害を防ぐためにできること

では、標的型攻撃メールの脅威から社内のデータを守るためには、具体的に何をすれば良いのでしょうか?
企業が実践するべきいくつかの対策をご紹介します。

基本的な迷惑メール対策を行う

まずは、アンチウイルスソフトの導入や最新版への更新といった、基本的な迷惑メール対策を徹底しましょう。そして、メールの件名や送信者名が不自然だったり、送信元アドレスにいつもと異なるメールアドレスや、フリーメールのアドレスが使われている場合は開封せずに削除するか、送信者にメールを送った事実があるかどうかを確認することが必要です。また、もし不審なメールを誤って開いてしまった場合でも、添付ファイルを開いたりリンクをクリックしないことが重要です。

なりすましの疑いがある場合はSPFを活用

また、相手のドメインから送られているものの、内容が不自然に感じる......といった場合には、送信ドメイン認証技術(SPF: Sender Policy Framework)を利用して、そのメールが正規の送信者から送られているものであるかどうかを確認することも必要でしょう。

ハイパーリンクは無効化する

メール本文中に危険なプログラムを実行するハイパーリンクが含まれていた場合、誤ってクリックしただけでもそれが実行されてしまう可能性があります。また、タッチ対応ディスプレイを使っている場合、画面をスクロールしようとして、うっかりタップしてしまうことがあるかもしれません。

メール文中のハイパーリンクを無効にするツールを導入したり、メールソフトの設定でハイパーリンクを無効にし、クリックできないようにしておくとよいでしょう。これは、メールから偽装したWebサイトに誘導し、個人情報を不正取得するフィッシングの対策としても有効です。

全社員へのセキュリティ教育を徹底する

標的型攻撃メールは、1台のパソコンを入り口にして被害が拡大するため、業務でメールを扱うすべての社員が正しい対策を行うことが不可欠になります。

「アンチウイルスソフトを入れていれば、マルウェアの被害に遭うことはない」といった、誤った知識を持っている人は意外と多いものです。社員一人ひとりがセキュリティについて正しい知識に基づき業務に取り組めるように、研修の機会を設け、注意喚起の資料を配布するといった対策が必要になります。

標的型攻撃メールの特徴その他の見分け方のトレーニングとして、

    • 怪しいメールを開かないようにすること
    • 送信者が実在の人物や取引先であっても、これまでのメールのやりとりの内容から考えて不自然に感じるような内容であったり、長期間連絡のなかった相手から突然メールが届いたりした場合には相手に確認すること

といった、ケーススタディを交えた具体的な対応策の教育が重要です。

情シスに情報共有をしてもらう環境づくりを!

それに加えて、標的型攻撃の疑いのあるメールを受け取った場合には、その事実をシステム管理部門に報告して、社内で情報を共有できるようにするといった環境づくりも求められるでしょう。また、不審なメールを自動検知するシステムを導入し、どのようなものが検知されているのかを確認することもメールを見分ける力をつけるトレーニングとして有効でしょう。

ツールの導入で「人」に頼らない対策も

とはいえ、どんなに対策や社内教育に力を入れても、人の目だけで不審なメールを見分けることには限界があり、メールの判別に時間をとられることでほかの業務に支障が出るといった弊害も考えられます。

そこで有効となるのが、標的型攻撃メールを自動で検知し、開かせないようにするツールの導入です。不審なメールを受信した際にそれを検知して隔離できれば、受信者の判別ミスで危険なメールを開いてしまうリスクを減らすことができます。

また、万が一マルウェアに侵入されても被害が拡大しないようネットワークを分離するといった対策も行うとよいでしょう。

知識と環境の両方が大切

標的型攻撃メールの手法は巧妙化し、見分けるのが難しいケースも増えています。被害を防ぐには、正しい知識の習得と周知、そして安全な環境づくりの両方が必要になります。

業務でメールを扱う社員すべてが正しい知識を持てるよう教育すると同時に、不審なメールを検知して開かせなくするために、人の目では見抜けない巧妙な標的型メールの被害を防ぐための環境の整備も求められているといえるでしょう。

参考:

連載シリーズ
特集記事
あわせて読みたい
著者プロフィール
NTT-TX
NTT-TX