QUALITIA Blog

標的型メール攻撃の見極め方

2024.02.27 2024.02.27

標的型メール攻撃は最新のシステムの穴をつくように変化をしており、最新のアンチウイルスシステムを導入しただけでは安心できません。
システムで対応できない攻撃への対処はユーザーに委ねられるため、ユーザーのメール攻撃を見極める力が問われます。

この記事では、標的型メール攻撃の特徴を解説し、その特徴から標的型メール攻撃を見極める方法をご紹介します。

標的型メール攻撃とは

標的型メール攻撃は、特定の企業を狙ってウイルスメールを送付するメール攻撃の一種です。出回る数が少ないことから従来のパターンマッチング型のアンチウイルスでは検知することができません。サンドボックスを利用してふるまい検知でウイルスを検知することができるシステムであれば検知可能ですが、Emotetなどの最新のメール攻撃ではZip暗号化を利用して検知をすり抜けるなど、標的型メール攻撃は日々変化をしています。
そのため最新のアンチウイルスシステムを導入しても、将来的には対応した標的型メール攻撃が現われることが予測されます。

標的型メール攻撃の特徴

一方で、標的型メール攻撃の特徴として「送信時に複数か国のサーバーを経由する」というものがあります。
これは外国を経由してメールを送付することで、警察が捜査するために海外のサーバーを調べる必要を発生させるために行われています。
1通のメールの捜査のために海外の警察組織に協力を取り付けるのは現実的ではなく、複数か国を経由することで実質的に送信元を捜査することが出来なくなります。

逆に考えると、複数か国を経由しているメールは標的型メール攻撃の可能性が高いと言えます。

標的型メール攻撃を見極める方法

標的型メール攻撃の特徴から考えると標的型メール攻撃を見極めるには、そのメールがどの国のサーバーを経由して送付されているかを確認すればいいと言えます。
実際にそのやり方を記載します。

メールのヘッダー情報を確認する

メールにはその通信に必要な情報が記されるヘッダーという領域が存在します。ヘッダー情報には、メールアドレスや送信時刻の他、送信経路の情報や返信先、使用したメールソフトなどさまざまな情報が記載されています。通常メーラーでは、不要な情報として見せないようにしていますが、メニューから「ソース表示」などを選択することで確認することができます。

「Received:」に記載されているIPアドレスを確認する

ヘッダー情報にはさまざまな情報が記載されていますが、必要になるのは「Received:」という項目です。この項目は経由したサーバーの情報が記載されるので、複数のサーバーを経由すると「Received:」の項目が増えていきます。「Received:」に記載されているIPアドレスを抜き出すことで、そのメールが経由してきたサーバーのIPアドレスを抽出することができます。

IPアドレスが所属している国を調べる

抽出したIPアドレスから、IPアドレスの管理機関が公表している情報やIPアドレス検索サービスを利用して所属する国を調べます。

以上の3ステップで、メールの経由国を確認することができます。
日頃からメールの経由国を確認しておくことで、標的型メール攻撃が送られてきた際にいつもと経由国が違うことから標的型メール攻撃を見極めることができるようになります。

標的型メール攻撃の見極めが簡単にできる方法

とはいえ、一つ一つのメールのヘッダー情報から経由国を調べるのは大変です。そういった場合は簡単にこれらをチェックできるツールの導入をオススメします。
Active! zone SSは、メールの経由国を国旗にして表示する機能やメール本文の文頭に挿入する機能を搭載しています。メールの経由国を自動的にわかりやすく表示するため、簡単に標的型メール攻撃の見極めに利用することが可能です。

Active! zone SSにはその他にも標的型メール攻撃対策の機能を多数備えています。
標的型メール攻撃対策としてぜひご検討ください。

資料請求はこちらお問い合わせはこちら

株式会社クオリティア マーケティング部
mktg-info@qualitia.com
https://www.qualitia.com/jp/

カテゴリー

メールソリューションに関する
ご質問・資料請求などございましたら
お気軽にお問い合わせください。

お見積り依頼・ご質問・ご相談はこちらから新規のお客様・パートナー様既存のお客様・パートナー様