標的型攻撃とは、特定の企業や団体をターゲットとして、重要な情報を搾取するサイバー攻撃です。標的型攻撃の手段として、多くの場合メールが利用されています。この記事では、メールによる標的型攻撃について詳しく解説します。被害事例や特徴、対処法についても解説するので、セキュリティ対策にぜひ役立ててください。
標的型攻撃とは、特定の企業や団体、組織などを狙ったサイバー攻撃の一種です。機密情報や個人情報などを搾取することを目的としています。特定の組織や個人をターゲットとして、攻撃手法を巧妙にカスタマイズしているため、攻撃を受けていることに気付きにくい特徴があります。
標的型攻撃には、不正なファイルをメールに添付して送付し、Emotet(エモテット)やIcedID(アイスドアイディー)といったマルウェアを感染させる方法があります。また、偽のWebサイトに誘導して、個人情報を入力させるフィッシングという手法も利用されます。
標的型攻撃と無差別型攻撃との違いは、攻撃の対象です。無差別型攻撃の対象は不特定多数で、攻撃の対象を定めていません。攻撃の目的についても、情報搾取や金銭目的、嫌がらせ、知識や技術の誇示など多岐にわたります。
標的型攻撃の種類として代表的なものに、フィッシング、ランサムウェアやEmotet、IcedIDがあります。フィッシングは、なりすましメールで偽のサイトに誘導し、個人情報を窃取する手法です。ランサムウェアは、身代金目的で、コンピューター・データなどをロック状態にする不正ソフトです。EmotetやIcedIDは、なりすましメールに添付された不正ファイルから感染するウイルスです。
ランサムウェアは、Webサイト・メールに記載されたリンクや添付ファイル・USBメモリなどから感染します。EmotetとIcedIDは、Zip形式で圧縮したマクロ付きのオフィスファイルを開くことで感染します。アカウント情報やパスワードを抜き取り、新たなターゲットに不正メールを送信していきます。
メールやブラウザーの情報を奪い、メールアカウントに不正ログインして、過去のメールに返信する形で拡散します。標的型攻撃に利用されるウイルスは、長期間にわたってネットワークやシステムを調査して確実に情報を搾取する潜伏型ウイルスと、短時間の攻撃を何度も繰り返す速攻型ウイルスに分類されます。
標的型攻撃の手段として最も多いのがメールによる攻撃で、特定の個人や組織をターゲットとしてカスタマイズされています。添付ファイルやメール文面のリンクを通じて、不正なプログラムを実行させます。その他にも、ターゲットがよく利用するWebサイトを改ざんして不正を仕掛ける水飲み場攻撃や、OSやソフトウェアの脆弱性を狙ったゼロディ攻撃などが挙げられます。
標的型攻撃の流れを理解することは、対策を検討する上で重要です。ここでは、メールによる標的型攻撃のシナリオについて解説します。
最初のステップは、ターゲットの調査・分析と計画立案です。攻撃対象の企業、団体、組織を選び、ターゲットに関する情報を収集・分析します。その情報に基づき、侵入方法や攻撃方法などを検討します。
調査や計画立案後、不正なプログラムを潜入させます。悪意あるメールを送信し、受信者が添付ファイルの開封や文面に記載されたリンクへのアクセスを行った場合、不正なプログラムが実行され、マルウェアに感染します。
不正プログラムの潜入後、攻撃基盤を構築します。バックドアと呼ばれる外部からシステムへの侵入口を作成することで、攻撃側のサーバーとの通信が可能になります。攻撃される側に変化はないため、多くの場合は感染に気付きません。
攻撃基盤構築後は、システム内部を調査します。侵入した不正プログラムが、システム内部やネットワークを巡り、狙っている情報の保存場所を特定します。プログラムによっては、時間をかけて繰り返し調査する場合もあります。
最後に攻撃を実行に移します。特定した情報の保存場所に、情報を取得するプログラムを送り込みます。ターゲットの端末を遠隔操作し、情報を外部に送付させることも可能です。
標的型攻撃メールによって、大規模な被害が度々発生しています。ここでは、主な被害事例について解説します。
2015年5月、某行政機関で、少なくとも125万件の個人情報が流出しました。標的型攻撃メールを受信し、複数の職員がメール文面に記載されていたリンクをクリックしたことが原因とされています。多数のPCがマルウェアに感染し、個人情報が外部に流出しました。
2016年3月、某大手旅行会社で約678万件の個人情報が流出しました。取引先を装ったメールが職員宛に送信され、そのメールには「北京行きe-チケット」というPDFが添付されていました。添付ファイルを開封してしまったことで、外部への不審な通信が発生し、そのなかに多量の個人情報が含まれていることが判明しました。
2017年8月、某大手航空会社では、なりすましメールに騙され、3億8,000万円以上を振り込む被害事例が発生しました。メールに記載された偽の請求内容は、実際に支払う予定のものでした。また、請求書の様式も正規のフォーマットと同様でした。航空会社または金融機関にマルウェアが仕掛けられ、サーバーの乗っ取りやメールの盗聴が行われていた可能性があります。
2014年12月、某教育機関では、教職員や学生などの約3,300人の個人情報が流出しました。職員が、医療費通知を装ったメールの添付ファイルを開封し、事務用PCがマルウェアに感染しました。その後、遠隔操作によってパスワードが奪われ、大量の個人情報が抜き取られたと考えられています。
2009年から2010年にかけて、30社以上の企業への標的型攻撃が発生しました。オペレーション・オーロラと呼ばれています。各企業の担当者が、なりすましメール内のURLをクリックし、悪意あるWebサイトにアクセスすることでマルウェアに感染しました。Webブラウザーの脆弱性を利用したもので、Webメールのアカウント情報などが盗まれました。
標的型攻撃メールの特徴を知ることは、攻撃から身を守ることにつながります。ここでは、メールの特徴について解説します。
多くの標的型攻撃メールには、ファイルが添付されています。特に標的型攻撃メールである可能性が高いのは、オフィス形式のファイル、添付ファイルの拡張子が実行形式「Zip」「.exe」「.scr」やショートカット「.lnk」の場合です。拡張子やファイル名が偽装されているケースや、Zipで暗号化されているパターンもあるため、添付ファイル付きメールには注意しましょう。
メール本文に、日本語として不自然な言い回しや表現がある場合、標的型攻撃メールである可能性を疑いましょう。繁体字や簡体字といった、日本では使われていない漢字が含まれている場合、標的型攻撃メールの可能性があります。昨今ではメール本文も巧妙化していて、自然な文章で届くようになり、見分けがつきにくくなっているため警戒が必要です。
フリーアドレスから送信されたメールにも注意しなければなりません。多くの標的型攻撃メールは、フリーアドレスから送信されます。メールの署名に実在するメールアドレスが記載されていても、送信元のメールアドレスは偽物の場合があります。フリーアドレスを利用していても、差出人名だけ偽装しているケースもあります。メールアドレスをしっかりと確認しましょう。
近年、標的型攻撃メールの件数は増加傾向で、その手口も巧妙になっています。ここでは、標的型攻撃メールへの対処法について解説します。
従業員へのセキュリティ教育を徹底し、サイバー攻撃に対する警戒意識を高めることが重要です。標的型攻撃メールの疑似体験を通じて、メールの特徴や見分け方、開封してしまった場合の対応方法などを学ぶとよいでしょう。
OSやソフトウェアのバージョンを、最新の状態に維持しましょう。不正プログラムは、OSやソフトウェアの脆弱性を利用して侵入する可能性があります。アップデートを欠かさず、最新の状態に保つことが重要です。
標的型攻撃に対応しているセキュリティソフトを導入することも、効果的な対処方法です。セキュリティソフトによって、不審なサイトのブロックや不正アクセスの防止、マルウェアの検知や駆除が可能です。
ログの監視体制の構築や、監視ツールの導入によって、標的型攻撃メールへ対処する方法も有効です。ログを収集し管理することで、不審な動きを検知しやすくなります。仮に攻撃を受けた場合、早期発見によって被害を最小限に抑えることが可能です。
標的型攻撃メールにはクオリティア社のソリューションがおすすめです。「Active! zone」は、ウイルス感染を未然に防ぐ「マクロ除去」や、ユーザー自身に気づきを与える「目視確認」といった効果的な機能を備えています。標的型攻撃メールに対する訓練として「MudFix」も魅力的なサービスです。標的型攻撃を模倣したメールを活用し、攻撃への対応力を高めます。
メールを利用した標的型攻撃は、手口の巧妙さが増しており、被害事例は後を絶ちません。企業内でセキュリティ対策を検討する際は、この記事で解説した標的型攻撃の事例やシナリオ、メールの特徴や対処法などを、ぜひ参考にしてください。
クオリティアは、メッセージングソリューションやメールセキュリティ分野の老舗ベンダーです。メール誤送信対策やセキュリティ対策、コミュニケーションプラットフォームなどの複数のサービスを提供しています。標的型攻撃メールへの対策として「Active! zone」や「MudFix」をぜひご利用ください。資料請求はこちらお問い合わせはこちら
この記事が気に入ったら
いいね!しよう
メールソリューションに関する
ご質問・資料請求などございましたら
お気軽にお問い合わせください。
お電話からのお問い合わせ
03-5623-2530フォームからのお問い合わせ
資料請求ダウンロードお見積り依頼・ご質問・ご相談はこちらから新規のお客様・パートナー様既存のお客様・パートナー様
