標的型攻撃メールの傾向と事例

サイバー攻撃においてメールを利用することは、様々な方法の中で特に古くから見られますが、特定の組織を標的にして行う方法は比較的新しくさらに巧妙になっています。 実際に平成26年度には発生件数が2千件に満たなかったのに対し、平成30年度では6千件を大きく上回るほどの発生件数になっていて、短期間で著しく発生件数が増加しています。このことから、企業の中にはメールを利用したサイバー攻撃に関する危機意識が低く、セキュリティ体制がしっかりと整えられておらず、攻撃しやすい状態で放置してしまっているところは少なくないと考えられます。

しかし、危機意識を高く持ち、きっちりと対策を施しているにも関わらず標的型攻撃メールを開いてしまう事例も数多く起きているのも現実です。なぜなら、年々手口が巧妙化しているためです。

従来の迷惑メールの形式に則っている場合は、不特定多数の人々に対して多くのメールを送信するという特徴がはっきりしており、受信者とは無関係な内容である事が多かったため、すぐに迷惑メールであると判別することができます。

一方、近年の標的型攻撃メールは標的にされる組織と関係性が深い内容であると思わせるため、実際に存在している取引先などになりすました送信元としたり、添付ファイルの名称に業務連絡であると考えられる文言を使用したりします。中には、件名に就職活動に関する問い合わせという文言が入力されている上に本文も自然で、履歴書と名付けられている圧縮ファイルが添付されているメールも存在しています。そのため企業の人事担当者が受信した際に違和感なく開封し、ウイルスに感染してしまうのです。 他にも新たにリリースされる製品に関する情報提供や、利用しているソフトウェアの脆弱性に関する情報などと記載されているメールもあるため、組織に限らず個人が受け取った時にも迷惑メールと気づかずに開封してしまいます。

標的型攻撃メールによる被害事例

標的型攻撃メールにより、実際に企業や組織などで多くの情報が流出しています。会社で勤務をしている従業員が、メールの送信元が取引先になっているメールを受け取り、そのメールを開いたことがきっかけで攻撃の標的にされたという事例があります。

他にも、メールに仕組まれたマルウェアが原因で企業の情報が流出した事例では、航空会社を狙った事件が挙げられます。その事件では、航空機などを利用した時に得られるマイレージに関連する会員の情報が流出し、流出件数は4千名以上に上りました。この時も、業界用語や専門用語が使用され一見関係者と思えるような内容のメールが、社外アドレスから社内の業務PCへ送信されたことから始まっています。

さらに、国の組織機関における標的型攻撃メールの被害ケースとして、日本で2015年に起きた事件が挙げられます。その事件では、仕事内容に関連付けて巧妙に作成されたメールを開いたため、マルウェアに感染してしまい、かつ、外部のネットワークに接続済みのコンピュータを使用して個人情報の管理を行っていたので、瞬時に重要情報が漏洩していました。漏洩した件数は125万にものぼり、過去最大の件数になったことに加え、漏洩したことがきっかけとなって見知らぬ所から繰り返し電話がかかってくるようになった方も少なくありません。

最近では、新型コロナウイルスに関する「保健所の通知」や「クラスターに関する情報」など関心の高いタイトルを装ってメールが送られるケースも出てきています。本文の中にも感染予防対策の書かれた「別添通知」の確認を指示する内容などがあり、メール添付データを開かせる手口となっています。

また、特定の人に狙いを定め、社会情勢を利用したメールもあります。実際に、親しい取引先になりすまし、新型コロナウイルス感染症のため、通常の取引手続きが行えないので別の方法をお願いするメールが送られています。返信すると、攻撃者の口座への送金依頼につながります。この事例で注目すべき点は、元々は英語で行われていた攻撃が「日本語化」されていることです。つまり攻撃者は、日本企業へ攻撃を本格化させていることがうかがえます。

標的型攻撃メールの傾向と対策

実際に起きた標的型攻撃メールの事例から最近の傾向を考察すると、攻撃者は一部の社員しか知らないと思われる状況を利用したり、誰もが関心がある事と関係させたりするなど、メール受信者が安心感と信頼感を持って開封してしまいやすい状況を整えてくることがわかります。

社内にセキュリティ対策の担当者が存在していて、社員の危機意識が高いにも関わらずマルウェアなどの被害に遭うのは、攻撃メールに業界の方でなければわからない用語や専門的な用語が多数使用されているためです。攻撃メールを開封してしまうとたちまち個人情報などが流出し、会社に大きな負担が生じるだけでなく、会社の存続に関わる事態に繋がるため、セキュリティ対策の担当者は見分け方について十分理解しておくことが重要です。また、その対策について、社員一人一人の危機意識が薄くならないように定期的に周知徹底することも大切です。

標的型攻撃メールは、差出人が日頃からやり取りをしている相手になりすますため、社員が容易にメールを開いてしまう傾向が見受けられます。そのため、差出人が実在する人物の名称や組織などの名称であったとしてもしっかりと確かめる必要があります。 ここで注意したいのは、攻撃者が差出人を容易に偽る事ができるということです。そこで差出人を確認する時には、メールアドレスと差出人の名称が本人と一致していることを確認しつつ、送信者名の部分と署名欄の部分のアドレスの差異を確認します。メールアドレスに利用されている文字の中には、本来であればアルファベットである所がアルファベット文字に似ている数字を使用しているなど、小さな違いにも注意します。また、本文中に使用されている漢字については、日頃使用されていない漢字が含まれていないことも確認しましょう。また、大きな被害を発生させる直接的なきっかけになりやすい添付ファイルについては、開く前に送信元として表記されている相手方に一度確認を取っておくと安心です。

攻撃者がメールを作成し送信する目標は、受信者がURLをクリックし、添付ファイルを開封することです。ですから、興味関心を非常に抱きやすい文言が記されている時には一呼吸置いて見極めるようにしましょう。また、社内で不審なメールを受信したら「相談・連絡し、情報共有する」、この基本を徹底させることが大切です。加えて、セキュリティ対策の担当者は、導入しているセキュリティソフトを最新の状態に保つことやパスワードの使い回しを禁止したり、アクセス制限を導入することも検討してください。

日々、巧妙で被害が後を絶たない標的型攻撃メールの被害に遭わないためにシングテルでは、世界クラスのサイバーセキュリティでお客様のビジネスを守ることが可能です。シングテルのサイバーセキュリティ部門であるTrustwave（トラストウェーブ）社アナリストとエンジニアが最先端のサイバーセキュリティを専門的に支援します。