ESET/マルウェア情報局
迷惑メールに関する基礎知識と対策
本記事はキヤノンITソリューションズが提供する「マルウェア情報局」に掲載された「迷惑メールについて改めて知っておきたい基本と対策方法」を再編集したものです。
おさらいしておきたい迷惑メールの種類と目的
最初に、迷惑メールには「無差別型」と「標的型」の大きく分けて2つが存在することをおさえておきたい。近年、「無差別型」は減少傾向にあり、手口が巧妙化した「標的型」の迷惑メールが増加傾向にある。
・「無差別型」とされる迷惑メール
発信元が取得したメールアドレスすべてに対して同一内容のメールを送り付けるタイプ。あるいはプログラムで大量にメールアドレスを自動生成して迷惑メールを送り付ける手法も存在する。自動生成を処理するサーバーなどの取得・利用コストが下がったことで一時期、規模を追い続ける状態になったが、最近は迷惑メールのフィルター機能が高度化したことなどでユーザーへの到達が困難となってきており、減少傾向にある。
・「標的型」とされる迷惑メール
何かしらの手段で取得したメールアドレスと紐づく個人情報をもとに、個別にメールを送り付けるタイプ。最近ではAI(人工知能)の進化などにより、一定のルールを設定すればデータベースの個人情報をもとにメール文面を自動生成するような高度な手口も開発されてはじめている。また、企業をターゲットにする場合など、攻撃側にとって成功時に得られる果実が大きい場合、より手口が巧妙化してきている。詳細は後述する。
何が目的? 迷惑メールを手掛ける攻撃者の狙いを知っておこう
なぜ攻撃者は迷惑メールを送り付けるのか。それは、率直に言えば攻撃者にとって「儲かるから」である。先述したように、迷惑メール配信のコストは技術革新により大きく下がっている。最近知られるようになった「ダークウェブ」では迷惑メール用のプログラムが比較的安価に売買されていたりもする。このように、技術の進化が皮肉にも彼らの「ビジネス」がやりやすい環境の整備に一役買ってしまっているのが現状なのだ。
迷惑メールは「儲ける」ために、さまざまな目的をもって発信される。以下、4つに分けてそれぞれを説明していく。
・「金銭要求」を目的とするもの
何かしらの理由をもとに金銭を要求、獲得することを目的とする。よく知られるケースだと「アダルトサイトの請求詐欺」だろう。他にもユーザーの弱みにつけこむようなさまざまな手口が存在する。基本的にメールのみで完了することはほとんどなく、何かしら別の手法と合わせたケースが多い。
・「マルウェアの配布」を目的とするもの
パソコンやスマホをマルウェアに感染させることで、最終的に攻撃者の利益につなげることを目的としている。マルウェアとは、「悪意のある(Malicious)」と「ソフトウェア(Software)」からの造語・総称である。マルウェア自体の解説は用語集のマルウェアの項を参考にしてほしい。最近ではマルウェアの一種「ランサムウェア」の「ワナクライ」が猛威を振るったことは記憶に新しいだろう。また、仮想通貨の普及とともに「マイニングマルウェア」と呼ばれる新種が急増してきていることにも注意しておきたい
・「広告、宣伝」を目的とするもの
無差別型メールの一番知られた目的はこの「広告・宣伝」だろう。ひと昔前はユーザーのオプトインなしでも広告・宣伝メールを配信できたため、著名な企業でもメールのリストを有償で入手し、自社の製品・サービスの広告・宣伝に利用していたこともあった。しかし、現在ではそうした行為は原則禁じられているため、この目的で配信される内容は基本的に悪徳なものと考えていいだろう。人気のブランド商品を低価格で販売していると偽り、架空のECサイトへ誘導して決済だけ行なわせて商品は発送しないような手口も存在したが、日本国内では言葉の壁もあり被害は多くなかったとみられる。
・「実在確認、情報入手」を目的とするもの
無差別型メールの場合、先述の通りメールアドレスを自動生成して送り付けるものも多い。この場合、ユーザーのメール開封やリンクのクリックなどのアクションからメールアドレスが「アクティブかどうか」を確認できる。アクティブと判別されたメールアドレスに対し、標的型攻撃やフィッシング詐欺などを仕掛けるのが攻撃者の狙いだ。「HTMLメール」は識別情報を埋め込むことでメールを開封したかどうかを判別できるが、その機能を悪用している。他にも、「キーロガー」などのウイルスを送り付けパソコンやスマホに忍ばせることでユーザーの入力情報を取得しようとする悪質な手段も存在し、こちらもフィッシング詐欺や標的型攻撃のきっかけとなる。
迷惑メールの総量自体は減少、しかし手口は悪化する一方
迷惑メールの種類と目的のところでも述べたように、迷惑メールの総量自体は減少傾向にある。その背景にはユーザーの迷惑メールに対してのリテラシー向上が大きい。もちろん、インターネットプロバイダーやGmailなどの提供するメールサービスにおいてフィルターが高度化し、迷惑メールが受信ボックスに届くことが減ってきていることもある。これまで攻撃者は、迷惑メールの数を増やせば一定の確率でだまされるユーザーがいることを前提に攻撃を行なってきた。しかし、その確率が下がってきたため、攻撃の手法を巧妙化することで確率を上げようと手口を進化させてきている。
その代表的なものが、より手口が込んだ「標的型メール」である。標的型メールは単に個人のメールアドレスと合致した氏名をもとにしたものだけでなく、入手したさまざまな属性情報などを踏まえたものまで出てきている。特に、「成功した場合の果実が大きい」知的財産や営業機密を有する企業などは恰好のターゲットとなっている。
2017年12月には某国内交通機関の被害事例が大きくメディアでも取り上げられ話題となった。公開された犯行手口からは知的財産などの情報を窃取するものではなかったが、企業の購買部門を相手に巧みに交渉を行なうなど、その巧妙さが明らかにされており、迷惑メールへのリテラシーがあったとしても防ぐのは容易ではないことが推察できるものであった。
SNSなどの普及で個人の属性や嗜好などの情報が入手しやすくなっていることもあり、今後、そうした材料をもとにした標的型メールは、増加の一途をたどる企業向けだけでなく、個人に向けられる可能性も否定できない。個人としては、犯罪者に関連付けられるような情報を提供しないように、SNSなどで情報発信をする際には注意して利用する心構えが求められる。
まとめ
インターネットの浸透とともに増加してきた迷惑メールだが、今後は数ではなく質が問題となる時代が迫っている。「まさか自分が」との油断は攻撃者にとって恰好の餌食といってよいだろう。この記事のまとめとして、個人での対策を3つ紹介する。
・ITリテラシーを高める
攻撃者は日々進化するITを巧みに利用する。最近ではJavaScriptの技術進化に合わせ、「ファイルレス」のメールによる攻撃も増えてきている。「敵を知り己を知れば百戦危うからず」ということわざがあるが、自身が利用するインターネットでどういった技術が犯罪に使われる可能性があるのかという情報収集を怠らないようにしたい。このマルウェア情報局でも日々新しい攻撃手法を紹介している。ぜひ参考にしてほしい。
・スパム対策ソフトウェアを導入する
物理的な攻撃から身を守るために鎧が欠かせないように、インターネット経由での攻撃を防御してくれるソフトウェアを利用することはもはや必須といえる。OSがWindows 10の場合、「Windows Defender」が一定レベルの防御を施してくれるが、より万全にしたい場合は専門メーカーが提供するスパム対策ソフトウェアの導入を考えてみるといいだろう。このマルウェア情報局を運営するキヤノンITソリューションズでも「ESET」を提供している。ぜひ製品サイトにアクセスして提供する機能や特徴を見てほしい。
・重要なやりとりでメールを利用しない
高度化する標的型攻撃の手口を考えると、重要な情報をやりとりする際に、メールだけで完結させないというのは充分な対策となる。例えば、メールと電話とを組み合わせたり、機密性が特別に高い情報のやりとりは対面の打ち合わせでやりとりをしたりする、といった具合だ。
あるいは、最近多くの企業で導入が進むチャットツールやプロジェクト管理ツールといった代替手段を利用するのも対策となるだろう。攻撃者が介在できないようにする方法はその他にも考えつくはずだ。握られると損害が大きい情報は攻撃者側にとって価値が大きいという点を強く意識し、やりとりの際のひと手間を惜しまないように心掛けたい。