キヤノンMJ/サイバーセキュリティ情報局
巧妙な標的型攻撃メールの手法とその対策とは?
本記事はキヤノンマーケティングジャパンが提供する「サイバーセキュリティ情報局」に掲載された「巧妙化する標的型攻撃メールの手法と求められる対策」を再編集したものです。
近年、増加傾向にある標的型攻撃メールは、特定の組織や個人をターゲットとして狙い撃ちすることから、気づかぬうちに被害に遭遇していることも少なくない。この記事では、標的型攻撃メールが用いる特徴的な攻撃手法の概要と実際の被害事例、加えて効果的な対策方法について詳しく解説する。
標的型攻撃とは
標的型攻撃とは、特定の組織や個人を狙って行われる攻撃である。この攻撃は主に、クレジットカードをはじめとした個人情報や企業の機密情報などの窃取を目的として実施される。その手法の多くは「標的型攻撃メール」として知られ、メールをきっかけとして実行されるものが多い。
この標的型攻撃メールは、スパムメールのように不特定多数の対象にばらまかれるメールとは異なり、標的型攻撃では事前にターゲットを詳細に調査し、実際の取引先や顧客、従業員に巧妙に偽装してメールを送信する。そのため、送信されるメールの内容は極めて自然で、狙われたユーザーが真偽を判別するのは困難な場合が多い。
内部記事リンク: 標的型攻撃とは?どのような手口で攻撃を行うのか?
標的型攻撃の手法
標的型攻撃にはいくつかの攻撃手法が存在する。以下に主な手法を解説する。
1)標的型攻撃メール
標的型攻撃メールは、事前に研究されたターゲットに対して送信される。このメールは、ターゲットが誤った判断を行うように工夫されていることから、不審に思わず開封してしまうリスクが高い。
2)ソーシャル・エンジニアリング
ソーシャル・エンジニアリングは、人の心理や行動を操る技術である。攻撃者は、信用させるために巧妙な手口や言葉を駆使して情報を詐取する。
3)やり取り型攻撃
やり取り型攻撃は、ターゲットとの間に信頼関係を築き、情報を引き出すことを目的とした手法である。通常、攻撃者はターゲットとの間で幾度もやり取りを重ね、信用させることで機密情報やアクセス権限を詐取する。
4)水飲み場型攻撃
水飲み場型攻撃は、ターゲットが頻繁に訪れるWebサイトを悪用して攻撃を仕掛けるものである。訪問者のデバイスにマルウェアを感染させることで情報を窃取するといった手法だ。
ビジネスメール詐欺(BEC)との違い
特定のターゲット、すなわち、ある組織や個人を狙うという点では、ビジネスメール詐欺(BEC)も広義の標的型攻撃と言えるだろう。しかし、その根本的な目的や手法には明確な違いが見受けられる。
BECと標的型攻撃メールの大きな違いとして、その背後にある目的が挙げられる。BECは、犯罪者が金銭的な利益を追求するための手段として行われることが多い。すなわち、BECにおける主な狙いは、企業や組織から金銭を騙し取ることにある。
これに対して、標的型攻撃メールは機密情報、重要なデータ、または企業の内部情報などの情報を詐取することを主な目的としている。その結果、これらの情報を利用してさらなる攻撃を仕掛ける、あるいはほかの犯罪行為へと発展させていくことも想定される。
BECと標的型攻撃メールは、表面的には似ているように見えるかもしれないが、その実態は趣の異なるものであると言えるだろう。
内部記事リンク: 詐欺メールとは?どのような手口でどういった被害が生じ得るのか?
標的型攻撃メールの特徴
標的型攻撃メールは、昨今でも危険な脅威の1つであり、その特徴を知ることが防御につながる。以下に独自の特徴について解説する。
1)実際の取引先や従業員へのなりすまし
標的型攻撃メールは、あたかも正しいと思える情報を用いて実際の取引先や従業員になりすますことが多い。これにより、受信者はメールが偽装されたものだと思わず、いとも簡単に信じてしまう可能性が高まる。
2)正規のものに近似したメールアドレスを使用
攻撃者は受信者を欺くために、正規の送信メールのアドレスによく似たものを使用する。例えば、1文字だけ異なる文字列やドメインに一部の文字列を付加する、といったようにパッと見ではわからないように偽装することが一般的だ。
3)ターゲットの業務内容に関連するメール本文
攻撃者は受信者に不審なメールと感じさせないように、業務に密接に関連した内容を送り付ける。また、送信元も偽装されていること、さらには「Re:」などの件名で返信を装っていることもあり、受信者がそうしたメールを不審なものと判断することは容易ではない。
4)件名や本文の言い回しが不自然
先述のとおり、攻撃者は非常に綿密な調査や研究を行っている。しかし、外国から国内を狙うような場合、翻訳エンジンを利用することになり、その結果としてネイティブにとっては不自然な表現、助詞の使用方法が不適切、あるいは誤字脱字が含まれるようなものがある。
5)ウイルスを仕込んだファイルを添付
攻撃メールには、ウイルスやマルウェアに感染したファイルが添付されていることも少なくない。受信者が添付ファイルを開くことでパソコンは感染リスクに晒される。マルウェアが感染したパソコンをきっかけとして、攻撃が波状的に広がるなど、さまざまなリスクが生じる。
6)ウイルス対策機能では検出が困難
標的型攻撃メールは特定の組織に合わせて高度に設計されていることも多く、一般的なセキュリティソフトのウイルス対策機能では検出が難しい場合が少なくない。そのため、被害を防ぐためにはセキュリティソフトの導入以外にも複合的な対策が求められる。
7)海外のIPアドレスを使用
多くの場合、攻撃元を特定させないために、海外のIPアドレスが使用される。また、使用されるIPアドレスは頻繁に切り替わることもあり、リストに登録してブロックするといった対処が難しい場合もある。
8)長期間にわたる繰り返しの攻撃
攻撃者は幾度にもわたって執拗に攻撃を繰り返して目的の達成を狙う。そのため、受信者に対して手を替え品を替え、攻撃を重ねることも少なくない。
標的型攻撃メールの被害事例
標的型攻撃メールによって起きた被害事例を以下に紹介する。
1)125万件の個人情報が流出
2015年6月、国内の公的機関が標的型攻撃を受けた結果、約125万件の性別や住所をはじめとした個人情報が流出したとされる。この攻撃の起点となったのが標的型攻撃メールだった。メールは業務に関する内容のもので、一見すると怪しいものとは認識できなかったと発表されている。しかし、このメールをきっかけに組織内で急激に被害が拡散し、最終的に31台の端末が感染するに至った。
2)学生の個人情報が流出
2022年7月、ある大学の研究機関が標的型攻撃メールを受け、マルウェアに感染。その結果、同大学生のメールアドレスや学籍番号、住所、銀行口座などの個人情報が流出した可能性があったとされる。
標的型攻撃メールへの対策
一般的な標的型攻撃メールへの対策を以下に解説する。
1)従業員教育
従業員教育は、標的型攻撃メールの対策として最も重要な対策の1つだ。抜き打ちでのテストを行った上で、そのフィードバックを兼ねた研修会を実施すればより高い効果が期待できる。加えて、定期的なセキュリティ教育を行うことで、従業員のセキュリティ意識の向上が期待できる。
2)メールセキュリティ対策
メールセキュリティに関するソリューションを導入するのも有効だ。キヤノンMJが提供する「GUARDIANWALL Inbound Security for Microsoft 365」は、メール本文を検査することで、標的型攻撃メールやBECを検出する。
また、メールに含まれる添付ファイルやURLの検査を行い、不審なURLが含まれている場合にはメールを削除または隔離する。これらの機能により標的型攻撃メールのリスクを抑制できる。
3)メールの電子署名(S/MIME)
電子署名を使用することで、メールの送信者の真正性やメール内容の改ざんを検出することができる。この署名が付加されていることで、受信者は安心してメールを開封できるようになる。
4)基本的なマルウェア対策
定期的なOSやソフトウェアなどのアップデート、セキュリティソフトの導入といったマルウェアへの対策は標的型攻撃メールにおいても重要だ。マルウェアの感染を起点にした標的型攻撃メールも少なくないため、基本的な対策として徹底しておきたい。
5)不正アクセス対策
不正アクセスにてメールサーバーに侵入し、サーバー内に格納されたメールの履歴を精査し悪用するといった攻撃手法も存在する。そのため、メールサーバーをはじめとして不正アクセスをさせないための対策が重要となる。具体的には、二要素認証の導入や強固なパスワードポリシーの策定、アカウントの監視などが挙げられるだろう。
6)EDR/XDR
高度な標的型攻撃メールへの対策として、企業・組織で導入が進んでいるのがEDRやXDRといったセキュリティソリューションだ。高度な攻撃はエンドポイントのセキュリティソリューションで防ぐには限界がある。そのため、仮に侵入された場合に速やかに対応していくことで被害を最小限に抑える必要がある。そういった観点から、これらセキュリティソリューションの導入が広がっている。
デジタル技術の進展と歩調を合わせるかのように、標的型攻撃メールの手法も進化している。未知の攻撃手法への対応は困難を極めるものの、基本的な対策が重要で大きな役割を果たすことには変わりないだろう。今後もさらなる巧妙な手法が登場することが想像に難くないため、適切な対策を常に講じておくこと、そして常に心構えをしておくことで被害を最小限に防げるようにしておきたい。
内部記事リンク: 壊滅的なサイバー攻撃から従業員を守るため、2022年に検討すべきこと