進化する標的型攻撃メールの手口と求められる対応策
標的型攻撃メールは近年増加傾向にあり、特定の組織や個人を狙う手法で知られています。その巧妙さゆえに、被害に気づかないまま影響を受けるケースも多く見られます。本記事では、この攻撃手法の特徴や実際の被害事例、そして有効な対策方法について詳しくご紹介します。
標的型攻撃とは
標的型攻撃とは、特定の組織や個人を対象に行われる攻撃であり、その主な目的はクレジットカードなどの個人情報や企業の機密情報を窃取することにあります。この攻撃では「標的型攻撃メール」が多用され、メールが起点となるケースが一般的です。このメールはスパムメールのように大量配信されるものとは異なり、ターゲットの詳細な情報を事前に調査し、取引先や顧客、従業員を装った巧妙な内容で送信されるため、受信者が詐欺を見抜くのは困難です。
標的型攻撃の手法
標的型攻撃にはいくつかの攻撃手法が存在する。以下に主な手法を解説する。
1)標的型攻撃メール
標的型攻撃メールは、事前にターゲットを詳細に調査した上で送信されます。このメールは、ターゲットが誤った行動を取るよう巧妙に仕掛けられており、不審に思わず開封される危険性が高いです。
2)ソーシャル・エンジニアリング
ソーシャル・エンジニアリングとは、相手の心理や行動を巧みに操る技術で、攻撃者は信頼を得るための精巧な言葉や手法を駆使して情報を詐取します。
3)やり取り型攻撃
やり取り型攻撃とは、ターゲットとの信頼関係を構築し、情報を引き出すことを目的とする手法です。攻撃者は、複数回のやり取りを通じて信用を得て、機密情報やアクセス権を盗み取ります。
4)水飲み場型攻撃
水飲み場型攻撃とは、ターゲットがよく利用するWebサイトを悪用し、訪問者のデバイスにマルウェアを感染させて情報を盗む手法です。
ビジネスメール詐欺(BEC)との違い
特定の組織や個人を狙う点では、ビジネスメール詐欺(BEC)も広義の標的型攻撃に分類できますが、その目的や手法には明確な違いがあります。BECの主な目的は、企業や組織から金銭を詐取することであり、金銭的利益の追求が中心です。一方、標的型攻撃メールは、機密情報や重要なデータ、企業の内部情報を盗むことを目的としており、それを基にさらなる攻撃や犯罪行為に発展させることが想定されています。このように、表面的には類似しているように見える両者ですが、実態は大きく異なるものです。
標的型攻撃メールの特徴
標的型攻撃メールは、昨今でも危険な脅威の1つであり、その特徴を知ることが防御につながる。以下に独自の特徴について解説する。
1)実際の取引先や従業員へのなりすまし
標的型攻撃メールは、取引先や従業員になりすます際に信憑性の高い情報を使用することが多く、受信者がそれを偽装だと気づかず、簡単に信じてしまう危険性があります。
2)正規のものに近似したメールアドレスを使用
ファジングとは、ソフトウェアテストの一つの方法で、通常は予期されない「不正なデータ」や「ランダムなデータ」などのファズ(fuzz)を対象の製品やシステムに入力し、意図的に例外を引き起こして潜在的なバグや脆弱性を発見する手法です。この手法は、AIの活用により、より効率的にバグや脆弱性を見つけることが可能となり、攻撃者がこの技術を悪用すれば、短期間で脆弱性を見つけてゼロデイ攻撃を仕掛けることが予想されています。
3)ターゲットの業務内容に関連するメール本文
攻撃者は受信者が不審に思わないように、業務に関連する内容を送信します。また、送信元が偽装されていたり、件名に「Re:」などを使って返信を装ったりすることがあり、受信者がそのメールを怪しいと判断するのは難しいです。
4)件名や本文の言い回しが不自然
攻撃者は非常に慎重な調査を行っていますが、外国から国内を標的にする際には、翻訳ツールを利用することになります。その結果、ネイティブにとって不自然に感じる表現や、助詞の誤用、誤字脱字などが含まれていることがあります。
5)ウイルスを仕込んだファイルを添付
攻撃メールには、ウイルスやマルウェアが含まれたファイルが添付されていることが多いです。受信者がその添付ファイルを開くと、パソコンが感染する危険にさらされます。感染したパソコンを起点に、攻撃が連鎖的に広がるなど、さまざまなリスクが発生する可能性があります。
6)ウイルス対策機能では検出が困難
標的型攻撃メールは、特定の組織向けに巧妙に設計されることが多く、通常のセキュリティソフトでは検出が難しい場合がよくあります。そのため、被害を防ぐためには、セキュリティソフトの導入に加えて、他の多角的な対策が必要です。
7)海外のIPアドレスを使用
攻撃元を特定しにくくするため、多くの場合、海外のIPアドレスが使われます。また、使用されるIPアドレスは頻繁に変更されることがあり、リストに登録してブロックする方法では対処が難しいこともあります。
8)長期間にわたる繰り返しの攻撃
攻撃者は幾度にもわたって執拗に攻撃を繰り返して目的の達成を狙う。そのため、受信者に対して手を替え品を替え、攻撃を重ねることも少なくない。
標的型攻撃メールの被害事例
標的型攻撃メールによって起きた被害事例を以下に紹介します。
1)125万件の個人情報が流出
2015年6月、国内の公的機関が標的型攻撃を受け、その結果、約125万件の個人情報(性別や住所など)が流出したとされています。この攻撃の発端は標的型攻撃メールであり、メールの内容は業務に関するもので、一見して疑わしいものとは思われなかったと報告されています。しかし、このメールがきっかけとなり、組織内で急速に被害が拡大し、最終的には31台の端末が感染しました。
2)学生の個人情報が流出
2022年7月、ある大学の研究機関が標的型攻撃メールを受け、マルウェアに感染しました。その結果、大学生のメールアドレス、学籍番号、住所、銀行口座などの個人情報が流出した恐れがあるとされています。
標的型攻撃メールへの対策
一般的な標的型攻撃メールへの対策を以下に解説します。
1)従業員教育
標的型攻撃メールに対する最も重要な対策の一つは、従業員教育です。抜き打ちテストを行った後に、その結果をもとに研修会を実施することで、より高い効果を得ることができます。さらに、定期的なセキュリティ教育を実施することで、従業員のセキュリティ意識の向上が図れます。
2)メールセキュリティ対策
メールセキュリティのソリューションを導入することも効果的です。このソリューションでは、メールに含まれる添付ファイルやURLを検査し、不審なURLが見つかれば、そのメールを削除または隔離します。これにより、標的型攻撃メールのリスクを抑えることができます。
3)メールの電子署名(S/MIME)
電子署名を活用することで、送信者の正当性を確認し、メール内容の改ざんを検出できます。署名が付与されていることにより、受信者は安全にメールを開くことができるようになります。
4)基本的なマルウェア対策
定期的なOSやソフトウェアの更新、セキュリティソフトの導入など、マルウェア対策は標的型攻撃メールにも重要です。マルウェアの感染が原因となる標的型攻撃メールも多いため、基本的な対策としてしっかりと行っておきたいものです。
5)不正アクセス対策
不正アクセスによってメールサーバーに侵入し、サーバー内に保存されているメール履歴を詳細に調べて悪用する攻撃手法も存在する。そのため、メールサーバーを守るためには不正アクセス防止策が不可欠です。具体的には、二要素認証の導入、強固なパスワードポリシーの策定、アカウント監視などが有効な対策として挙げられます。
6)EDR/XDR
企業や組織が高度な標的型攻撃メールに対抗するために導入を進めているのが、EDRやXDRといったセキュリティソリューションです。エンドポイントのセキュリティだけでは、高度な攻撃を防ぐのには限界があります。そのため、万が一侵入された場合には迅速に対応し、被害を最小限に抑える必要があります。この観点から、これらのセキュリティソリューションの導入が進んでいます。デジタル技術の進展とともに、標的型攻撃メールの手法も進化しています。未知の攻撃手法への対応は非常に難しいですが、基本的な対策が重要であることに変わりはありません。今後もより巧妙な手法が出現することが予想されるため、常に適切な対策を講じ、心構えを持つことで被害を最小限に抑えることが求められます。
