「標的型攻撃メールはどのように対策をすればよいのか」
本記事をお読みの方は上記の疑問をお持ちではないでしょうか。標的型攻撃メールは特定の企業や個人を対象として悪意のあるリンクやファイルをメールで送りつける攻撃です。
IPA(情報処理推進機構)が発表した「情報セキュリティ10大脅威 2024」4位にランクインしており、標的型攻撃による被害が後を絶ちません。
そこで本記事では、標的型攻撃の大半を占めるメールの手口の内容や被害の要因、対策方法などを紹介していきますので、セキュリティ強化を目指す方はぜひ一読ください。
そもそも「標的型攻撃メール」とは何か
本記事では標的型攻撃メールの対策を解説しますが、まずは対策の前に標的型攻撃メールの概要を知っておきましょう。
また標的型攻撃メールと混同しがちな「迷惑メール」「スパムメール」などとの違い、共通点を押さえておきましょう。
近年増加中のサイバー攻撃の一種
標的型攻撃メールは特定の企業や個人を対象として悪意のあるリンクやファイルをメールで送りつける攻撃です。標的型攻撃にはさまざまな手法があり、メール以外にも以下の手法があります。
- 企業が運営するWebページを改ざんする攻撃
- 従業員がアクセスするであろうページを改ざんして悪意のあるプログラムを仕掛ける攻撃(水飲み場攻撃)
IPA(情報処理推進機構)が発表した「情報セキュリティ10大脅威 2024」(組織対象)で、「標的型攻撃による機密情報の窃取」は4位です。標的型攻撃は毎年ランキングでの常連となっています。大きな被害を生んでしまうため、対策をしないわけにはいきません。
そして標的型攻撃メールはその名の通り、攻撃対象へのメールによる攻撃です。メールは言葉巧みに攻撃対象に対して記載されているリンクや添付ファイルを開かせます。開くことで悪意があるプログラムを実行してしまい、社内システムへの不正アクセスや情報改ざんの被害が生まれる仕組みです。
参考:「情報セキュリティ10大脅威 2024」IPA(情報処理推進機構)
「迷惑メール」「スパムメール」との違い
標的型攻撃メールと「迷惑メール」や「スパムメール」との違いは攻撃者を絞っているか否かです。
標的型攻撃メールは企業や従業員など特定の攻撃対象に対して送るメールです。攻撃対象を絞り込むことで、攻撃者はその攻撃が効果的なのかを予測しやすいというメリットがあります。
一方で迷惑メールやスパムメールは不特定多数に送ります。「効果的な攻撃を仕掛ける」というよりは「数打てば当たる」という考えで仕掛ける攻撃です。
「ビジネスメール詐欺」との違い
標的型攻撃メールと「ビジネスメール詐欺」との違いは攻撃の目的です。
標的型攻撃メールは情報の盗み見や改ざん、新たな攻撃への足がかりを作ることが目的です。一方でビジネスメール詐欺は金銭の要求が目的となっています。
両者の共通点は攻撃対象を絞っていることです。どちらも標的型攻撃メールといえます。しかし、目的が異なるため、呼び方が分けられていると考えるとよいでしょう。
「無差別型攻撃」との違い
標的型攻撃メールと「無差別型攻撃」との違いは攻撃者を絞っているか否かです。
標的型攻撃メールは攻撃対象を絞っているのに対し、無差別型攻撃はその名の通り、攻撃対象を絞らず不特定多数に仕掛ける攻撃です。先述したスパムメールや迷惑メールは無差別型攻撃の一種となります。
無差別型攻撃は他にも以下の手法があります。
- DDoS攻撃:大量のトラフィックをサーバーに送りつけてサーバーのダウンをさせる攻撃
- ランサムウェア攻撃:マルウェアが社内システムに侵入してファイルを暗号化し、解除するための身代金を要求する攻撃
- ブルートフォース攻撃:パスワードを突破するためにパスワードを片っ端から入力して突破を試みる攻撃
本記事では扱いませんが、無差別型攻撃に対する対策も企業には重要なセキュリティ対策です。
標的型攻撃メールの主な手口
標的型攻撃メールの主な手口として以下があります。
- 社内連絡を装う
- 取引先や関連会社を装う
- 有名企業や機関を装う
- 関係省庁や政府機関からの情報展開を装う
- 契約・手続き関連の連絡を装う
- トレンドに便乗する
以下は、社内連絡を装った例です。
送信者:(普段からよく見るアドレスやドメイン)
表題:緊急社内アップデート
各位
社内システムのアップデートが完了しました。このアップデートには、新しいセキュリティ機能の導入が含まれているので、皆さんに以下を実施していただく必要があります。
以下の手順で実施してください。
1. ログイン
下記リンクをクリックして、社内システムにログインしてください。
(悪意のあるリンク)
2. アップデート
ログイン後、画面に「アップデート開始」ボタンをクリックして指示に従って、
システムのアップデートを実行してください。
3. 確認
アップデート完了後、画面に成功メッセージが表示されます。
アップデートは緊急を要するため、速やかな実施をお願いします。
上記のように「自分に関係がありそう」「緊急性を要する」「見覚えがあるメールアドレス」といった特徴を持ったメールで攻撃を仕掛けてきます。
標的型攻撃メールの被害件数や脅威性
ここでは標的型攻撃メールの被害状況や脅威性を確認しておきましょう。確認することで、他人事ではない身近な攻撃であり、かつ自社が攻撃を受けると大きな被害が生まれることを再認識できます。
件数は減少傾向だが年々巧妙さが増している
警察庁が公開した「令和2年におけるサイバー空間をめぐる脅威の情勢等について」によると、令和2年に把握できた標的型メール攻撃の件数は4,119件でした。
この資料は令和3年以降も公開されており、標的型攻撃メールの件数への言及はないものの、令和5年に発表された資料にも依然として被害事例が報告されています。1度のメールではなく、何度かメールのやり取りをして信頼させてから攻撃を仕掛けるなど、巧妙さが増している被害事例もあります。
参考:「令和2年におけるサイバー空間をめぐる脅威の情勢等について」(警視庁)
企業が恐れる情報セキュリティ10大脅威に常にランクイン
標的型攻撃は企業が恐れる情報セキュリティの10大脅威に2014年からランクインし続けています。
「情報セキュリティ10大脅威」はIPA(情報処理推進機構)が毎年公開するランキングです。ランキングは個人と組織を対象としたものがあり、組織対象のランキングでは標的型攻撃が毎年ランクインしています。
また2023年は3位、2022年は2位と上位にランクインしていることも特筆すべきです。標的型攻撃は企業の担当者からそれだけ大きな脅威として恐れられています。攻撃を見分けにくいことや、攻撃に遭った場合の被害が甚大になりやすいことが上位にランクインする要因です。
そして標的型攻撃の最も多い手法がメールであるため、標的型攻撃メールは大きな脅威として各企業から認識されています。
参考:「情報セキュリティ10大脅威 2024」IPA(情報処理推進機構)
攻撃を受けランサムウェアの被害と重なる
標的型攻撃メールは攻撃を受けた後に被害が拡大しやすい特徴があります。
標的型攻撃メールは、ターゲットとなる特定の企業や組織に対しリンクやファイルを開かせて、社内システムへの不正アクセスや機密情報を取得することが目的です。それらに加えて、新たなダメージを与える攻撃を仕掛けてくるという特徴があります。
例えば、社内システムに不正アクセスをした場合には、社内の重要なファイルも操作が可能です。攻撃者はその状態からファイルを暗号化して、解除のために身代金を要求します。標的型攻撃メールは、こうした二次被害を生み出しやすい特徴が恐れられる理由の1つです。
標的型攻撃メールの脅威を世に知らしめた海外事例
毎年多数の報告があがっている標的型攻撃メールですが、実際にどのような被害を受けているのか、代表的なものをみていきましょう。
標的型攻撃メールを世に知らしめるきっかけとなった事例が、米のGoogle社など、30社を超える企業・サイトが狙われた「Operation Aurora(オペレーション・オーロラ)」ではないでしょうか。
2010年1月頃に行われたこの攻撃は、「Internet Explorer」の脆弱性を利用したもので、Webメールのアカウント情報が流出するなど、大きな話題を呼びました。
Operation Auroraに限らず、攻撃の大半が金銭や機密情報の奪取を目的としており、企業に致命的なダメージを与えることがないよう、必ず対策することが必要です。
また、近年ではウクライナ侵攻での被害も確認されています。プーチン政権とロシア軍によるウクライナ侵攻ですが、現実世界だけでなく、サイバー攻撃やロシアによる情報統制も激化しているのです。
実際「HermeticWiper」と呼ばれる、Windowsマシンのマスターブートレコード(MBR)を破壊し、起動不能にする、新型マルウェアの標的型攻撃の発生も報告されており、今後被害が拡大しないよう警戒が必要です。
【最新事例あり】標的型攻撃メールの被害は国内でも深刻
標的型攻撃メールの被害は国内でも深刻です。以下の事例で被害状況を確認しましょう。
- 【2022年】大学の被害
- 【2016年】旅行会社の被害
【2022年】大学にて個人情報流出
2022年に大学教員に対する標的型攻撃メールで端末がマルウェアに感染する被害が発生しました。被害により、教員や学生の個人情報が流出した可能性があります。
この標的型攻撃メールは研究者など学術機関に多く送られていたものです。マルウェアに感染した端末はアンチウイルスソフトでセキュリティ対策を実施していましたが、メールはすり抜けていました。
セキュリティ対策をすり抜ける巧みな手口で送られてくることが標的型攻撃メールの恐ろしいところです。
【2016年】旅行会社にて最大793万人の個人情報流出
2016年に旅行会社が標的型攻撃メールによって最大約793万人分の個人情報が漏えいした可能性があると発表しました。
この標的型攻撃メールは取引先のドメインが使われており、問い合わせを装って送られてきました。添付されていたPDFファイルを開いたタイミングで、悪意のあるプログラムも実行され、被害が始まったと考えられます。
見覚えがあるアドレスでも安全を確認できないファイルは開くべきではありません。
標的型攻撃メールで被害を受ける要因
被害の全貌が見えてきた標的型攻撃メールですが、なぜ被害を受け、今日に至るまで脅威であり続けているのか、その要因をみていきましょう。
怪しいメールを開いてしまう
攻撃型メールのほとんどは、うっかり怪しいメールを開いてしまい、ウイルスに感染してしまうケースです。
つまり、標的型攻撃メールの被害を受ける根本的な原因は、ヒューマンエラーによるものと考えてよいでしょう。
しかし、既存のプログラムならまだしも、新たな不正プログラムの到達を完璧に防ぐことは難しいのが現状です。
日頃から、組織全体でITリテラシーやセキュリティ意識を高める対策が必要となるでしょう。
手口が巧妙化している
標的型攻撃メールによる被害が増え続ける大きな理由の1つに、手口が日々巧妙化し、判別が困難になっていることが挙げられます。
例えば、実在する取引先に偽装して送信元に指定する、添付ファイル名も業務に関係性があるものにする、メールの件名や内容に「緊急」「重要」「見積書」など、受信側の興味を引くようなものがあるなど、通常のビジネスシーンを装ってくるため、被害も後を絶ちません。
一見何の変哲もないメールが企業の情報を襲うという点こそ、標的型メール攻撃のもっとも恐ろしいポイントだといえるでしょう。
セキュリティ環境が甘い
Operation Auroraの事例でわかるように、OSやアプリケーションに脆弱性があると、そこを狙ってウイルスが侵入してきます。
特に多くの個人情報を扱う金融機関や組織、Microsoft 365のようなシェア率の高いアプリケーションなどが狙われがちでしたが、最近では地方公共団体や中小企業もそのターゲットとなっているため、これまで以上に警戒が必要です。
標的型攻撃メールをどうやって見分ければよいのか
標的型攻撃メールの見分け方として以下の方法があります。
- まずは送信元のメールアドレスをチェック
- メールの件名が不審な点はないかをチェック
- メールの本文に不審な点はないかをチェック
- 見慣れない添付ファイルがないかをチェック
見分け方を知っておくことで、被害を防げることがあります。定期的に勉強会などを開き、全従業員に共有しておきましょう。
まずは送信元のメールアドレスをチェック
不審なメールが届いた場合、まずは送信元のメールアドレスをチェックしましょう。標的型攻撃メールのメールアドレスは以下のポイントをチェックすることで、見分けられる場合があります。
- ドメインがフリーメールアドレス(gmail.comやoutlook.comなど)
- 差出人メールアドレスと返信指定先のメールアドレスが異なるケース
上記の場合、標的型攻撃メールの場合があります。特に後者のケースは顧客や取引先など、見覚えがあるドメインの可能性もあるので、十分に注意してください。攻撃者は受信者が「引っかかりやすいであろう」メールアドレスから攻撃を仕掛けてくる点が標的型攻撃メールの厄介なポイントです。
メールの件名が不審な点はないかをチェック
標的型攻撃メールはメールの件名も不審な場合があります。
緊急性を煽るメールや、大事な要件を装うメールは要注意です。攻撃者は受信者の心理的な弱点を突いて、攻撃を仕掛けてきます。例として以下の要件に注意しましょう。
- 【緊急】【重要】のように目を引く題名
- システムアップデート、パスワード変更のように身に覚えがありそうな内容
上記のようなメールの件名だと、受信者は思わずリンクやファイルを開いてしまう可能性があります。十分に注意を促してください。
メールの本文に不審な点はないかをチェック
標的型攻撃メールを見分けるためには本文にも不審な点がないか確認しましょう。
本文で確認すべき点は以下のとおりです。
- 文字化けや簡体字(中国語)などの表記がないか
- リンクの宛先は信頼できるドメインか
- 日本語的におかしい文章や不自然なフォントがないか
上記が当てはまる場合は怪しいメールの可能性が高いです。また上記が当てはまらなくても、標的型攻撃メールの場合があります。本文が上記の特徴に当てはまらない巧妙なメールもあるので、メールアドレスや件名も含めて総合的に判断しましょう。
見慣れない添付ファイルがないかをチェック
メールに添付ファイルがある場合には、特に注意が必要です。標的型攻撃メールの場合、添付ファイルには以下の特徴があります。
- .exeのように実行形式かどうか
- .zipのように圧縮形式かどうか
- アイコンを確認した際に異なる形式になっていないか
上記に当てはまったら、その添付ファイルは開かないようにしましょう。メールの自動ブロック機能が働くこともありますが、信頼できる相手から来たと思えば、実行を承認してしまう可能性があります。
標的型攻撃メールが届いても、リンクへのアクセスやファイルの実行をしなければ被害は防げます。標的型攻撃メールの添付ファイルの特徴を把握できるよう従業員に働きかけてください。
標的型攻撃メールの対策方法
ここまで標的型攻撃メールの被害や手口を解説していましたが、巧妙化するサイバー攻撃にどう対抗していけばよいのでしょうか。最後に、標的型攻撃メールの対策方法をいくつか紹介していきます。
不審なメールは開かない
まず従業員個人で意識すべき対策としては、セキュリティに関する最低限の知識を身につけ、件名や内容が不自然なメールについては、どんなに忙しくても開封しないことです。
標的型攻撃は、どれだけ対策を講じても従業員に届いてしまう可能性があるため、少しでも怪しいと感じたらメールを開かないのが賢明です。
もしも開封する場合は、送信者に対してメール送信の事実があるかを確認するなど、被害が広がらないために必要な基本的な行動を押さえておきましょう。
社内教育の徹底
標的型攻撃メールを開かないだけでなく、開かせない対策も必要です。
具体的には、標的型攻撃メールの手口を理解する、受信した場合はシステム管理者に報告させるなど、社内全体で注意喚起を行い、セキュリティ教育を徹底していきましょう。
また、最近では社員のセキュリティリテラシーを高めるために、標的型攻撃メール訓練を実施してくれるサービスも登場しています。
情報の切り分け
サイバー攻撃がなくならないということは、攻撃する側にとっても有効な手口であるということ。
100%防ぐことは難しいため、企業の重要な機密情報などは、切り分けて保存するのが最適です。
具体例としては、ファイルが暗号化されても大丈夫なよう、データのバックアップは常時取っておく、ネットワークから遮断し、オフライン上で情報が盗まれないところに保管するなど、対策を講じていきましょう。
データのバックアップを取ることは、事故によるデータ紛失を防ぐ手段としても有効です。
OSやソフトウェアのアップデート
前項でも触れましたが、ウイルスはOSやアプリケーションの脆弱性を付いてきます。
HermeticWiperのように、今後も新たな手法による標的型攻撃メールも予想されるため、OS・ソフトウェアは常に最新の状態にしておきましょう。
社内ルールの整備
標的型攻撃メールの被害を防ぐために、社内ルールの整備をしておきましょう。
整備すべき社内ルールとして以下があります。
- OSやソフトウェアのアップデートの定期実行頻度
- 怪しいメールが届いた場合の連絡先や共有方法
- 怪しいメールを開いてしまった場合の対処方法
- ネットワークからの切り離し時間
- その場合の連絡方法(電話など)
1人の従業員が怪しいメールに気がついたら、社内に共有するルールを作りましょう。誰か1人がリンクやファイルを開いてしまえば被害は社内全体に及びます。早い段階で共有して注意喚起を社内全体に促すべきです。
また従業員が怪しいメールを開き、被害に遭ってしまったケースを想定したルールの整備も大切です。特にネットワークからの切り離しを行う場合、社内のメールソフトは使えません。緊急時用の連絡先(電話番号など)を決めておきましょう。
標的型攻撃に強いセキュリティの導入
セキュリティ対策の基本中の基本ともいえる、セキュリティソフトの導入も欠かせない要素です。
昨今、さまざまなタイプのセキュリティソフトやツールが登場しており、一般的なウイルス対策に加え、標的型攻撃に強い対策ソフトも提供されています。
すでに導入している企業も多いと思いますが、標的型攻撃メール対策に有効な機能をいくつかピックアップしましたので、参考にしてみてください。
- サンドボックス
- AI分析
- ファイルスキャン
サンドボックスは通常の領域からは隔離された仮想化技術を利用して、マルウェアを検知・駆除するソリューションです。怪しいメールが届き、リンクや添付ファイルがある場合、検証する方法が必要になります。サンドボックスでリンクや添付ファイルを確認し、本物であればそのメールが本当に必要なメールだと判別できます。
AI分析はAIが未知のマルウェアを検知し、原因や被害範囲の分析を行うメールと添付ファイルをAIが自動で隔離するソリューションです。
ファイルスキャンはファイルを開く前に、プログラムがファイルの中身を精査してくれる機能です。ファイルに悪意がある攻撃が含まれている場合、ファイルスキャンによって無効化や除去ができます。
標的型攻撃の訓練をする
標的型攻撃メールは従業員に訓練を日頃から実施しておくことも重要です。先述してきたセキュリティ対策を実施しても、従業員の手元に標的型攻撃メールが届く可能性はあります。セキュリティ対策ソリューションが強化されても、それをすり抜ける攻撃手法を仕掛けてくるためです。
よって社内システムを守るためには、最終的には従業員のセキュリティリテラシーがモノをいいます。標的型攻撃メールは「いつくるのか」「どんな攻撃がくるのか」わからないことが厄介な点です。ランダムなタイミングで訓練を実施し「本物の標的型攻撃メールがくるかもしれない」という意識を従業員の頭の中に入れておきましょう。
訓練については別記事で詳しく解説しているので、あわせてご覧ください。
HENNGE OneのCybersecurity Editionによる標的型攻撃対策
対策はいくつかあるものの、セキュリティ脅威を最小限にするためには、やはりシステムやツールを導入するのが、もっとも有効な手段といえます。
特に最近はメールを利用した標的型攻撃への対策が可能なツールが提供されており、HENNGEが提供するCybersecurity Editionとして提供するHENNGE Cloud Protectionはそのうちの一1つです。
HENNGE Cloud Protectionの主な特長としては、
- Microsoft 365対応
- サンドボックスで未知の脅威にも対応可能
- 侵害されたアカウントも検知
- DNSサーバーの設定が不要で簡単に導入できる
などがあり、自社の大切な情報基盤を脅威から守ります。
Tadrillなら標的型攻撃メール訓練ができる
HENNGE TadrillはHENNGE社が提供する標的型攻撃メールの訓練サービスです。
HENNGE Tadrillは標的型攻撃メールの訓練を実施するだけではありません。継続的かつ実践的な標的型攻撃メール対策訓練と、報告フローの定着を目指したサポートを利用可能です。HENNGE Tadrillの導入で、組織のセキュリティレベルの向上を実現します。
HENNGE Tadrillは以下の特徴を持つ標的型攻撃メールの訓練サービスです。
- 契約期間中は何度でも訓練を実施できる
- メールソフトにアドオンを導入し、報告フローを簡易化できる
- トレンドに応じた標的型攻撃メールのテンプレートを利用できる
HENNGE Tadrillは導入企業から、特にサポートについての評価が高いサービスです。訓練の結果を踏まえて、今後の方針の相談やアドバイスをさせていただきます。
まとめ
標的型攻撃メールは特定の企業や個人を対象として悪意のあるリンクやファイルをメールで送りつける攻撃です。攻撃者は攻撃対象から機密情報や情報の改ざんを目的として攻撃を仕掛けてきます。標的型攻撃メールは攻撃対象を絞っているため、どういった攻撃であれば引っかかるのか、を検討しやすいことが攻撃者にとってのメリットです。
日々多様化、巧妙化する標的型攻撃メールから組織の重要な機密事項を守るためには、機能性の高いソフト・ツールの導入が欠かせません。
メールセキュリティソフトの導入を検討しているなら、充実のサポート体制を誇り手軽に導入可能なHENNGE OneのCybersecurity Editionを検討してみてはいかがでしょうか。
