さまざまな企業や組織が、標的型攻撃メールによる被害を受けています。メールに添付された不審なファイルを開くことから感染するケースが多いようです。多くのIT担当者は「標的型攻撃メールの見分け方と見つけた際の対処方法を知りたい」と考えているのではないでしょうか。
本記事では、標的型攻撃メールの見分け方と対処方法について解説します。標的型攻撃の実態を理解し、さらなるセキュリティの向上を図るために、ぜひご一読ください。
目次
標的型攻撃メールとは
機密情報を盗み取ることなどを目的として、特定の個人や組織を狙う「標的型攻撃」が横行しています。標的型攻撃で攻撃者が送付する、不正なプログラムやURLが添付されているメールを「標的型攻撃メール」と呼ばれます、手口も複雑化しており、標的型攻撃メールの対策も複雑になっています。
標的型攻撃をより深く理解するためには、その感染経路を理解することが重要です。標的型攻撃の主な感染経路は下記の2通りです。
- 添付ファイルの実行
メールに添付されている添付ファイルを実行することで不正なプログラムが実行され、コンピューターウイルスに感染してしまいます。GmailやOutlookのメーラーの設定によっては、自動的に添付ファイルが実行される設定となっていることがあるため注意が必要です。 - ダウンローダーの実行
特定のWebサイトにアクセスするだけで、コンピューターウイルスに感染してしまいます。
標的型攻撃の基本的な知識については、「標的型攻撃とは?その種類や対策方法、攻撃の手順を解説」をご参照ください。
標的型攻撃メールの見分け方
標的型攻撃のメールとそうでないメールとは何が違うのでしょうか。これから説明する下記の4点を意識することで、見分けることが可能です。
メールの件名
まず、メールの件名に注目します。標的型攻撃のメールは受信者に怪しまれないよう、メールの件名部分を工夫しています。
例えば、メディアからの取材申込や講演依頼、求職者からの履歴書の送付など、自分の担当業務に関連する件名がつけられたメールです。
または、誤って送られたメールのように見せかけ、興味をそそる内容で開封させようとする場合もあります。例えば、議事録・演説原稿などの内部文書が添付されているようなメールです。
送信者
次に、送信者の名前やメールアドレスを確認します。メールの送信者名は、一見業務に関係のありそうな名称や実在する組織の名前に変えていることがあるため、メールアドレス部分を必ず確認しなければいけません。
標的型攻撃のメールはフリーメールアドレスから送信されている場合が多いため、注意が必要です。
メール本文
メールの本文を確認することも大切です。攻撃のメールは海外で作成・送付されるケースもあり、メール文章の日本語の言い回しが不自然な場合があります。
また、メールに貼られているURLがメール本文の記載内容と合致しない場合もあります。その場合、絶対にURLのリンクに触れないようにします。リンク先にアクセスしてしまうと、不正なプログラムが書き込まれたファイルのダウンロードや、閲覧するだけでコンピューターウイルスに感染する危険があるため注意が必要です。
添付ファイル
メールに添付されるファイルにも注意が必要です。
一見、文書ファイルのように見えても、拡張子を確認するとexeなどの実行ファイルだったり、ショートカットファイルだったりする場合もあります。
メールに添付されるファイルのアイコンをうのみにしないよう心がけましょう。
標的型攻撃メールへの対策
標的型攻撃メールへの対策について、「入口対策」と「出口対策」の観点に分けて紹介します。
入口対策
標的型攻撃によるコンピューターウイルスの侵入を防ぐための対策です。
- システムへの入り口と経路での防御
システムへの入り口と経路に対して、ファイヤーウォールやウイルス対策ソフト、侵入検知システム/防止システムを導入して防御することが重要です。
侵入検知や防止を行うための手段のひとつとして、ウェブルートが提案する「Webroot® Business Endpoint Protection」の導入をおすすめします。「Webroot® Business Endpoint Protection」を導入することで、パソコンやスマートフォンなどのエンドポイントからの侵入検知や防止が可能となり、セキュリティの向上を図れます。 - 脆弱性対策
OSやサーバーソフトウェアの脆弱性を突いた攻撃も多くみられます。そのため、OSやサーバーソフトウェアの脆弱性診断を定期的に実施します。また、Webサイトで使用しているOSやサーバーソフトウェアに関する脆弱性について最新の情報を収集し、修正プログラム(パッチ)をインストールしておくことも重要です。 - 標的型攻撃ルートでの対策
標的型攻撃の侵入経路に対しての対策も重要です。具体的には、スパムメールであるか否かを判断するためのスパムフィルターや、不正なURLが記載されているかどうかを判断するURLフィルターを用いて侵入経路を防ぎます。
また、メールからの侵入ではありませんが、USBメモリーのような外部メディアからコンピューターウイルスが侵入する場合もあります。外部メディアの利用規制や、万が一接続された場合に強制的にブロックする仕組みを導入することも大切です。
出口対策
コンピューターウイルスに感染した場合に、被害の拡大を防ぐための対策です。
- 端末間、他部署間のネットワーク通信の制限
標的型攻撃を受け、コンピューターウイルスに感染した場合を想定して、あらかじめ端末間、他部署間のネットワーク通信を制限しておくことが重要です。これにより組織内のまん延防止を図れます。 - データの暗号化
機密性の高い情報や個人情報は、暗号化して保存することも大切です。万が一標的型攻撃で侵入された場合でも、データが暗号化されていれば侵入者は重要な情報を読み解くことができず、情報を守ることができます。 - 組織内のネットワーク量の監視
異常を早期に検知し、ウイルスのまん延を早期に発見することも重要です。そのためには、アクセスログの収集やデータのトラフィック量に対して閾値(しきいち)を設けるなど、ネットワークを監視するための仕組みを導入することが大切です。不自然にトラフィック量が増加している場合は、不正なアクセスの可能性が考えられます。
標的型攻撃の事例を把握することも大切
メールによる標的型攻撃は、すでに国内外で多くの事例が報告されています。過去に発生した事例を見ると、感染の原因や対処方法について理解を深めることができます。過去の事例を把握して、自社での対策に役立てていくとよいでしょう。
国内外の標的型攻撃の事例については「標的型攻撃の国内と海外の被害事例と対策を紹介」をご参照ください。
標的型攻撃メールの特徴を知り万全の対策を講じよう
標的型攻撃は、メールに添付されたファイルやリンクから攻撃が開始されるケースが多くみられます。組織のたった1人のメンバーが不用意に添付ファイルを開封してしまったことから、企業の存続にかかわるような大きな事態へ発展する可能性もゼロではないのです。
紹介した標的型攻撃メールの見分け方や対策を参考に、ぜひ十分な感染対策を図ってください。また担当者だけではなく、組織のメンバー全員への周知徹底が重要です。