このページが表示された方へ
本ページは「標的型メール訓練 啓発ページ」です!!
あなたが開封またはクリックしたメールの添付ファイル/URLリンクはサイバー犯罪者によって送信された「標的型メール」を模した訓練メールです。
今回は、訓練メールでしたが、
これが本物の「標的型メール」だとしたら?
たった1通のメールを開いてしまったせいで、端末がマルウェアに感染し、そこから組織内に不正侵入、気付いたときは、組織内にマルウェア感染が拡大し、機密情報が窃取されていた……
そんなセキュリティインシデント(事故)が、日本国内でも数多く発生しています。
サイバー犯罪者の犯行手口、またそこで利用される標的型メールは年々巧妙化しているため、その手口や標的型メール(不審メール)を見分けるためのポイントを理解しておくことは、企業の機密情報を守るためにも事業継続のためにも、とても重要になります。
本ページでは、年々巧妙になる標的型メールの実態やそれら不審メールを見分けるためのポイントなどをご紹介しています。
いつ受信するか分からない「本物の標的型メール」に騙されないよう、以下で対策ポイントを確認しておきましょう。
本啓発ページの読了に必要な時間(目安):約30分
1. 標的型メール攻撃とは
従来の不特定多数に送信される不正メール(マルウェア感染を引き起こすような悪性メール)とは異なり、特定の組織や個人を狙って不正メールが送信される「狙い撃ち型」の攻撃です。
かつてのスパムメールのように、明らかに不審な文章や英語のメールではなく、 対象者の閲覧を誘発するよう巧妙な文章や騙しのテクニックが利用されます。
特定ターゲット(特定の組織、部門、担当者など)のために作成された「未知のマルウェア」が利用されることもあるため、従来のセキュリティ対策製品では検知できない可能性があります。
また、ターゲットを狙い撃ちしたユニークな攻撃であるため、攻撃の検知・発見が後手にまわり、組織内で被害が拡大するリスクもあります。
2. 注意すべきポイント
標的型メールにひっかからないためには、どのような点に気を付ければ良いのでしょうか。
| 着眼点 | NO. | 不審なポイント |
|---|---|---|
| メールのテーマ | ①-1 | 知らない人からのメールだが、メール本文のURLや添付ファイルを開かざるを得ない内容 |
| ①-2 | 心当たりのないメールだが、興味をそそられる内容 | |
| ①-3 | これまで届いたことがない公的機関からのお知らせ | |
| ①-4 | 組織全体への案内 | |
| ①-5 | 心当たりのない、決済や配送通知(英文の場合が多い) | |
| ①-6 | IDやパスワードなどの入力を要求するメール | |
| 差出人の メールアドレス |
②-1 | フリーメールアドレスから送信されている |
| ②-2 | 差出人のメールアドレスとメール本文の署名に記載されたメールアドレスが異なる | |
| メールの本文 | ③-1 | 日本語の言い回しが不自然である |
| ③-2 | 日本語では使用されない漢字(繁体字、簡体字)が使われている | |
| ③-3 | 実在する名称を一部に含むURLが記載されている | |
| ③-4 | 表示されているURL(アンカーテキスト)と実際のリンク先のURLが異なる(HTMLメールの場合) | |
| ③-5 | 署名の内容が誤っている | |
| 添付ファイル | ④-1 | ファイルが添付されている |
| ④-2 | 実行形式ファイル( .exe / .scr / .cplなど)が添付されている | |
| ④-3 | ショートカットファイル( .lnkなど)が添付されている | |
| ④-4 | アイコンが偽装されている | |
| ④-5 | ファイル名が不審である |
※IPA「標的型攻撃メールの例と見分け方」を参考に作成
標的型メールの例 )
社内のIT担当者を装ったソフトウェア更新案内
- 差出人:社内担当者のような表示だが送信元アドレスは「フリーメール」を利用
- 件 名:緊急対応を促すようなタイトル、また日常的にありそうな違和感のないタイトル
- 本 文:違和感のない日本語、URLや添付ファイルを開かせるような内容
- 署 名:存在しない組織名や部署名、または 実在する組織名・部署名を偽って記載
近年の標的型攻撃で利用されるメールの「件名」や「本文」は、標的となる組織や対象者にとって違和感のない内容で作りこまれているケースが多いため、不審メールであっても、メールの違和感に気付かず、攻撃者の罠にひっかかってしまうリスクがあります。
送信元アドレスに特に注意
件名や本文の内容だけではなく、メール受信の際に特に注意したいのは「送信元アドレス」です。標的型メール攻撃で送信される不審メールの7割以上は、送信元アドレス(Fromアドレス)にフリーメールが利用されています。
また、送信元アドレス(Fromアドレス)には、差出人名や、本文内の署名などと異なる組織のドメインが多用されます。日頃受信するメールでは、送信元アドレスの確認を特に気にするようにしましょう。
3. 様々な手法に注意
正規のメールへの返信を装う手口について
最近ではマルウェアEmotet(情報の窃取に加え、他のウイルスを媒介するマルウェア)の拡大により、正規のメールへの返信を装う手口が多発しています。これは、攻撃対象者(攻撃メールの受信者)が過去にメールのやり取りをしたことのある、実在の相手の氏名、メールアドレス、メールの内容等の一部が流用されており、正規のメールとの区別がつきにくくなっています。
ショートカットファイル(LNKファイル)に注意
これまでも添付ファイル型やURLリンク型のメールが攻撃手法として多く使用されていましたが、新しくショートカットファイル(LNKファイル)を悪用してEmotetへ感染させる手口も観測されております。このショートカットファイルをダブルクリックなどで開くとEmotetへ感染する恐れがあるため、充分な注意が必要となります。(図1参照)
日本語で書かれた新たな攻撃メールに注意
日本語で書かれた新たなEmotetの攻撃メールが確認されています。このメールは、請求書に関する具体的な指示が自然な日本語で書かれており、メール受信者に対応を促すことで、添付ファイルを開かせようとしています。添付されているExcelファイルは、これまでと同様に悪意のあるマクロが仕掛けられており、利用者に「コンテンツの有効化」ボタンをクリックさせることで、ウイルスに感染する仕組みです。改めて、「コンテンツの有効化」ボタンをクリックしないよう注意してください。(図2参照)
参考資料
4. 不審メールを受け取ったら
不審メールを受け取った、または不審メールの可能性が疑われる場合の行動指針は、以下が参考になります。
STOP(立ち止まって理解する)
インターネットは便利ですが、一般社会と同様、そこには危険もあります。どのような危険があるかを知り、解決策をどのように見つけるかについて、一旦、立ち止まって調べましょう。
THINK(何が起こるか考える)
様々な警告の見極め方を知る必要があります。警告を確認したら、これから取ろうとする行動がコンピュータやあなた自身の安全を脅かさないか考えましょう。
CONNECT(危険を理解して接続する)
危険を理解し、十分な対策をとれば、インターネットをより信頼できるようになるでしょう。
セキュリティ対策の基本にはなりますが、なにか怪しい、違和感を覚える、といった「普段と違う」を感じることは、脅威検知に重要なポイントです。上記の通り、STOP(立ち止まって理解する)、THINK(何が起こるか考える)、CONNECT(危険を理解して接続する) を意識して、インターネットを活用するようにしましょう。
ホウレンソウを徹底しよう
- 報告 (小さなことでもすぐに報告しよう!)
- 連絡 (同僚、部内、組織全体で脅威を共有しよう!)
- 相談 (違和感や不明点は、周りに相談しよう!)
また、不審メールや不審な添付ファイルを発見した場合、または不審と思われる事象に遭遇した場合は、必ず周りの人に相談し、迅速に組織で決められた対応窓口へ連絡しましょう。
当社におけるセキュリティ事故発生時の報告ルート
5. 強い組織を作るためには
一人一人の意識と行動力
情報共有
セキュリティに強い組織を作るための第一歩は、その組織に属する各人が組織を構成する一員であることを意識・自覚することから始まります。また、日頃の業務において、各自が違和感や不審感を覚えたり発見した際には、迅速にホウレンソウを実行し、組織の違和感や不審感として、組織の行動へと繋げることができるかが重要なポイントになります。
巧妙になるサイバー攻撃へ、組織として迅速な対処を推進するため、一人一人の意識と行動力が重要です。
サイバー攻撃への対処で最も大事なことは「情報共有」です。
参考資料
-
IPA テクニカルウォッチ 「標的型攻撃メールの例と見分け方」
(国立国会図書館インターネット資料収集保存事業) - 標的型攻撃への対策(総務省)
- 情報セキュリティ10大脅威 2023(IPA)
- Emotet(エモテット)関連情報(IPA)