サイバー攻撃の手法として、近年増加しているのが「標的型攻撃メール」です。
かつては官公庁や大手企業がターゲットになっていましたが、昨今では中小企業もターゲットになっています。つまり、いつ自分が被害者になってもおかしくないのです。
今回は、大切な情報資産を盗まれないために、知っておきたいポイントを中心に「標的型攻撃メール」についてご紹介します。
目次
標的型攻撃メールとは?
悪質なプログラムを添付したり、不正サイトへのリンクを貼ったメールを送付し、それをクリックさせることでコンピューターやサーバーなどを乗っ取り、企業や組織の情報資産を盗み取るのが標的型攻撃メールの目的です。
受信者が不審がらないよう、業務に関係したメールのように偽装しているため、誤ってメールを開いてしまう被害が後を絶ちません。
以下のようなメールを受信したときは、注意が必要です。
・不可解な内容のメール
心当たりのない会社から「請求書」が届いたり、すでに緊急連絡網があるはずのに「当社では新しく緊急連絡網を整備することにしました」というメールが届いたり、会社のメールアドレスを登録していないカード会社からの連絡だったり、何か不可解な部分があるのが標的型攻撃メールです。
あまり意識せずに読むと流してしまうかもしれませんが、よく読むと違和感に気付くはずです。耳慣れない言い回しを使ったメールで、なおかつメール内にリンクがある場合は、標的型攻撃メールの可能性が高いです。
また、外国から送信されている場合が多いので、日本語の言い回しが少しおかしいなというような場合も要注意です。
・表示されているURLと異なるURLがリンクされている
表示されているURLとリンク先のURLが異なる場合も、標的型攻撃メールであるケースが多いです。URLの上にマウスを置いたときに、画面の左下などにリンク先のURLが表示される場合にはそれを見て確認できます。知っているドメイン以外のURLは開かないのが鉄則です。
また、スマートフォンの場合にはリンク先URLを表示できない場合が多いです。特に注意が必要です。
・送信元のアドレスのドメインがおかしい
送信元のメールアドレスもおかしい場合が多いです。ドメインが偽物のドメインだったり、フリーアドレスのものだったり、表示されているメールアドレスと実際のメールアドレスが違う場合もあります。送信元のアドレスのドメインが、本当にその相手がいつも使っているものなのかどうか、確認することが重要です。
標的型攻撃メールとは?巧妙化する手口と迷惑メールとの違い
標的型攻撃メールは、特定の企業や組織、個人を狙って送られる悪質なメールで、「標的型攻撃」と呼ばれるサイバー攻撃の一種です。攻撃者は、対象から機密情報や重要データを盗み出すことを目的として、メールにウイルスを仕込んだ添付ファイルをつけたり、不正なWebサイトへ誘導したりします。
特に厄介なのは、こうしたメールが一見すると日常的な業務連絡や実在する人物からのメールのように装われている点です。攻撃者は事前にターゲットの情報を調査し、実在の取引先や上司の名前を使ったり、過去のやり取りに似せた件名をつけたりして、受信者が不審に思わず開封するよう仕掛けます。
これにより、従来のスパムメールとは異なり、受信者が騙されて添付ファイルを開いたりリンクをクリックしてしまう確率が非常に高くなるのが、標的型攻撃メールの特徴です。
標的型攻撃メールと従来のメール攻撃の違い
メールを利用したサイバー攻撃は以前から存在していますが、近年ではより巧妙な「標的型攻撃メール」が増加しています。以下では、標的型攻撃メールと、従来型の迷惑メール・フィッシング詐欺との違いを比較します。
| 区分 | 標的型攻撃メール | 一般的な迷惑メール | フィッシング詐欺 |
| 目的 | 組織の情報資産の窃取や、ランサムウェアなど他の攻撃の起点となること | 個人情報や金銭の搾取 | 個人情報や認証情報の不正取得 |
| ターゲット | 特定の組織に所属する従業員など | 不特定多数のユーザー(無差別) | 何らかの手段で取得したメールアドレスの持ち主 |
| 手口の特徴 | ターゲットの業務や所属、取引先情報などを事前に調査し、実在の関係者を装って信頼を得た上で、マルウェアに感染させたり情報を盗み取る | 無差別に送信し、本文中のリンクや添付ファイルを通じて不正サイトに誘導し感染を狙う。内容は画一的で、反応した一部が標的となる | 実在の企業やサービス(金融機関・ECサイトなど)を装い、偽のログインページへ誘導してIDやパスワードなどを入力させる |
標的型攻撃メールの具体的な事例と注意点
標的型攻撃メールは、いつ・誰に送られてくるか分からないという点が非常に厄介です。内容は日常業務に即したものが多く、一見すると正規のメールと見分けがつかないほど巧妙です。以下のようなパターンが、実際に想定される典型例です。
想定される標的型攻撃メールの例
- 経理部門向け:「請求書送付のお知らせ」など、取引先を装って不正な添付ファイル(ZIP・Excelなど)を送りつける
- 人事部門向け:「履歴書の送付」など、求人応募者を装ってマルウェアを含んだファイルを添付
- 営業・調達部門向け:取引先担当者を装い、「発注内容の変更」や「納期調整」などを名目にファイルを開かせようとする
- 総務・庶務向け:省庁・自治体・税務署などの公的機関を装い、「手続きの不備通知」や「確認依頼」を騙るメール
- 全社員対象:Microsoft 365やGoogle Workspace、チャットツールなどの業務用サービスからの通知を装い、フィッシングサイトに誘導
誰もが標的になり得るという前提で対策に取り組む必要があります。
セキュリティ対策ソフトやフィルター機能だけでなく、従業員一人ひとりのリテラシー向上が不可欠です。
今日からできる標的型攻撃メールの対策4選
では、標的型攻撃メールの被害に遭わないために、私たちができる対策にはどんなものがあるでしょうか。
OSやアプリケーションを最新の状態に保つ
使用しているOSやアプリケーションに脆弱性が認められた場合、そこからあっという間にウイルスが侵入してしまいます。標的型攻撃メールへの対策として、もっとも基本的かつ簡単にできることとして、OSやアプリケーションを常に最新の状態に保つことが挙げられます。更新プログラムが届いたら、できるだけ早くアップデートすることを心掛けましょう。
従業員に対して、標的型攻撃メールの教育や訓練を行う
ウイルスソフトを導入し、メール設定を行っていたとしても、標的型攻撃メールが従業員の手元に届いてしまう可能性は十分に考えられます。通常のメールと見分けがつかないような標的型攻撃メールも増えているため、結局のところ、人の手で防衛するという意識を従業員全員が持つ必要があります。
不審なメールの特徴を共有し、万が一そのようなメールを受信してしまった場合、どのように対応すべきかを、日頃から周知徹底しておくようにしましょう。
テキストメール表示にする
標的型攻撃メールは、本文中のファイルやリンクを開いてしまうことによってウイルスに感染する仕組みです。つまり、ファイルやリンクを開かなければ、ウイルスの脅威に晒される心配はありません。
メールソフトの設定を「Webメール表示」ではなく、「テキストメール表示」にしておくことで、誤ってクリックをしてしまったり、タッチスクリーンで操作をしている際に思いがけず触れてしまったりすることができます。全ての場合でテキストメール表示にできるわけではありませんが、可能な限りテキストメール表示にすることで、メール本文のリンクを無効化することは、標的型攻撃メール対策としてとても有効です。
厳重なメールチェック
受信したメールは容易に信頼せず、厳重なチェックが必要です。。件名から本文内のリンク、添付ファイルに至るまでしっかり確認し、被害を未然に防ぐようにします。
開封前
- 件名・差出人
- 身に覚えのある内容かどうか
- 差出人のアドレス(閲覧可能なメーラーあり)
- 既にやりとりのある相手かどうか
- メールアドレスのドメインは不正なものでないか
- 覚えのないフリーメールアドレスからの受信ではないか
本文
- URLリンク
- リンクの記述とジャンプ先のURLは同一か
- ジャンプ先のURLは信頼できるドメインか
- 署名内容
- 署名の相手は実在する相手か
- 電子署名による確認が可能か
添付ファイル
- ファイル形式
- .exe、.scrなどの実行ファイル形式ではないか
- .zipなどの圧縮ファイル形式ではないか
- アイコン・拡張子
- 異なる形式のものに偽装されていないか
- ショートカットアイコン
- .lnk形式のファイルではないか
新世代のAI型ウイルス対策ソフトを導入する
標的型攻撃メールの本当に恐ろしいところは、新しいウイルスを自分たち専用に作成して送りつけてくる場合があることです。既存のウイルス対策ソフトは、パターンファイル方式といって、他社に送付されたウイルスを収集し、そのパターンを各パソコンに配信することで警告を出す仕組みになっています。ですから、自分たち専用に作成された新しいウイルスに対しては、全く効力がありません。
新世代のAI型ウイルス対策ソフトは、パターンファイル形式ではなく、そのファイルそのものをAIが認識して、ウイルスかどうかを判断しますので、自分たち専用に作成された新しいウイルスであっても検知できる可能性が高いのです。価格もこなれてきていますので、ぜひ新世代のAI型ウイルス対策ソフトの導入をご検討ください。
標的型攻撃メールの特徴
リンク先がおかしいURL
メールに記載されたURLリンクには、マルウェア感染のリスクがあるため、細心の注意が必要です。特に、表示されているリンク先と実際のリンク先が異なる場合は非常に危険です。
リンクの安全性を確認する方法はありますが、誤ってクリックすると重大な被害を招く恐れがあるため、リンクには基本的に触れないことが最善です。調査が必要な場合は、リンクをクリックせず、URLをコピーして安全に確認するよう心がけてください。また、URLのドメインが正規のものであるかを確認することも重要です。
不自然な日本語・フォント
日本語として不自然な表現や、日本語にない文字やフォントが使われているメールには注意が必要です。不自然な日本語の言い回しや、中国語(繁体字や簡体字)が混じっている場合、あるいは英語や特殊な文字が含まれるメールは、日本人が作成したものではない可能性が高いため、警戒しましょう。
こうした特徴は、多くの攻撃メールが海外から送られて来ている場合に多く見られます
心当たりのない送信元からのメール
実在の組織や人物を差出人として装ったメールは、標的型メールと判断しにくい場合があります。しかし、差出人情報を詳しく確認するれば、不審な点を見抜けることもあります。
- 知らない人物からのメール
- 内容に心当たりがないメール
- フリーアドレスからのメール
- 署名内容の誤り
業務内容や所属部署によって異なる場合もありますが、基本的には上記に注意しましょう。
取引先や関連企業からのメールであっても、知らない人物からの突然の連絡や、身に覚えのないメールには警戒が必要です。また、署名の内容に不審な点がある場合も注意を払いましょう。たとえば、架空の組織名や電話番号が記載されている、差出人のメールアドレスと署名内のアドレスが一致しないといった場合は、疑わしいメールである可能性があります。
興味を引き、開封をうながす件名
標的型攻撃メールでは、受信者の興味を引き、思わず開けたくなるような件名を使う手口がよく見られます。ソーシャルエンジニアリングの手法を活用し、受信者が関心を持ちそうな内容や業務関連の情報を調べた上でメールを作成している場合もあります。
ただし、自部門や担当業務の特性によっては判断が難しいこともあるため、業務内容や他の識別ポイントも考慮して慎重に判断する必要があります。
- 【緊急】【重要】【至急】などと記載のある件名
- 外部との対応業務に関連する件名
- 求人関係の問い合わせ・履歴書送付
- 自社製品に関する問い合わせ・クレーム
- 取材依頼やイベント招待
- 荷物の配送
- 組織全体を対象とする文書類
- 資料の再送や差し替え
- 人事情報、事業方針
- 本文中で添付ファイルの開封やURLへのアクセスを強く促している
あやしい添付ファイルなど
メールに添付ファイルがある時点で慎重な取り扱いが必要です。また、文書ファイル形式でないアイコン型のファイルについても注意します。
- 実行ファイル(「exe」「scr」等)の添付)
- ショートカットファイルの添付(「lnk」など)
- アイコンの偽装
- ファイル拡張子の偽装
一見すれば単なる文書ファイルでも、RLO偽装などによって拡張子が偽装されていて実はマルウェアが含まれたファイルである、ということもあります。警戒しておきましょう。
もし標的型攻撃メールを開いてしまったら…?
どんなに注意をしていても、標的型攻撃メールを開いてしまう方は少なくありません。もし誤って標的型攻撃メールを開いてしまった場合、どんな対応をとればいいのかという点についてもご紹介しておきます。
・メールを開封しただけの場合
メールを開封しただけで、リンクや添付ファイルをクリックしていない場合は、大きな問題にならないと考えられます。念のため、システム担当者へ報告しておきましょう。
・リンクや添付ファイルをクリックしてしまった場合
メールを開封しただけではなく、リンクや添付ファイルをクリックしてしまった場合には、システムがウイルスに感染している可能性があります。被害が拡大しないよう、パソコンをネットワークから切断してください。
すぐにシステム担当者に連絡してください。その指示に従って動きましょう。
いずれの場合でも、気付いたときに素早く対応するという点がポイントです。
標的型攻撃メールの手口は巧妙化していますが、正しい知識を持っていれば被害を防止できます。
標的型攻撃メール演習のご相談ならオプティマ・ソリューションズへ!
弊社はプライバシーマーク/ISMSの認証取得のコンサルティングを提供しており、創業から20年間で3,500件を超える支援を行ってきました。その中で培ったノウハウを活用して、標的型攻撃メール演習のサービスも提供しております。
標的型攻撃メール演習をご検討される事業者様はぜひ、お気軽にご相談下さい。
