いつもの業務メール? いいえ、攻撃メールなんです

「標的型攻撃」というキーワードを聞いても、漠然としたイメージしか沸かないという方が多いでしょう。標的型攻撃では、さまざまな経路からあなたの情報を収集し、ピンポイントであなたから会社の重要なデータを盗み取ろうと、攻撃者が画策しています。そこで、攻撃者がどのようなメールであなたを狙ってくるのか、実例を交えて解説します。

「標的型攻撃」に振り回された2015年

昨年は日本年金機構の事件を皮切りに、「標的型攻撃」というキーワードを頻繁に聞く年でした。

• 年金情報125万件がPCに保存、ウイルス添付メールを用いた標的型攻撃で流出

• 早稲田大学、3000人超の個人情報漏えいと不正侵入によるサイト改ざん被害

• JR北海道が標的型メール攻撃被害、個人情報漏えいは確認されず

世の中に広く知られるようになったこの標的型攻撃ですが、ニュースで話題になる官公庁や大企業だけが被害にあっていて、多くのみなさんにとって関係のない世界の話だと思っていないでしょうか?

攻撃者は、標的とする情報を窃盗するために入念に調べ、執拗に攻撃を繰り返します。実は、攻撃者が最終的に狙う相手が官公庁や大企業の情報だったとしても、攻略しやすいと判断すると、みなさんのPCへ最初に侵入し、"踏み台"とした上で、そこから感染を広げ、取引先などをたどって情報窃取を行っているのです。

標的型攻撃では、さまざまな手口が用いられています。中でもよく使われているものは、攻撃者が直接攻撃先のネットワークに侵入できる可能性が高い「電子メール」です。狙いすまして情報を窃盗しようとする標的型攻撃で使われるメールには、不審な点があまり見られず、専門家でも見破ることができないほど巧妙なものが多く存在しています。

しかし、そこまで巧妙なケースばかりでなく、専門家でなくても「攻撃が来るのではないか」と普段から意識していれば「怪しい」と気づけるケースも多々あるのです。いち早く誰かが気付くことで、その後の被害を最小限にできることもあります。

この連載では、実際の標的型攻撃でどのようなメールが使われたのかという例を示しながら、攻撃で使われるメールにはどのような特徴があり、どのような点に気が付けば攻撃メールに引っかからずに済むのかを解説していきます。

年金機構が被害にあったメールとは?

初回は、日本年金機構に送信されたと報告されている攻撃メールについて見てみましょう。

差出人:×× ×× xxxx@yahoo.co.jp
件名:厚生年金徴収関係研修資料
添付ファイル:厚生年金徴収関係資料(150331 厚生年金徴収支出(G)).lzh

○○ ○○様 いつもお世話なっております。 遅くなりましたが、先日、お話しした 第1回養成研修のときに使用した「研修のご案内」等のデータを 送付します。これらを参考にして、加工していただければと思います。 お忙しい中、ご負担をおかけしておりますが、何卒、よろしくお願いいたします。 何かありましたら、何なりとお問い合わせください。

(引用元)日本年金機構 不正アクセスによる情報流出事案に関する調査結果報告について
※○○部分にはメール受信者の氏名が入ります

あなたが日本年金機構の職員になったつもりで、このメールを見てください。メールの本文の書き出しにあなたの名前があり、研修に身に覚えがあれば、添付ファイルを開いて確認してしまうのではないでしょうか。

ポイントとなる点はいくつかありますが、今回は添付ファイルのみに注目してみます。標的型攻撃に利用されるメールにはファイルが添付されているケースが多く、その中でも実行ファイルとWordファイルなどのOffice系ファイルが多く見受けられます。

情報処理推進機構(IPA)のサイバー情報共有イニシアティブの2015年4月～6月、7～9月の報告を見てみますと、以下のような内訳となっていました。

4月～6月の報告では極端な例ですが、報告のすべてが実行ファイルでした。7～9月の報告では、さまざまなファイル形式が見られますが、実行ファイルが全体の30%を占めています。

「実行ファイル(.exe)なら怪しいから開くわけがない」と高をくくっている人も多いかと思います。それでは、実際にサンプルのメールの添付ファイルを見てみましょう。

実際にメールに添付されていたものが「厚生年金徴収関係資料(150331 厚生年金徴収支出(G)).lzh」、それを展開したファイルが「医療通知のお知らせ」でWordのファイルのように見えます。では、Windowsエクスプローラの表示を"詳細表示"に変更してみましょう。

このように、添付ファイルが「アイコンの見た目をWordファイルのように偽装した実行ファイル」であったことがわかります。人の先入観を利用してだまし、マルウェアを実行させようという手口なのです。

年金機構の例から見た、押さえておきたいポイント

最後に今回のポイントをおさらいしましょう。

• いかにも業務に関連しそうな文章や興味を引く文章、添付ファイルを急いで開かせようという文章

• メールの内容に関連するような添付ファイル名

• 添付ファイルを開かせるためのアイコン偽装など、手口が巧妙

いかがでしたか。今回は代表的な標的型攻撃の例を紹介しましたが、思わず引っかかってしまいそうだと感じられた方もいらっしゃるのではないでしょうか。

次回も具体的なメールを例に、人間の思い込みを逆手にとった"なりすまし攻撃"について解説していきます。

著者プロフィール

彦坂孝広(ひこさか・たかひろ)
NTTソフトウェア ビジネスソリューション事業部
アシスタントマネージャー

2002年入社。2003年よりNTTグループ企業の研究開発に従事し、2005年からNTTソフトウェアのメールセキュリティソリューション「CipherCraft/Mail」で暗号化や誤送信防止、標的型メール対策などメールセキュリティの開発全般に携わる。
あわせて、顧客企業の社外アクセス監視支援業務も担当。セキュリティの専門家として、サイバー攻撃に関する知見も備えている。