「標的型攻撃」というキーワードを聞いても、漠然としたイメージしか沸かないという方が多いでしょう。標的型攻撃では、さまざまな経路からあなたの情報を収集し、ピンポイントであなたから会社の重要なデータを盗み取ろうと、攻撃者が画策しています。そこで、あなたを狙う攻撃者がどのようにしてメールであなたを狙ってくるのか、実例を交えて解説します。

なりすましに気をつけよう

前回は日本年金機構の事件で利用された標的型攻撃のメールを例に、攻撃者が次のようなポイントで、マルウェアの添付ファイルを開かせようとしていることをご紹介しました。

  • いかにも業務に関連しそうな文章や興味を引く文章、添付ファイルを急いで開かせようという文章
  • メールの内容に関連しそうな添付ファイル名
  • 添付ファイルを開かせるためのアイコン偽装などの巧妙な工夫が凝らされている

昨年後半は実在の企業を装い、架空請求や複合機からの送信のなりすましメールが急増しました。狙いを定めて執拗に攻撃を継続するような標的型攻撃とは少し異なる、通称「ばらまき型」と呼ばれるような攻撃ですが、今回はこうしたなりすましメールについて紹介します。

情報処理推進機構(IPA)では、次のような"なりすましメール"の例を公開しています。

情報処理推進機構(IPA) 2015年12月の呼びかけ

自然な日本語で出荷案内のメールが書かれているため、[実在の組織名]に何か注文している場合など、つい添付ファイルを確認してしまうのではないでしょうか。今回の例は「ばらまき型」ですが、みなさんの業務を調べあげて、業務で付き合いのある企業の名前でなりすましてこのようなメールが送られてきたら気づくことができるでしょうか。

今回のポイントとして、メールにおいて見るべき点を2点挙げましょう。

上記のケースでは送信元のメールアドレスがわかりませんが、メール差出人のドメイン情報などから「[実在の組織名]からのメールかどうか、ちゃんと確認するから大丈夫だ」という方がいるかもしれません。では本当に、その情報は信頼できるのでしょうか?

答えは「NO」です。

受信したメールには、普段私たちが確認しているメール本文の情報のほかに、「メールヘッダ」と呼ばれる通常表示しない情報が含まれています。そのメールヘッダの中に送信元の情報や宛先の情報、件名などが含まれています。ご利用のメールソフトなどで簡単に見ることができますので、一度見てみてはいかがでしょうか。

これらのメールヘッダ情報はメール本文と同じく、ただのテキスト情報ですので、メールの配送経路で別途付与される情報はありますが、基本的にメール送信者が自由に書くことができます。例えば、Aさんが送るメールを、Bさんからのメールであると表示するようなメールを簡単に作って送ることができます。

もちろん、このような"なりすまし"を防止するような仕組みは電子署名や送信ドメイン認証など、いろいろとありますが、普及の観点から言えば十分ではありません。また、よく似ているけれど実際には異なるメールアドレスや、フリーメールであってもメールアドレスの「@」より前の部分がなりすまそうとしている人の氏名であるメールアドレスは、人をだましたり、本人に思い込ませたりするには十分な効果があります。

次に、添付ファイルを見てみましょう。今回のケースでは、Wordファイルが添付されています。前回の事例では、Wordファイルに見せかけた実行ファイル「.exe」でした。では、実行ファイルではなければ危険はないのでしょうか?

もちろんそんなことはありません。アプリケーションの脆弱性を付く攻撃ケースもありますが、このケースではWordファイルのマクロによって、ネットからマルウェアをダウンロードする仕組みが仕込まれていました。

みなさんはWordのセキュリティの警告で無効状態にされているマクロを特に意識せず、いつも有効化していないでしょうか? 「大丈夫なファイルだ」という思い込みにより、機能しているセキュリティ機能を自らすてていませんか?

今一度、その添付ファイルを開く必要があるか、マクロを有効にする必要があるかを回りの人にも相談しながら一呼吸おいて判断してください。

IPA サイバー情報共有イニシアティブ(J-CSIP) 運用状況 [2015年4月~6月]

IPA サイバー情報共有イニシアティブ(J-CSIP) 運用状況 [2015年7月~9月]

IPA サイバー情報共有イニシアティブ(J-CSIP) 運用状況 [2015年10月~12月]

前回も引用した情報ですが、4~6月から7月~9月にかけて、標的型攻撃に利用されるメールの添付ファイルの種別において、Office文書ファイルの割合が増えています。さらに先日、10月~12月の状況も公表されました。昨年後半のなりすまし攻撃により、10月以降もその傾向は変わらずOffice文書ファイルが利用されています。2016年1月以降も、しばらくこの傾向が続くかもしれません。

最後に今回のポイントをおさらいします。

  • 自然な日本語と実在の組織のなりすましにより、内容に信憑性を持たせようとする
  • メールの差出人情報なども簡単になりすませる。見た目が似たようなメールアドレスで、実在の人物が利用しそうなアドレスで、正しい送信者からのメールと思い込ませる
  • 実行ファイル以外のファイルも攻撃に利用される。アプリケーションのセキュリティ機能を無条件に無効化する癖は禁止

今回は、昨年後半に話題になった実在の組織をかたる"なりすましメール"の例を紹介しました。嘘の情報でも、その中に事実や真実の情報を混ぜることにより、話全体として信憑性が増すといわれています。攻撃者はこのような人の心理を巧みに利用して、嘘の情報を真実と思い込ませようとしてきます。

近年のペーパーレスが進み、紙媒体のスキャンやFAXも複合機で処理してメールで受け取ることも増えているかと思います。次回は、このような複合機からのFAXやスキャナーからのメールになりすましたメールによる攻撃を紹介します。

著者プロフィール

彦坂孝広(ひこさか・たかひろ)
NTTソフトウェア ビジネスソリューション事業部
アシスタントマネージャー

2002年入社。2003年よりNTTグループ企業の研究開発に従事し、2005年からNTTソフトウェアのメールセキュリティソリューション「CipherCraft/Mail」で暗号化や誤送信防止、標的型メール対策などメールセキュリティの開発全般に携わる。
あわせて、顧客企業の社外アクセス監視支援業務も担当。セキュリティの専門家として、サイバー攻撃に関する知見も備えている。