「標的型攻撃」というキーワードを聞いても、漠然としたイメージしか沸かないという方が多いでしょう。標的型攻撃では、さまざまな経路からあなたの情報を収集し、ピンポイントであなたから会社の重要なデータを盗み取ろうと、攻撃者が画策しています。そこで、あなたを狙う攻撃者がどのようにメールであなたを狙ってくるのか、実例を交えて解説します。

複合機を装う攻撃?

前回は、昨年後半に話題になりました実在の組織を騙ったなりすましメールの例に、どのように偽の情報を真実と思い込ませて、以下のようなポイントで攻撃を成功させようとしているかをご紹介しました。

  • 自然な日本語と実在の組織になりすまして内容に信憑性を持たせる
  • メールの差出人情報などは、簡単になりすませる。見た目が似たようなメールアドレス、フリーメールでも、実際の人名のようなアドレスで、正しい送信者からのメールと思い込ませる
  • 実行ファイル以外のファイルでも攻撃に利用される。アプリケーションのセキュリティ機能を無条件に無効にする癖をつけないように

今回も前回同様に、なりすましメールの話ですが、複合機からのFAXや、スキャナーからのメールになりすましたメールによる攻撃をご紹介します。

昨年後半には、前回紹介した架空請求のなりすましメール報告が相次ぎましたが、もうひとつ報告されていた事例が「複合機を装ったなりすましメールによる攻撃」です。警察庁からも、急増するばらまき型攻撃メールの1パターンとして注意喚起を行っています。

出典:「平成27年上半期のサイバー空間をめぐる脅威の情勢について」(警察庁資料より)

また、このような複合機を装った標的型攻撃のメールの増加から、複合機メーカー各社でも注意喚起を行っています。

皆さんの職場でも、ペーパーレス化の流れとともに紙の資料はスキャナー機能で取り込み、PDFやWordファイルに変換して管理するようになったり、FAXを紙で受け取るのではなく、複合機で自動的にPDFなどに変換して、メールで登録された社員のアドレスに一斉送信するようになったりしているのではないでしょうか?

この「PDFやWordに変換し、メールに送信する」という機能を利用した攻撃も、当然のことながら存在しているのです。少し前からある"なりすまし"の方法ですが、添付ファイルがあるのが普通で、「添付ファイルを開かないと中身が分からない」というメールの特性で、頻繁に攻撃が行われます。

では、まず実際に当社へ届いた攻撃メールを見てみましょう。

こちらの例の特徴を見てみましょう。

  • 件名がコニカミノルタの複合機を装った形式に
  • 差出人に表示されているメールアドレスが当社ドメインで、実際には存在しないメールアドレスを騙っている
  • 添付ファイルはWord形式(doc)に
  • メール本文がない

通常複合機からのメールにあるはずの本文がないなど、若干の不審な点は見られますが、もし複合機でスキャンしたようなタイミングで、このようなメールを受信したら、スキャンしたデータだと思い込んで、つい添付ファイルを開いてしまうのではないでしょうか? うっかりこのファイルを開くと、前回紹介した「Wordのマクロを利用した攻撃」が動作してしまいます。

ここまでの見た目でも若干の不審な点がありましたが、メールソフトでは通常表示されないメールヘッダの情報をチェックすると、本来、社内ネットワーク内から送信されてくるはずのメールが、社内ではなくWeb経由で送信されていたり、メールのなりすましを防止するための仕組みであるSPFでの認証に失敗していたりなど、ほかにも不審な点が見られました。こうした通常のメールを確認する上で気に留めないような不審な点についてもツールなどでチェックできると、何らかの気付きが得られるかもしれません。

先ほど紹介した例は、昨年6月頃に利用されたばらまき型攻撃メールですが、昨年10月にも同様の、さらに巧妙化した攻撃メールが多く確認されています。これについては、事例を交えて解説している記事があるのでご参照ください。

では、それ以前の複合機を装った攻撃メールにはどのようなものがあるのでしょうか。次の画像をご覧ください。

こちらのメールは少し古い例になりますが、複合機で受信したFAXを転送しているメールを装ったものです。こちらの例の特徴を見てみましょう。

  • 件名が富士ゼロックスの複合機を装った形式に
  • 差出人に表示されているメールアドレスが当社グループ会社のドメインで、実際には存在しないメールアドレスを騙る
  • 添付ファイルはzip形式で、その中身は実行ファイル(exe)で、アイコンをPDFに偽装している
  • 本文には複合機からのFAX受信を装った英文の文面に

昨年6月以前にも散見された"ばらまき型攻撃メール"ですが、3点目は連載1回目で紹介した年金機構への攻撃メールと同様に、ファイルの見た目を文書ファイルのように見せかけ、騙して実行ファイルを起動させようとしています。このようなファイルは、年金機構への攻撃をきっかけに大々的に報道されたことで、セキュリティを普段意識していない人にも認知が広がったかと思います。そのため、「攻撃に引っかかる人が減る」と攻撃者が考え、6月以降にWordファイルのマクロを利用した攻撃へと切り替えてきたのかもしれません。

今回は、前回紹介した実在の組織を騙ったなりすましメールと同時期に話題になった、複合機などからのメールを装った攻撃を取り上げました。複合機を装った攻撃メール自体は目新しいものではありませんが、数年前からのメールを見てみることで、攻撃者が騙しの手口を常に見直して成功するよう、変化し続けていることが分かります。

このように、似たような手口でも時流にあわせて手を変え、品を変え、騙しの手口を進化させてきます。攻撃者は攻撃を成功させるための努力を怠りません。みなさんも自分や、自分の周りの人を守るために「日々、自分にも新しい攻撃が来るものだ」という意識を持ってください。

次回は標的型攻撃の名前の由来にもなっている、標的に対してメールのやり取りをしながら、執拗に攻撃を繰り返す攻撃手法を紹介いたします。

著者プロフィール

彦坂孝広(ひこさか・たかひろ)
NTTソフトウェア ビジネスソリューション事業部
アシスタントマネージャー

2002年入社。2003年よりNTTグループ企業の研究開発に従事し、2005年からNTTソフトウェアのメールセキュリティソリューション「CipherCraft/Mail」で暗号化や誤送信防止、標的型メール対策などメールセキュリティの開発全般に携わる。
あわせて、顧客企業の社外アクセス監視支援業務も担当。セキュリティの専門家として、サイバー攻撃に関する知見も備えている。