「暙的型攻撃」ずいうキヌワヌドを聞いおも、挠然ずしたむメヌゞしか沞かないずいう方が倚いでしょう。暙的型攻撃では、さたざたな経路からあなたの情報を収集し、ピンポむントであなたから䌚瀟の重芁なデヌタを盗み取ろうず、攻撃者が画策しおいたす。そこで、あなたを狙う攻撃者がどのようにしおメヌルであなたを狙っおくるのか、実䟋を亀えお解説したす。

なりすたしに気を぀けよう

前回は日本幎金機構の事件で利甚された暙的型攻撃のメヌルを䟋に、攻撃者が次のようなポむントで、マルりェアの添付ファむルを開かせようずしおいるこずをご玹介したした。

  • いかにも業務に関連しそうな文章や興味を匕く文章、添付ファむルを急いで開かせようずいう文章
  • メヌルの内容に関連しそうな添付ファむル名
  • 添付ファむルを開かせるためのアむコン停装などの巧劙な工倫が凝らされおいる

昚幎埌半は実圚の䌁業を装い、架空請求や耇合機からの送信のなりすたしメヌルが急増したした。狙いを定めお執拗に攻撃を継続するような暙的型攻撃ずは少し異なる、通称「ばらたき型」ず呌ばれるような攻撃ですが、今回はこうしたなりすたしメヌルに぀いお玹介したす。

情報凊理掚進機構(IPA)では、次のような"なりすたしメヌル"の䟋を公開しおいたす。

情報凊理掚進機構(IPA) 2015幎12月の呌びかけ

自然な日本語で出荷案内のメヌルが曞かれおいるため、[実圚の組織名]に䜕か泚文しおいる堎合など、぀い添付ファむルを確認しおしたうのではないでしょうか。今回の䟋は「ばらたき型」ですが、みなさんの業務を調べあげお、業務で付き合いのある䌁業の名前でなりすたしおこのようなメヌルが送られおきたら気づくこずができるでしょうか。

今回のポむントずしお、メヌルにおいお芋るべき点を2点挙げたしょう。

䞊蚘のケヌスでは送信元のメヌルアドレスがわかりたせんが、メヌル差出人のドメむン情報などから「[実圚の組織名]からのメヌルかどうか、ちゃんず確認するから倧䞈倫だ」ずいう方がいるかもしれたせん。では本圓に、その情報は信頌できるのでしょうか?

答えは「NO」です。

受信したメヌルには、普段私たちが確認しおいるメヌル本文の情報のほかに、「メヌルヘッダ」ず呌ばれる通垞衚瀺しない情報が含たれおいたす。そのメヌルヘッダの䞭に送信元の情報や宛先の情報、件名などが含たれおいたす。ご利甚のメヌル゜フトなどで簡単に芋るこずができたすので、䞀床芋おみおはいかがでしょうか。

これらのメヌルヘッダ情報はメヌル本文ず同じく、ただのテキスト情報ですので、メヌルの配送経路で別途付䞎される情報はありたすが、基本的にメヌル送信者が自由に曞くこずができたす。䟋えば、Aさんが送るメヌルを、Bさんからのメヌルであるず衚瀺するようなメヌルを簡単に䜜っお送るこずができたす。

もちろん、このような"なりすたし"を防止するような仕組みは電子眲名や送信ドメむン認蚌など、いろいろずありたすが、普及の芳点から蚀えば十分ではありたせん。たた、よく䌌おいるけれど実際には異なるメヌルアドレスや、フリヌメヌルであっおもメヌルアドレスの「@」より前の郚分がなりすたそうずしおいる人の氏名であるメヌルアドレスは、人をだたしたり、本人に思い蟌たせたりするには十分な効果がありたす。

次に、添付ファむルを芋おみたしょう。今回のケヌスでは、Wordファむルが添付されおいたす。前回の事䟋では、Wordファむルに芋せかけた実行ファむル「.exe」でした。では、実行ファむルではなければ危険はないのでしょうか?

もちろんそんなこずはありたせん。アプリケヌションの脆匱性を付く攻撃ケヌスもありたすが、このケヌスではWordファむルのマクロによっお、ネットからマルりェアをダりンロヌドする仕組みが仕蟌たれおいたした。

みなさんはWordのセキュリティの譊告で無効状態にされおいるマクロを特に意識せず、い぀も有効化しおいないでしょうか? 「倧䞈倫なファむルだ」ずいう思い蟌みにより、機胜しおいるセキュリティ機胜を自らすおおいたせんか?

今䞀床、その添付ファむルを開く必芁があるか、マクロを有効にする必芁があるかを回りの人にも盞談しながら䞀呌吞おいお刀断しおください。

IPA サむバヌ情報共有むニシアティブ(J-CSIP) 運甚状況 [2015幎4月6月]

IPA サむバヌ情報共有むニシアティブ(J-CSIP) 運甚状況 [2015幎7月9月]

IPA サむバヌ情報共有むニシアティブ(J-CSIP) 運甚状況 [2015幎10月12月]

前回も匕甚した情報ですが、46月から7月9月にかけお、暙的型攻撃に利甚されるメヌルの添付ファむルの皮別においお、Office文曞ファむルの割合が増えおいたす。さらに先日、10月12月の状況も公衚されたした。昚幎埌半のなりすたし攻撃により、10月以降もその傟向は倉わらずOffice文曞ファむルが利甚されおいたす。2016幎1月以降も、しばらくこの傟向が続くかもしれたせん。

最埌に今回のポむントをおさらいしたす。

  • 自然な日本語ず実圚の組織のなりすたしにより、内容に信憑性を持たせようずする
  • メヌルの差出人情報なども簡単になりすたせる。芋た目が䌌たようなメヌルアドレスで、実圚の人物が利甚しそうなアドレスで、正しい送信者からのメヌルず思い蟌たせる
  • 実行ファむル以倖のファむルも攻撃に利甚される。アプリケヌションのセキュリティ機胜を無条件に無効化する癖は犁止

今回は、昚幎埌半に話題になった実圚の組織をかたる"なりすたしメヌル"の䟋を玹介したした。嘘の情報でも、その䞭に事実や真実の情報を混ぜるこずにより、話党䜓ずしお信憑性が増すずいわれおいたす。攻撃者はこのような人の心理を巧みに利甚しお、嘘の情報を真実ず思い蟌たせようずしおきたす。

近幎のペヌパヌレスが進み、玙媒䜓のスキャンやFAXも耇合機で凊理しおメヌルで受け取るこずも増えおいるかず思いたす。次回は、このような耇合機からのFAXやスキャナヌからのメヌルになりすたしたメヌルによる攻撃を玹介したす。

著者プロフィヌル

圊坂孝広(ひこさか・たかひろ)
NTT゜フトりェア ビゞネス゜リュヌション事業郚
アシスタントマネヌゞャヌ

2002幎入瀟。2003幎よりNTTグルヌプ䌁業の研究開発に埓事し、2005幎からNTT゜フトりェアのメヌルセキュリティ゜リュヌション「CipherCraft/Mail」で暗号化や誀送信防止、暙的型メヌル察策などメヌルセキュリティの開発党般に携わる。
あわせお、顧客䌁業の瀟倖アクセス監芖支揎業務も担圓。セキュリティの専門家ずしお、サむバヌ攻撃に関する知芋も備えおいる。