前回は、ランサムウェアの感染を狙った「ばらまき型メール攻撃」が増加している現状について解説しました。この攻撃はマルウェアを感染させるためのファイルを添付し、取得しておいた大量のメールアドレスに対して無差別にメールを送信しています。

巧妙化する”日本語”

「無差別に送るのであれば、自分に関係ないメールとして、受け手は本文を読まないのでは?」と思われるかもしれませんが、「請求書」や「荷物の出荷案内」「複合機からの通知」を装うメールが確認されています。これらは誰もがメールで受け取ったことのある内容ですし、中身を確認しようとして添付ファイルを開いてしまうこともありうるのです。

では実際に、マルウェア配布に使われたメールのサンプルを見てみましょう。

2015年12月14日に確認された不審メール例

これは昨年12月、物流会社を騙って送信されたメールです。添付のzipファイルには、パスワードなどの個人情報を盗み出すトロイの木馬が含まれていました。

件名や本文は、それぞれ意味こそ理解できる文章になっていますが、公式な文章としてはあまりにも稚拙です。特に「JAPAN POST取り扱い郵便局」や「JAPAN POSTジャパン」といった文言は、いかにも「外国人が『日本郵政』を機械翻訳のまま使用した」といった印象を受けます。加えて、住所の「〒492-#RANDONMUM(4)#」は、郵便番号を乱数で挿入しようとして失敗した形跡があります。

昨年のメールでは、このように明らかに不審な表現が多くあり、こうしたメールを無視して削除された方も多いかと思います。それでは今年に入ってから同じ手口でのメールを見てみましょう。

2016年6月28日に確認された不審メール例

このメールは、今年の6月と9月に大量にメールでばらまかれた情報搾取型マルウェアの送信に使われたメールです。添付されたマルウェアは、金融機関への認証情報を窃取し、不正送金するものでした。非常にこなれた文章で、文面だけでは不正なメールであると気づくのは難しいかもしれません。ただ、文中に
というhtmlタグが残っており、どこかの金融機関の文章をコピーして、流用していることを伺わせます。

2016年9月27日に確認された不審メール例

こちらも情報搾取型マルウェアの配布に使われたメールです。

差出人や受取人について言及されていないこと以外は、特に不自然な点はなく、このメールを受け取った人がたまたま注文書を受け取る状況にいた場合、思わず添付ファイルを開く可能性があるでしょう。

同じばらまき型メール攻撃であっても、わずか一年の間に日本語の文章がかなり大きく変容していることが見て取れます。これは、「日本が標的にされている」ことを如実に表している例と言えるでしょう。

マルウェア対策として「不審なメールに注意しましょう」という話が基本中の基本という認識が広まっています。もちろん、いかにもな「不審なメール」はまだまだ存在します。ただ、上の例のように「一見して不自然ではないメール」によるマルウェアばら撒きの攻撃が増加しているという状況を認識して、一層の注意を払わねばなりません。

ちなみに、メールに添付されたファイルを開くと、どのような情報が盗み取られるのかご存知でしょうか。一例が「キーロガー機能」を持つマルウェアです。

キーロガーはキーボードの入力を記録するため、例えば「ログイン情報」が入力した文字列からわかります。その情報に加えて、ブラウザのアクセス先や利用アプリケーションの情報なども時刻と一緒に記録し、外部のサーバー(C&Cサーバー)にまとめて送信します。

ブラウザでアクセスした場合に記録される例

対策方法は?

こうした攻撃への対策は、「添付ファイルを利用したメールのやりとりを控える」ことです。もちろん代替案が必要になりますが、「メール」は直接本人に届くため、開封リスクが高まります。これをなくすことで、リスクも減らせるわけです。

一例として、データのやりとりが必要であれば、添付ファイルでメールする代わりにファイル転送サービスを利用し、やりとりしているもの同士でないとそのファイルは手に入らない、開けないようにする運用にします。

ただ、こうしたファイル転送サービスを利用しているかのように偽装したフィッシングメールも届く可能性があります。その場合、騙されるリスクを減らすためには送信時、受信時でそれぞれの対応策が必要です。

例えば送信時は、サービスを活用してファイルを送る旨の事前連絡を行います。一方の受信時は、転送サービスのURL付きメールが唐突に送られてきた場合、相手に「サービスを利用して送付したか」を確認しましょう。多少の手間はかかるものの、この手間が「うっかり開いてしまう」というリスクを下げることに繋がります。

加えて、「自分以外の人にもメールを確認してもらいながら、ファイルを開く」ということも有効な対策です。業務上で開かなければならないファイルは、自分一人の判断で開くべきかどうかを判断する必然性はありません。周辺に相談してからファイルを開いてもいいのです。

もちろん、これらの作業は一般の業務を遂行する上で一手間も二手間もかかることに繋がります。そこで近年、社外からのファイルが添付されたメールの「添付ファイルを取り除く」という運用が増えています。「うっかり開いてしまう」ことを防ぐ措置であり、最近では「メール無害化サービス」としてこの運用をサポートする製品が登場しています。

このサービスを含めて、これらの対策をすぐに実行することは難しいかと思います。そこで重要となるのが、原点に立ち返って「ウイルス対策ソフトを利用する」ということです。

ウイルス対策ソフトは何かと「PCが重くなる」と言われますが、最近のウイルス対策ソフトはさまざまな改良が行われており、今回取り上げた脅威などにも対応すべく進化し続けています。

単なる「ファイル検査」以外にも、メモリ監視やふるまい検査、メールクライアントソフトとの連携、キー入力の暗号化による情報詐取への対策などがあり、あまり負荷をかけない状態で実行できます。機能を有効にすると、確かにパフォーマンスへの影響が「全くない」とは言えませんが、それ以上に「セキュリティを堅牢にする」というメリットがあるのです。

次回は、こうした外部からの脅威を許してしまった後でも、影響を最小化する「入口対策」「内部対策」「出口対策」について解説していきます。

著者紹介


石川 堤一 (いしかわ ていいち)
キヤノンITソリューションズ株式会社 基盤セキュリティ企画センター マルウェアラボ推進課長

約20年に渡りESET製品をはじめとした海外製品のローカライズ業務に携わり数多くの日本語版製品を世に送り出す。また、ウイルス感染やスパム対策、フィッシング被害のサポート業務にも従事。

現在はこれまでの経験を活かして、マルウェア情報局にて、国内で確認された新しい脅威に対するレポートや注意喚起などの啓蒙活動をはじめ、マルウェア解析サービスのマネージャーとしても活動中。