悪質なメール開発は「オリジナル」からの「模倣」へ
今回は、メールを利用するみなさんをいつも悩ませる「迷惑メール(スパムメール)」「フィッシングメール」について触れていきます。
これらに対しては、新しいものが確認されればそれを追いかけ中身の調査を行い、危険性があることを確認されれば注意喚起などを繰り返している状況です。現在はそれらのメールにマルウェアを添付する、もしくはマルウェアをダウンロードするリンクを組み込むといった悪質なメールも多く見られるようになりました。
今年4月に確認されたものでは、大手メーカーらが実際に配信するメール本文などを模倣し、そこに偽の請求書を添付するものや偽URLを記載して不特定多数に送り付けています。
そして、受信したユーザーに対してその添付されたファイルを開かせてマルウェアに感染させる、もしくはフィッシングサイトや誘導するといった手口で国内ユーザーをターゲットにしたものが見られます。
代表的なものとして、次のオンラインショッピングサイトの例で見てみましょう。
 |
|
ネット通販からのメール配信を装ったメール(メールは筆者宛に届いたものをブラウザで表示) |
こちらは、実際に私宛に届いた偽物のメールです。このメールのケースでは、マルウェアを添付しているのではなく、本文中にあるリンクをクリックすると、マルウェアがダウンロードされるよう作られています。
大手のショッピングサイトを提供している実在企業ですので、読者の中でもプライベートで普段から利用されている方は、ついメールを読んで真に受けた方もいらっしゃるかと思います。しかし、それもやむを得ないと思います。実際にこのお店は存在しており、このお店が配信したオリジナルを模倣して作られているためです。
このメールからマルウェア感染までのフローを以下の図のようにまとめてみました。
 |
|
模倣メールを用いたマルウェア感染までの流れ一例 |
最初のトリガとなるメールですが、本文に書かれているリンクについても工夫がなされています。本文の張られているリンクはすべてマルウェアをダウンロードさせるURLにはなっておらず、本物のリンクも交えています。そして、重要なリンクのところだけがマルウェアのダウンロード先となっていました。
今回、この先のマルウェア感染以降について、以前にも解説させていただいておりますので、ここでは割愛します。(このマルウェアの活動特徴については、第2回でも取り上げていますのでそちらを参考にしてください)
本家メーカーではどのような注意を促しているか
このような事態が相次いでいる中、最も迷惑を被っているのは本物のサイト運営側になります。攻撃者によって勝手にメール内容を模倣されて、かつ自社プランドが犯罪に利用されている状況下において、各社このような装ったメールに対して注意喚起が相次いで案内しなければならない事態となっています。
これまでは、フィッシングによる犯罪手口のケースが主だったものでしたが、現在はメールを介してマルウェアもばらまかれており攻撃も多彩になってきています。
昨年からの傾向として、一律して「偽(不審な)メールに添付されたファイルは開かない」という文言がよく使われるケースが多かったのですが、2018年6月現在は冒頭から紹介している通りHTMLメールで送り付けるケースもあることから、「ドメインがあっている場合でも・・・」という見出しで、「リンクをクリックしてダウンロードされるファイルは開かない」とか「不明な添付ファイル(zip、pdfなど)は開かない」など、メールの利用もWebメールで利用するユーザーも増えていることから、注意すべき内容は増えてきています。
 |
|
偽メール配信に伴いメーカー側の注意喚起の一部より |
リンク先だけの判断はもはや難しい状況に
以前からよく注意喚起などで出てくる言葉として「不審な○○」とか使われてきましたが、まずオリジナルから完璧に模倣されると「見た目」の区別はメーカー側の注意喚起にも書かれている通り、大変難しくなります。
では、その受信してしまったメールに対して、利用者は本文やヘッダー情報を細かく確認して「不審なURLにアクセスしない」よう注意したところで、それが不審かどうかの判断させるのも酷な話だと思います。(ITリテラシー向上によいかもしれませんが)
さらに、メールマーケティングでもよく利用される「短縮URL」を活用してメール配信する場合は、必ずしも本文に書かれているURLが、必ずしもその企業や団体が持つドメイン(FQDN)をそのまま使っているとは限りません。
したがって、それらも含めて本物のアドレスはこうですので「だから注意してください」と促したとしても、その実例が2~3だけならばまだしも、数十~数百と増えて来たらとても覚えていられるわけにはいかないと思います。
不審なメールはどうやって情報を集めるべきか
自力で不審メールの見分けが難しければ、不審メールそのものを情報として取り扱い情報発信しているところがないかを知っておくことも必要です。そこで、一般の方でも利用できる情報収集に役立つサイトをご紹介します。
今回は、以下の3つをご紹介します。特に日本サイバー犯罪対策センターからの情報をご覧ください。読者の中でも「このメールはウチにも来たことがある」というものが出てくるはずです。
| 発信サイト | 概要 |
|---|---|
| 日本サイバー犯罪対策センター(JC3) 「犯罪被害につながるメール INDEX版」 |
件名、添付ファイルを中心にインデックス化されており、上記にて紹介した事例も掲載されています。 |
| 警察庁 @NPA_KOHO(公式ツイッターアカウント) | 日本サイバー犯罪対策センターで注意喚起されている内容などを常時ツイッターより発信されています。 |
| 内閣サイバー(注意・警戒情報) @nisc_forecast(公式ツイッターアカウント) | 警察庁のツイッターアカウントと同様に内閣サイバーセキュリティセンター(NISC)からも注意喚起されています。なお、こちらは注意喚起専用で発信されています。 |
まずは、この3つだけで十分に集められる状況になってきていますので、ホームページのブックマークとツイッターのフォローいただき、今後「ある従業員がうっかり不審メールを開いて感染したかもしれない」というようなインシデントが発生してしまった場合は、その不審メールとの照合に役に立つはずです。
なお、キヤノンITソリユーションズ「マルウェア情報局」ツイッターアカウント(@MalwareInfo_JP)からも注意喚起をしております。SNSツールの強みはプッシュで情報発信ができるところにありますので、うまく有効活用いただければ良いと思います。
ちなみに、上記で公表されている不審メール事例は、主に「ばらまき型メール攻撃」によるもので、同じメールが不特定多数の宛先へ送り付けられています。
したがって、「標的型攻撃」に使われているメールとも特徴が異なりますので、情報の捉え方にご注意ください。逆に、上記に載っていないメールだった場合は、それが標的型攻撃に使用されたメールかもしれませんので、その場合は速やかに警察へ相談してください。
著者紹介
 |
石川 堤一 (いしかわ ていいち)
キヤノンITソリューションズ 基盤セキュリティ企画センター マルウェアラボ マネージャー シニアセキュリティリサーチャー
約20年に渡りESET製品をはじめとした海外製品のローカライズ業務に携わり数多くの日本語版製品を世に送り出す。また、ウイルス感染やスパム対策、フィッシング被害のサポート業務にも従事。
現在はこれまでの経験を活かして、国内で確認された新しい脅威に対するレポートや注意喚起などの啓蒙活動や、キヤノンITソリューションズ運営の、より安全なインターネット活用のためのセキュリティ情報を提供する「マルウェア情報局」の記事執筆をするほか、マルウェア解析サービスのマネージャーとしても活動中。
