第1回：「標的型攻撃」の巧妙な手口

セキュリティ メール

日ごろから、会社のセキュリティ対策に、情シス担当者が多くの時間を割いているにも関わらず、ウイルス感染・不正アクセスといったセキュリティ事故は、後を絶ちません。 その理由のひとつに、「社員のセキュリティ意識」があげられます。 このシリーズでは、４回の連載を通し、頻発している不正アクセスの巧妙な手口をわかりやすくご紹介していきます。 ぜひ、社員のセキュリティ意識向上にお役立てください。

狙われる公開メールアドレス

近年、官公庁をはじめとする組織や、企業を狙ったサイバー攻撃が後を絶ちません。なかでも、巧妙な手口と言われているのが「標的型攻撃」です。

「標準型攻撃」とは、プロのサイバー集団が明確な目的を持って、特定の組織や企業を狙う攻撃のこと。一言で言い表すと「偽装メールと不正プログラムの組み合わせによる攻撃」ともいえるでしょう。

さて、「標的型攻撃」とは、いったいどのような攻撃なのでしょうか。

まず、メインの標的となるのは企業のメールアドレスです。特に、求人用や問い合わせ用など、ウェブ上に公開しているメールアドレスに対し、偽装メールを送りつける方法が常套手段となっています。

ユーザーが企業に連絡してくるためのメールは、窓口担当者として必ず開かなければいけないメールです。攻撃者はこの「必ず開かれる」ことを利用し、不正ファイルを送りつけるのです。

なかには、数回メールのやり取りをし、担当者を信用させてからウイルスファイルを送りつける場合もあり、この方法は「やり取り型」の標的攻撃（やり取り型攻撃）と言われています。

個人の業務用メールアドレスへの攻撃

企業の公開メールアドレスの次に狙われるのが「個人の業務用メールアドレス」です。個人の業務用メールアドレスは、たいてい公開されていません。それゆえ、「怪しいメールが送られてくるはずがない」と社員も油断しがちです。だからこそ業務用メールアドレスが標的になるのです。

業務用メールアドレスの弱点は、まず第一に「推測しやすい」という点。たとえば山田太郎という名前のメールアドレスであれば、「yamada.tarou＠企業ドメイン」というように、「氏.名＠企業ドメイン」または「名.氏＠企業ドメイン」などのルールによって作成されていることが多く、仮にルールが分からない場合でも、バリエーションはそう多くはないため、試そうと思えば全てを試すことも難しくはないでしょう。

それゆえ、攻撃者は、数打てば当たる戦法で、片っ端から試して攻撃してきます。

巧妙化する偽装メールの手口

「標的型攻撃」におけるメールの偽装は巧妙化しています。

たとえば、「メール本文の書き方」と「差出人名の偽装」という2つの側面を工夫して仕掛けられるため、簡単に偽装を見破ることが難しくなっています。

（1）偽装メール巧妙な手口　その１　―　メール本文の書き方

まず攻撃者は、官公庁や企業が配信するメールや、内部でやり取りされているメールを不正な方法で入手するところからはじまります。次に、入手したメールの一部を利用し、あたかも官公庁や企業が作成したメールかのように見せかけ、さらに、はじめから狙っているターゲットだけに送りつけるという方法です。このような偽装メールは、事前にターゲット（人物）を調べたうえで、件名や文面を作成しているため、見た目がとても自然で、一見偽装を見破るのは難しいものになっています。

その出来具合は、非常によくできており、実に巧妙と言えるでしょう。

（2）偽装メール巧妙な手口　その２　―　差出人名の偽装

企業のウェブサイトでは、会社概要のページや、企業沿革のページなどで、代表者や役員の実名が紹介されています。それらの人物が「差出人名」に表示されていたら、社員がメールを開封する確率は高くなるでしょう。

攻撃者は、フリーメールを利用する場合も、メールアドレスに、代表者や役員の実名を入れて作るため、社員がうっかりメールを開いてしまうという行為を安易に招いてしまうのです。

メールに添付される不正プログラムの巧妙化

メールに添付される不正プログラムもさらなる手口が見られるようになってきました。一時、「文書ファイルを開くソフトウェアが持つ脆弱性を利用し、不正なプログラムを実行させる」という手口が主流になっていました。しかし、最近では、実行ファイルそのものがメールに添付され、それが暗号化ZIPファイルというケースが増えてきているのです。

暗号化ZIPファイルでの配布が増えている主な理由として、次の2つが考えられます。

・圧縮されているためウイルスが検知されにくい

・暗号化が加わり企業のセキュリティシステム（ゲートウェイ）を通過する確率が高くなる

「標的型攻撃」のためのセキュリティ対策3つのポイント

「標的型攻撃」の巧妙な手口をご理解いただいたところで、次に、セキュリティを強化するための考えるべき3つのポイントをご紹介いたします。

（1）窓口担当者の脆弱性を徹底排除

求人や問い合わせなどのメールに対応する窓口担当者は、自分のパソコンにセキュリティソフトをインストールし、常に最新版にアップデートすることは基本的な対策ですが、それに加え、万が一、ウイルスにかかってしまった時に、直ちにインターネットから遮断するとか、直ちにパソコン自体を社内のネットワークから切り離せるようにしておくなど、事前の体制づくりが重要です。また、窓口担当者の人数を絞り、感染の入口を最小限に抑えることも対策の一つです。

（2）不審メールの報告と情報集約

攻撃者は、複数の窓口に連続的に攻撃を仕掛ける場合があります。そのような場合、社内での情報が共有されていれば、誰でも早い段階で不審なメールに気づくことができます。また、不審なメールに対し、社内で報告・共有するルール化や、それらの情報をとりまとめて管理する専任の担当者を配属することも重要です。

（3）万が一、ウイルスに感染した場合を考慮したセキュリティ対策

求人応募など、社外から受信するメールの任意の添付ファイルを開く必要がある場合など、万が一のウイルス感染を考慮し、社内ネットワークから隔絶された窓口専用のパソコンを配置することも対策の一つ。

そうすれば、もしウイルスに感染したとしても、被害はパソコン1台で済みます。

また、データが削除されたり、破損してもいいように、常ひごろからバックアップをとり、パソコンの中は最小限のデータしか保持しないなどの対策も考慮しましょう。

どのようなセキュリティ対策も、100％安心できるものはありません。

また、セキュリティ対策は、決して情シスだけの問題ではありません。

むしろ、社員一人ひとりのセキュリティ意識と協力が必要不可欠なのです。

ぜひ、会社全体で、セキュリティ対策を意識し、できるところから実行してみてください。

次回は、標的型攻撃の新しい手口として登場している「水飲み場型攻撃」について取り上げます。