IT記者の目線

「標的型攻撃」の被害者とならないために、いま企業がすべきこととは?

2015年6月、「標的型攻撃」という言葉が連日テレビから流れ、ITやインターネットに詳しくなかった人にも、その手口の存在が知られるようになりました。そのきっかけとなったのが、日本年金機構の個人情報流出事件。情報が流出したと言われる125万人の中に、自分が含まれているのではないかという危惧からか、問い合わせ対応として設置された専用電話窓口には、その開設初日から4日間で約26万件の相談があったとされています。このように、多くの人が“自分の情報が誰かの手に渡ってしまったかもしれない”という「被害者」の立場で知った標的型攻撃という手口ですが、“自分もいつか職場で標的型攻撃のメールを開いてしまうかもしれない”という危惧を抱いた人は、果たしてどれだけいたでしょうか?

2016年09月20日
石田 淳一

石田淳一

標的型攻撃メールは他人事なのか?

残念なことに今年になっても、標的型攻撃メールを受信し開封したことによって、膨大な個人情報が流出するという事件が起きてしまいました。2016年6月にJTBで発覚した事件では約678万人分の個人情報が流出し、数千件に及ぶ有効期限内のパスポート番号が含まれていました。ここでは、このケースをもとに標的型攻撃メール受信の状況と注意すべきポイントを紹介していきます。

 

今回の事件の始まりは2016年3月だったと見られています。JTBの子会社で、旅行商品をインターネットで販売するi.JTB(アイドットジェイティービー)が受信した、問い合わせメールにその標的型攻撃メールが紛れ込んでいました。このメールアドレスはWebサイト上に問い合わせ先として公開しているもので、誰でも知ることができるものです。このアドレスには日々、航空会社などからの問い合わせが届き、オペレーター250人が対応していました。

 

今回のメールは「航空券控え添付のご連絡」という内容で、これまで取引があった航空会社系列の販売会社のドメインを表示していました。送信元の署名もあり、実在する取引先の会社名、部署名、そして担当者名のものだったと言います。メールに添付されていたファイルは、オンライン発行での航空券「eチケット」のPDFファイルを圧縮したもので、日常の業務内容として違和感のないものでした。この圧縮ファイルを開封したオペレーターは、eチケットに表示された名前を確認しましたが、申し込み履歴がなかったため、該当者がいない旨の返信をしています。しかし、この返信メールはエラーとして戻ってきていたようです。

 

 

標的型攻撃メールを疑うポイント

サイバー攻撃の情報共有を行う「サイバー情報共有イニシアティブ(J-CSIP)」の報告によると、標的型攻撃に使われていたメールの種別は、添付ファイル付きが94%に上ることがわかりました。

 

サイバー情報共有ニシアティブ(J-CSIPCSIP ): 運用状況[201201 6年 4月~ 6月]

サイバー情報共有ニシアティブ(J-CSIPCSIP ): 運用状況[201201 6年 4月~ 6月]

 

添付ファイルを開封する前に、ファイルの拡張子・種類を表示させて確認することで、不審なファイルか否かを確認することができます。

 

J-CRAT標的型攻撃メールの傾向と事例分析 2015年5月「添付ファイルの例」

J-CRAT標的型攻撃メールの傾向と事例分析 2015年5月「添付ファイルの例」

 

今回のケースのように、標的型攻撃メールの送信元アドレスが実在するもので、かつ内容が日常業務に沿ったものであった場合には、添付ファイルに疑いの目を向けることは難しいかもしれません。しかし、ある調査によると標的型攻撃メールで実在組織のメールアドレスが使用されていたケースは13%とされており、添付ファイルが偽装されていないかどうかを確認することはやはり重要でしょう。

 

また今回は標的型攻撃メールに返信していますが、送信エラーになっていることも気になる点です。送信エラーになった場合、送信者にはその旨のメッセージが届くはずですが、その時点で不審に気づけば、相手に電話をして確認するなど、事件はもっと早く明るみに出たかもしれません。

 

 

標的型攻撃メールへの基本的な対策とは

標的型攻撃メールは、受信者に疑問を持たせずにメールを開封させるよう、巧妙な騙しのテクニックが使われています。

 

一つ目は、日常業務に関連した件名や添付ファイル、メール本文を使用する手口です。業務として違和感のない件名であれば、受信者は疑うことなくメールを開くことでしょう。

 

次は、緊急性が高いと思わせる件名です。例として東日本大震災と福島第一原子力発電所の事故に便乗して送信されたメールが挙げられます。

 

「東日本大震災に乗じた標的型攻撃メールによるサイバー攻撃の分析・調査報告書」(出所:IPA)

「東日本大震災に乗じた標的型攻撃メールによるサイバー攻撃の分析・調査報告書」(出所:IPA)

 

このように多くの人が関心を寄せていた“放射線”を件名に使用するなど、早急にメールを開封したくなる人間の心理を突く手口は「ソーシャルエンジニアリング」と呼ばれています。また夏休みや年末年始などの長期休暇の後は、溜まってしまった多くのメールを開封する必要に迫られます。これによって注意が疎かになることから、攻撃者が狙いやすい時期と言えます。

 

このほかにも、取材を希望するメールや求人に対する質問、製品などに関する問い合わせなど、添付ファイルを開かざるを得ないと思わせる内容を記載して送信してくるものもあります。

 

いずれの手口も、コンピュータウイルス付きのメールです。OSやアプリケーションのアップデート、セキュリティソフトを最新の状態にしておくことが基本の対策となります。またファイアウォールのフィルタリングルールを見直すことも必要でしょう。アプリケーションの多くはウェブプロキシを経由した通信に対応しています。このため、フィルタリングルールを見直し、すべてウェブプロキシを経由した通信にするなど、ネットワークの設計も重要です。これによって、ウェブプロキシに対応できていないマルウェアの通信を検知しやすくなります。 

 

 

「情報」を守る人

独立行政法人情報処理推進機構(IPA)では、標的型攻撃メールへの備えの一つとして、従業者に対する教育を挙げています。 

 

これまで見てきたように、従業者が巧妙な攻撃の手口を見破ることは容易ではありません。だからこそ、「特別なものを見つける」のではなく、「常日頃から警戒してメールを開く」という意識が大切になってきます。従業者に対して行う教育に利用できるコンテンツをIPAが公開しているので紹介します。

 

①情報セキュリティ啓発動画「そのメール本当に信用してもいいんですか? -標的型サイバー攻撃メールの手口と対策-」
https://www.ipa.go.jp/security/keihatsu/videos/20160331-2html
10分程度で見ることができるこのドラマでは、標的型攻撃メール訓練中の企業を舞台に、社員がうっかり開いてしまうメールの手口と、その対策について説明をしています。

 

②IPAテクニカルウォッチ「標的型攻撃メールの例と見分け方」
https://www.ipa.go.jp/security/technicalwatch/20150109.html
注文書送付のメールやセキュリティに関する注意喚起のメールなど、実際の標的型攻撃メールを例に、その見分け方を解説したレポートです。

 

標的型攻撃メールを対策するための製品やサービスは、ファイアウォールやウイルス対策などの「入口対策」、攻撃を許してしまったとしても情報を漏えいさせないための「出口対策」を行うソリューションが、セキュリティベンダーから出ています。しかしセキュリティ対策に100%完璧なものは存在しません。なぜなら、それを利用する人のヒューマンエラーがゼロにはならないからです。

 

さらに攻撃者は、その手法を日々変化させています。手口を知り、さまざまな事例を教訓にして警戒することが、より強固な対策の一歩となるのではないでしょうか。

 

石田淳一

石田淳一/Junichi Ishida

ブログメディア「Publickey」( http://www.publickey1.jp/ )運営者

プログラム開発の経験をもとにコンピュータウイルス対策の重要性に着目し、1993年よりセキュリティ業界にて営業・企画・経営に携わる。ウイルス対策メーカーおよびセキュリティコンサルティング企業での営業部長、生体認証の上場企業役員を経て、2007年に株式会社アールジェイを設立・代表取締役就任。国内大手企業へのセキュリティコンサルティングサービス、全国各地での中小企業・教育機関などへのセキュリティセミナーを実施している。