「日常業務に潜むセキュリティの脅威」 
標的型攻撃メール編 「あなたを狙う 標的型攻撃メール ~ 狙いを定められたらもうおしまい!?」

2012/01/20

本コラムでは、会社など身の回りで起きる身近な情報セキュリティ事故について、最近話題になっている情報セキュリティの事件・事故を紹介し、被害を最小限に抑えるための対策を解説します。 今回は、最近メディアを賑わせている話題の「標的型攻撃メール(標的型攻撃)」といわれている事件を取り上げます。

■そもそも「標的型攻撃」って何のこと?
「標的型攻撃」とは、企業や個人の情報を盗みとるため、特定の相手(企業組織や社員)をメール等の手段で狙う攻撃のことです。一説には、2003年頃から登場したと言われていますが、その当時は表立って公表される機会も少なく、あまりクローズアップされませんでした。しかし、年々増え続ける傾向にあり、日常業務のメール等の利用において注意する必要が あります。 http://www.meti.go.jp/committee/kenkyukai/shoujo/cyber_security/report01_02_01.pdf
(経済産業省:サイバーセキュリティと経済 研究会 報告書 中間とりまとめ P12)

【上図 参考】(2)標的型サイバー攻撃の増加

この「標的型攻撃」は、APT(Advanced ”高度で” Persistent ”執拗な” Threats ”脅威”の)攻撃* と呼ばれることもあります。

*APT攻撃とはサイバー攻撃手法の一つ。特定組織や個人をターゲットとして、様々な攻撃手法を組み合わせて、執拗で継続的に攻撃する手法のこと。
この攻撃の代表的な手段として、「標的型攻撃メール」という手段があります。それは、(標的を絞った)特定の相手に対しウイルス付きの添付ファイルや、ウイルス感染させるホームページへのURLを記載したメールを送り、メール受信した相手を巧みに騙して、目的の情報資産(企業の機密情報や個人情報)を盗み出す手段のことをいいます。

■「標的型攻撃メール」の事例について
前述した「標的型攻撃メール」の事例として、個人の情報(銀行口座番号や暗証番号等)を標的とした事例および、企業の情報資産(機密情報)を標的とした事例を以下にあげます。

【事例1】国内銀行でのネットバンキング不正送金について
今年(2011年)の春頃から国内銀行のネットバンキングにおいて、”なりすまし”による金銭の窃取事件(不正送金事件) が発生しています。 これは、個人のネットバンクの口座から不正に現金を引き出されて(送金されて)いた事件です。

    < 事件の概要 > この事件では、まず攻撃者が攻撃メールを送信し都内在住のある会社員のコンピュータにウイルスに感染させて乗っ取ったことから始まりました。その後、(全く別の)通販サイトを経営している社長のネットバンク口座の契約者IDと暗証番号をウイルス感染によって盗み出しました。そして、事前に乗っ取っていた(会社員の)コンピュータから、通販サイト運営会社のネットバンク口座へ不正にアクセスし、100万円を別の口座に不正に送金しました。

    ※ここで注意すべき点としては、会社員の乗っ取られたコンピュータが、不正に送金をするための手段として利用されてしまったことです。攻撃者(犯行グループ)は自らが特定されるのを防ぐため、第三者を経由させて犯行におよんでいます。会社員にとってはコンピュータをウイルス感染させられた「被害者」なのでずが、他人のネットバンク口座に侵入し、お金を不正に送金するという犯罪の片棒を担ぐ結果となりました。

    また、ある国内銀行をかたった偽メールが出回り、その口座の暗証番号を狙われていた事件があります。この偽メールは、一見するとその銀行から送付されたのではと錯覚するような表記であり、概要は以下のような内容となっていました。

    <ある国内銀行をかたった偽メールの概要 >
    ・差出人:○○銀行 (bank××@×××.co.jp)
    ・件名  :○○銀行より大切なお知らせ
    ・内容  :○○銀行ご利用のお客様へ
    ○○銀行のご利用ありがとうございます。・・・このたび、セキュリティ向上により確認番号のカードを再発行することになりました。つきましては、添付の申し込みソフトに必要事項を記入し送信お願いします。
    ・・・この手続きを怠ると今後のオンライン上での操作に支障をきたす恐れがありますので、一刻も早いお手続きをお願いします。○○銀行

【参考】IPA:コンピュータウイルス・不正アクセスの届出状況[9月分および第3四半期]について
http://www.ipa.go.jp/security/txt/2011/10outline.html

通常、メールによってこのような依頼が突然来ることはあり得ないことですが、この銀行の利用者が上記のような偽メールを受け取り、疑いもなく添付されているファイルに自らの口座番号や暗証番号を入力すると、攻撃者にその情報が送られる仕組みとなっています。
このような類似事件により、今年3月末頃から11月頃の期間において、およそ3億円近い金額が不正に送金されているといわれています。

【事例2】防衛関連企業へのサイバー攻撃について
また、企業への標的型攻撃の事例としては、まだ記憶に新しいもので「防衛関連企業へのサイバー攻撃」事件が挙げられます。

    < 事件の概要 >
    これは、ある防衛関連企業が第三者からサイバー攻撃を受け、“ミサイルや最新の潜水艦、原子力プラント”を製造している工場など複数の拠点で使用していた数十台のパソコン(およびサーバ)がウイルス感染していたことが明らかになった事件です。(情報が抜き取られていた痕跡もあり、標的型攻撃によるスパイ行為の可能性が高いとして警察当局に届け出されました) まず攻撃者は(ウイルスを添付した)電子メールを標的に送ります。そのメールを受信したユーザーが内容確認のために添付ファイルを開くことで、使用していたコンピュータにマルウェア(ウイルス等の不正プログラム)が感染します。そのウイルス感染したコンピュータは、ネットワーク情報やコンピュータ内部のファイル名を、攻撃者が管理しているサーバに送信し、さらに第2段階のマルウェアをコンピュータにインストールすることで、これに感染したコンピュータは完全に攻撃者に乗っ取られてしまいます。攻撃者がそのコンピュータをリアルタイム等で操作することで、内部の重要な情報を窃取することができるようになります。

    ※同社では、最終的に自社ホームページに「(調査の結果)防衛の保護すべき情報の社外への流出は認められなかった」ことを掲載しています。

■「標的型攻撃メール」の実態について
上述のような「標的型攻撃メール」の事例をパターン化すると、以下のステップで攻撃が実施されるようです。

【第1ステップ:事前調査(偵察)】
まず、攻撃者は、彼らが狙っている情報資産(企業の機密情報、個人情報等)によって、標的となる企業・機関・対象者を設定します。そして、その標的に関する情報(関連企業や取引先情報、従業員情報やシステム情報)を調査します。 その調査方法としては、「名簿業者からの従業員情報の購入」、「Webサイトから関連企業、取引先情報の入手」、「インターネット(Face bookやTwitter、LinkedIn等のソーシャル・ネットワーキング)を検索し、人物関係を把握する」等が考えられます。

【第2ステップ:メール送信(侵入/攻撃)】
事前調査を十分行った後、その結果をもとに特定の対象者を絞り、不正プログラムを添付したメールを対象者に送信します。
ここでは、メールの差出人として実在の人物や組織(信頼できそうな組織等)を偽装します。標的(対象者)の油断を誘い、そのメールおよび添付ファイルを開かせるためです。また、添付する不正プログラムは、通常のPDFやExcel、Wordファイル等に見えるよう偽装されていて、ウイルス感染の当事者は全く気付きません。また、それらの不正プログラムはメールフィルタリングソフトやアンチウイルスソフトで発見できない巧妙なメカニズム(対策の講じられてない[修正パッチ等が公開されていない]脆弱性への攻撃)を備えていることも多いのです。

※メール送信に加えて“電話をすること”を組み合わせ、標的(対象者)を油断させる巧妙な手口も発生しています。

『○○さん(実在の人物)に紹介を受けました。我々の新製品を紹介したいので、(PDFファイルで製品情報を送るので、)資料をご確認頂いたうえでご意見を頂きたく思っています。メールアドレスは、○○○@○○.co.jpで合っていますか?』等の事例があります。

  • <「標的型攻撃メール」の傾向>
  • 1.メールの件名が受信者の興味をひく内容となっている。(インフルエンザや地震等の時事の話題、関係者限定として“社内ウイルス調査”等の内容など)
  • 2.送信者(From)のメールアドレスが信頼できそうな組織のアドレスとなっている。
  • 3.メールの本文、添付ファイルが件名に関連する内容となっている。
  • 4.メールの署名が送信者(From)に対応した内容(組織名や個人名)を含む内容となっている)

■どうしたら防げるのか? 対策の考え方(ポイント)
攻撃者は、「いかにしてメールの添付ファイル(メールに記載されているURL等)をクリックさせるか」に注力してメールを作成します。攻撃者は、受信者の心理的な隙を巧妙につくためにさまざまな内容でメール作成しますが、彼らの最終的な狙いは、あなたが保有している情報(企業の機密情報や個人情報)なのです。

しかし、送られてきたメールが、自分に関連のある内容や件名であった場合は、ウイルスメールと気付かずに開く可能性も高いことが現実です。これら「標的型攻撃メール」は、ちょっと見ただけでは正しい(間違いのないような)メールなので、じっくりと冷静に考えることが必要なのです。

以下のような点が複数あてはまる(違和感のある)メールについては、十分注意しましょう。

    <差出人に関する項目について>
  • ・実在しない組織(自社組織/他社組織等)から受領したメール
  • ・日ごろからメールのやり取りのない企業、組織(幹部)から受領したメール
  • ・差出人の表記は自社組織からであるが、外部からのアドレスになっているメール
  • ・差出人が無料のWebメールアカウントとなっているメール
  • <件名や、本文、添付ファイルの内容に関する項目について>
  • ・件名や本文に「至急ご確認(ご回答)、緊急、必ずご一読ください」などと記載し、ことさら添付ファイルの開封を促すメール
  • ・件名や本文、添付ファイル名称の日本語が稚拙で、漢字が誤っているメール
  • ・「アンケート」と称して、添付ファイルやURL(リンク付文章)をクリックさせようとしているメール

もし、受領したメールが上記内容に複数該当する場合には、メールの送信者(差出人)の電話番号(メールに記載されている連絡先でなく、可能な限り自らで調べた連絡先)を調べ、確かに本人が送付したものか確認してください。 このようにして、正規の(安全な)メールか確認することで、添付ファイル等からのウイルス感染を防ぐことになります。
しかし、違和感のあるメールは開かないという”心構え”だけでは、狡猾な攻撃者からの全ての攻撃を防ぐことは難しいのが現状です。
そのため、以下のような対策を実施することで、保有している機密情報を守りましょう。

  • <社員の“気付き力”を向上させるために>
  • 標的型攻撃メールに対する脅威とセキュリティ意識向上を図る対策<
  • ・予防接種(擬似的な標的型攻撃メールを組織内で演習する)を行う。
  • ・社内教育にて、過去の事件・事故事例および対応策を周知する。
  • <感染したウイルスの活動を阻害、抑止するために>
  • 社内の誰かが感染した場合でも、社内(組織内)蔓延を防ぐ対策
  • ・パッチ(Windows、MS Office、Adobe Acrobat / Reader / Flash 等)を適用する。
  • ・ウイルス対策(ゼロデイ攻撃対策等)を実施する。
  • 【参考】脆弱性防護機能:Yarai脆弱性攻撃防御機能
  • ・侵入検知(ウイルス感染後に、外部攻撃者へ情報が連絡されることを検知する等)を実施する。
  • <情報が盗み出されても、大きな被害にならないために>
  • 大切な情報を保護する対策
  • ・特に重要な情報には鍵(暗号化)をかける
  • ・特に重要な情報はそれぞれのコンピュータでは保管せず、対策を施したサーバ等での集中管理を行う。

上記を例にして、特に重要な情報にはそれに値する対策を実施しましょう。

- 執筆者 -
株式会社インフォセック
コンサルタント 刑部泰正