メールによるサイバー攻撃は今に始まった攻撃手法ではない。むしろ、古典的でありふれた攻撃手法とすらいえる。しかし、特定企業を「標的」にした攻撃となると、とたんに対策のハードルは上がる。近年では攻撃の手口もレベルアップ。さらには行政機関や大手企業のような重要情報を持っている企業だけでなく、中小企業への攻撃も一般化している。いまや、メールは企業にとって最大級のセキュリティホールといえるかもしれない。本記事では、標的型メールの実情を把握した上で、その対策方法について解説していく。
標的型メールを巡る実情
近年、情報詐取やデータの破壊を目的とする悪質なサイバー攻撃が増加している。まだ記憶にも新しいランサムウェア「ワナクライ(WannaCry)」では、身代金を要求する手口も話題となった。最近のサイバー攻撃では、攻撃のプロセスに標的型メールを絡めた攻撃がとられることが多くなっている。
実際に、数字を見てみると標的型メール攻撃が増加傾向にあることがわかる。警察庁がまとめた「平成30年中におけるサイバー空間をめぐる脅威の情勢等について」では、標的型メールの件数が平成26年度の1,723件に対し、平成30年度には4倍に迫る6,740件へと大幅に増加している様子が見て取れる。
背景には、メールに対するセキュリティ対策や危機感が十分に整備・共有されておらず、容易にメールでの攻撃を許してしまう状況が放置されていることがある。メールという手口を使えば、悪質なプログラムを添付したり、不正なURLを記載したり、といった攻撃の糸口をいとも簡単に企業内に送り込めてしまう。一見してそれと判断できる迷惑メールでさえも、記載されたURLをクリックしてしまう従業員が多いようであれば、巧妙な標的型メールの餌食になるのは時間の問題だ。企業は、メールシステムそのものを自身のセキュリティホールと捉えるべきである。
標的型メールの手口
それでは、標的型メールはどうすれば見極めることができるのか。実は近年では、標的型メールは手口が巧妙化しており、その判別は難しくなってきている。従来のいわゆる「迷惑メール」の場合、不特定多数のユーザーに大量にメールを送り付けるため、内容が自身とは関係がないことも多く、一見して迷惑メールとわかるものも多かった。しかし近年では、標的とする企業と関連性の高い、実在する取引先に偽装して送信元に指定したり、添付ファイル名も業務に関係性があるものにしたりと見破るのは難しくなっている。
IPAが公開している標的型メールの例では、件名が「就職に対する問い合わせ」となっており、一見するとメール本文にも違和感がない。その上で、「履歴書.zip」が添付されており、これが人事担当者宛に送付されたならば、添付ファイルを開いてしまっても責められない。その他にも、「新製品に関する問い合わせ」や、公的機関からの「Microsoft Officeの脆弱性の修正について」といった件名の標的型メールが紹介されているが、いずれも見極めることは困難だろう。
実際に、公的機関が標的にされ大量の個人情報を流出させた事例でも、業務に関係の深い内容を装ったメールの添付ファイルを職員が開いたことがきっかけで被害拡大に至った。その他にも、大手旅行会社や航空会社などで発生した個人情報流出事故は、標的型メールが引き金とも言われており、被害を防ぐことは決して容易ではないことが伺い知れる。
標的型メールの見分け方
それでは標的型メールはどのように見極めればよいのだろうか。巧妙化する標的型メールの手口だが、多くの場合、少しばかり注意を払うことで標的型メールと見抜くことができる。その方法は、IPAが公開している「標的型攻撃メールの例と見分け方」が参考になる。標的型メールと見破るための着眼点は、次の4つに分類される。
件名(メールのテーマ)
攻撃者は、「このテーマであれば、誰かがURLをクリック、あるいは添付ファイルを開いてくれる」ことを狙ってメールを作成する。先の例の「就職に対する問い合わせ」や「新製品に関する問い合わせ」といった件名は本来機密性の高い情報だけに、誤って送られてきたものだとしても内容が気になって開いてしまうのが人間の心理だろう。しかし、多くの人々が興味を抱くであろうテーマであることこそに疑いの眼差しを持ちたい。その上で、以降に挙げる着眼点も加味して複合的に標的型メールを見極めてほしい。
差出人のメールアドレス
差出人のメールアドレスの偽装はメールソフトなどでも簡単にできる。まずはそのことを理解しなければならない。加えて、差出人名が取引先の氏名でも、そのメールアドレスがフリーアドレスになっていることは多い。署名欄に記載のメールアドレスと差出人のメールアドレスが異なることもある。少しでも怪しいメールと感じたら、まずは差出人のメールアドレスに意識を向けることが重要だ。最近は正しいドメインに近似した文字列、例えば1(イチ)とl(エル)、w(ダブリュー)とvv(ヴイヴイ)を使うなど、判別も難しくなっている。メールアドレスをチェックする際は文字列の詳細までしっかりとチェックしてもらいたい。
メールの本文
巧妙になっているとはいえ、よく見てみるとメールの本文から明らかに標的型メールと判断できる場合も一部にはある。ただ、最近の標的型メールやビジネスメール詐欺における本文の内容は日本語の精度も高いものがほとんどとなりつつある。まれにエンコードの関係で日本語の一部が中国語の繁体字や簡体字になっていることがあるが、そのような点も頭に入れながら本文をチェックするようにしたい。
そして、署名欄の記載内容も、実在しない組織名や電話番号となっていることもあるため、あわせて確認しておきたい。少しでも怪しいと感じたなら、注意力を持ってメールの本文と対峙することを心がけよう。
添付ファイル
たとえ標的型メールと疑わしい場合ではなくても、添付ファイルを開く場合は常に注意したい。「.exe」ファイルや「.lnk」ファイルは、信頼できる相手からの添付ファイルでも、実行前に一度メール以外の方法で相手に確認をしておくべきである。近年ではアイコンが偽装されていたり、「RLO(Right-to-Left Override)*1」という手法を使ってファイル名を詐称したりする場合もある。ここまで挙げた着眼ポイントを元に、少しでも怪しいと感じたら、それが正常なファイルに見えても開くことはおすすめできない。
*1 日本語や英語などは左から右へ綴られる言語だが、アラビア語などは逆で右から左(Right To Left)へ綴られる。その差異を悪用し、正常なファイル名を装った手法が存在する。
標的型メールへの対応方法
標的型メールの対応方法において、重要なことは怪しいメールを見極める力を身につけることだ。まずは組織的に標的型メールへの注意喚起をおこない、攻撃手法の情報共有をおこなうことだ。攻撃手法を理解し、注意を払うことを習慣化するだけでも、標的型メールによる攻撃を未然に防止する確率は高まる。
その上で、情報システム部門では、ウイルス対策ソフトの導入はもちろんのこと、メール内の不正なURLクリックに備えてインターネットへのアクセス制限、添付ファイル経由での感染を予防するためのファイル実行制限(exeファイル等)をUTM(Unified Threat Management )上で実施。あるいはURLフィルタリングシステムの導入などを進めるべきだろう。こうしたツールの中には、不正な通信やダウンロードを検知して、遮断する機能を持つものもある。また、近年のファイアウォールは、ウイルス感染したパソコンが、外部の攻撃用サーバーに通信する前に遮断する機能を持つものも登場してきている。並行して、ログ監視ツールなどを用いて不審なメールの早期発見を目指すことにも取り組みたい。
万が一、標的型メールの被害に遭遇した場合を想定し、被害を最小化するための対策も講じる必要がある。標的型メールの場合、添付ファイルの開封やURLリンク先クリックなどの原因により組織内で誰か一人がウイルス感染してしまった場合、一気にその組織全体にウイルスが蔓延する恐れがある。このため、ウイルス感染が疑われる場合は、LANケーブルを抜く、速やかに報告する、といった基本的な行動手順を明確にして従業員に周知しなければならない。
また、行動手順を定めるだけでなく、従業員のセキュリティリテラシーを向上させるための取り組みも必要である。例えば、マクロが含まれるWordファイルを開封しても実行ボタンをクリックしない限り、感染には至らない。そうした前提知識の植え付けなども含め、レベルに応じた従業員教育が求められる。
標的型メールの疑似体験と訓練の重要性
ここまで述べてきたように、標的型メールによる攻撃を水際で防ぐためには、従業員の怪しいメールを判別する力が大きな役割を占める。しかし、巧妙化する標的型メールを見極めることは簡単ではない。実際にそれがどのようなものか体験しないことには、目利きの力を養うことはできない。こうした観点から、標的型メールを擬似的に体験することをサービスとして提供するベンダーも登場している。多くの場合、実際に擬似的な標的型メールを従業員に送信し、メール内の不正なURLのクリック率や添付ファイルの実行割合を、レポーティング形式で見える化する。誤って添付ファルなどを起動した場合に、上司への報告など定められた行動を取ることができるかどうかも把握することができるだろう。
こうした標的型メールへの対応力を身につけるための訓練をおこなうことで、従業員の危機意識も高めることができる。訓練を繰り返すことで、怪しいメールに対する警戒感は強まり、セキュリティに対する意識の向上が期待できるだろう。正社員だけではなく、短期雇用のアルバイトや派遣社員に対しても、短い期間で効果的な教育につながる。
効果が期待できるメール対策訓練だが、もちろん注意点もある。擬似的な標的型メールのリアリティを高めようとして、差出人などに実在する企業を使うことは避けたほうがよい。メールを受信した従業員が、その企業に問い合わせをしてしまい混乱を招く可能性があるからだ。訓練の方法には注意が必要だが、適切に実施すれば高い効果が期待できるだろう。