標的型攻撃メールとは? 特徴や文面例、対策について解説
企業の経営を脅かす情報セキュリティ脅威の中でも、手口が複雑化・巧妙化し、甚大な被害を及ぼしているのが、標的型攻撃メールです。一定の知識がないと標的型攻撃メールであることを見抜くのが難しく、社員の1人が開いてしまった1通のメールを端緒として、組織の機密情報などが漏洩することも珍しくありません。では、標的型攻撃メールにはどのように対応すればいいのでしょうか。
本記事では、標的型攻撃メールの特徴や文面例、効果的な対策などについて解説します。
標的型攻撃メールとは、特定のターゲットへのメール送信によって行われるサイバー攻撃
標的型攻撃メールとは、特定の企業や個人などのターゲットに対してメールを送信して行われるサイバー攻撃の一種です。
標的型攻撃メールの狙いは、ターゲットの端末をウイルスに感染させ、個人情報や機密情報、知的財産情報、経営に関する情報などを盗み取ることです。知人や取引先などを装ったメールで受取人を油断させ、メールの本文に記載したURLに誘導したり、添付ファイルを開かせたりすることによってウイルスに感染させるのが一般的な手口です。
「心当たりのある差出人の名前を使う」「業務に関連した文面にする」など、開封を誘うテクニックが使われているため、気付かずにサイバー攻撃の被害に遭うケースも少なくありません。前年の情報セキュリティ事案から、社会的に影響が大きかったと考えられる10の脅威を情報処理推進機構(IPA)が選出した「情報セキュリティ10大脅威 2024」でも、標的型攻撃メールが組織向け脅威の第4位に挙げられています。
標的型攻撃メールを疑うべき5つの特徴
不特定多数に向けたばらまき型の攻撃メールと異なり、標的型攻撃メールは、特定の企業や個人を狙って巧妙になりすまして送られてきます。送信先ごとに文面をカスタマイズしているため、一見しただけでは「危険なメール」と判断することができません。しかし、受信したメールを無意識に開くのではなく、標的型攻撃メールの特徴を念頭においてチェックする習慣をつけると、被害が発生する前に攻撃に気付ける可能性があります。
標的型攻撃メールの代表的な特徴としては、下記の5点が挙げられます。
不自然な言い回し
標的型攻撃メールが海外から送信されている場合、メールのタイトルや本文で不自然な日本語を使っていることがあります。全体に目を通したときに違和感がある文章や、助詞・副詞・敬語の使い方などに引っ掛かりを感じる文章、句読点の位置がおかしい文章などは、標的型攻撃メールを疑いましょう。
日常的な日本人同士のやりとりでは使われず、中国語で用いられる繁体字、簡体字が混じっている場合も、注意が必要です。
送信元が知らない人物
標的型攻撃メールは、知らない人物から送られてくるケースもあります。知らない人物からのメールでも、送信元の企業などには心当たりがある場合、メールの内容などで判断して開封してしまうことがあります。例えば、本文中の署名欄に取引先の企業名が含まれている場合や、広報に対して取材の申し入れメールが届いた場合などです。メールが届いた際は開封前に必ず送信元を確認し、やりとりをした覚えのない人物からのメールは、標的型攻撃メールの可能性を疑うようにしてください。
また、差出人の名前のほかに、送信元のアドレスもチェックしましょう。企業の担当者を名乗っている場合は、アドレスが独自ドメインかどうかを確認します。もちろん、個人事業主などがフリーメールを仕事に使うケースも増えているため、フリーメールが一概に危険とはいえません。しかし、企業名を出しているにもかかわらずフリーメールから送付されている場合は、標的型攻撃メールである可能性があります。
送信元のアドレスと、メール本文の最後に記載されている署名欄のアドレスが異なる場合も、文章だけをどこかから流用している可能性があるため注意が必要です。
開封を促す件名
標的型攻撃メールの目的は、メールを開かせてウイルス感染などのサイバー攻撃を成功させることであるため、件名に、思わず開きたくなるような表現が使われているケースも少なくありません。「緊急」「重要」「至急」といった開封をあおる単語が使用された件名は、標的型攻撃メールの代表的な特徴です。
こうした単語の後に、「納期のご確認をお願いいたします」「会議資料について」「入金のご確認」など、多くの人に「心当たりがあるかもしれない」と思わせるような文言が続いた場合は、標的型攻撃メールを疑ってよいでしょう。納期や会議、入金といった文言は、反射的に反応してしまいがちな単語ですが、そういったメールが届くような事実があるかどうかを確かめるようにしてください。
心当たりのない内容
標的型攻撃メールは、件名だけでなく、メールの本文の内容でも巧妙に心理の隙をついてきます。心当たりがない内容でも、セキュリティ上の注意喚起や、商品の遅延連絡などが来ると、思わず開封してしまう人も多いのではないでしょうか。
大手通販サイトからの案内メールに見せかけてパスワードの期限切れを伝え、更新のためにURLへ誘導するメールなどもあります。URLと共に「◯時間以内に更新しないとリンクが無効になる」といった文言を記載して不安をあおり、URLをクリックさせてウイルス感染させるケースがあるため、リンクの文字列や本文をよく確認してください。
業務で通常は用いないファイル形式の添付ファイル
標的型攻撃メールでは、業務で通常は用いない形式のファイルを添付して、ウイルスに感染させようとする攻撃パターンもあります。
件名やメールの文面を見ただけで、深く考えずに添付ファイルを開けてしまうと、サイバー攻撃の被害に遭う可能性があります。添付ファイルを開く前には、必ず拡張子を確認し、見慣れない形式の拡張子の場合はファイルを開かないようにしましょう。
拡張子とは、ファイル名の末尾につき、ファイルの種類を示す文字列です。Wordの「.docx」、Excelの「.xlsx」といった拡張子は、見慣れている方が多いかもしれません。
サイバー攻撃を目的としたファイルは、開くとすぐにプログラムの実行に移る実行形式ファイルが用いられるパターンが多い傾向にあります。「.exe」「.scr」「.cpl」などは実行形式ファイルであるため、注意が必要です。主にデスクトップに置かれたファイルなどにすばやくアクセスするためのショートカットファイルを示す拡張子「.lnk」「.pif」「.url」なども、サイバー攻撃によく使われています。圧縮ファイルの「.zip」「.jar」も使用されるため、安易に開くのは避けてください。
標的型攻撃メールの文面例
IPAのWebサイトには、実際に日本国内の企業や組織に送信された標的型攻撃メールの文面が掲載されています。下記で紹介するのは、メールアカウントやデータの窃取、スパムメール拡散を目的とするウイルスであるEmotet(エモテット)が添付された標的型攻撃メールの文面です。請求書の修正を促して、巧妙に添付ファイルに意識が向くように誘導しています。
- <Emotetが添付された標的型攻撃メールの文面例>
-
送信元:<◯◯(株)◯◯様>××××××@××××××.jp<△△@△△△△.com.br>
本文:
日頃より大変お世話になっております。
請求書を確認後、3営業日後の返金(着金)となります。
しかしながら、頂きましたご請求書ですが、3点修正が必要です。
(1)手数料が反映されておりませんでしたので、請求書に追記ください。(5%)
(2)請求書の発行日を記載してください
(3)弊社名は「×××××××」です、ご修正御願いします。
請求書到着日より3営業日後の着金となります。
宜しくお願いいたします。
◯◯(株)◯◯様
標的型攻撃メールの被害事例
標的型攻撃メールによって、実際にウイルス感染による情報漏洩被害も発生しています。下記の2つのケースは、標的型攻撃メールの被害事例の代表的な例です。
公的機関への攻撃による個人情報の漏洩
公的機関で、標的型攻撃メールの被害に遭い、125万人分の個人情報が漏洩した事例がありました。攻撃者は、特定の拠点の職員に向けて、実在する職員の名前を使ったり、業務内容に関連した内容を装ったりした標的型攻撃メールを送って、サイバー攻撃に成功しています。その結果、合計5名の職員がメールを開封して端末がウイルスに感染しただけでなく、感染端末を起点としてほかの端末にも感染が広がり、合計31台の端末から125万人分の個人情報が漏洩しました。
この事例に関する調査結果報告書では、反省点として、情報セキュリティポリシーの制定・改正に際して標的型攻撃メールに対する基本的対策事項が記載されていなかったこと、標的型攻撃メールの受信を感知した際の手順が定められていなかったことなどが挙げられています。
対処方針がルール化・体系化されていなかったため、標的型攻撃メールが最初に開封された際に注意喚起や送信元からの受信拒否設定、インターネット接続の遮断などの対策が実行されず、被害が拡大しました。また、共有ファイルサーバーに個人情報を保管するなど、情報管理の意識が希薄だったこともわかっています。
旅行代理店への攻撃による個人情報の漏洩
インターネット上で旅行商品を販売する大手旅行代理店の子会社では、サーバーへの不正アクセスがあり、顧客の氏名や性別、生年月日、住所、電話番号、メールアドレス、パスポート番号、パスポート取得日などの個人情報が最大で793万人分漏洩しました。
情報漏洩の原因は、取引先の航空会社を装った標的型攻撃メールに添付されていたファイルを1人の従業員が開き、サーバーとパソコンがウイルスに感染したことです。この標的型攻撃メールには、実在する航空会社のドメインが使われており、添付されていたのは電子航空券のPDFファイルに偽装したデータだったため、社員は一切の疑いを持たずに開いたとみられています。
標的型攻撃メールへの対策
標的型攻撃メールへの対策としては、不審なメールの特徴を理解して安易な開封を避けることと、万が一開封した場合に被害の拡大を防ぐ体制を整えることが重要になります。下記に挙げる5つの対策で、被害の拡大を防ぎましょう。
OS・ソフトウェアの更新
標的型攻撃メールは、OSやソフトウェアの脆弱性をついて被害を発生させることがあるため、OS・ソフトウェアの更新は重要な対策です。更新プログラムには、OS・ソフトウェアの不具合の修正などに加えて、サイバー攻撃に利用される可能性のある脆弱性やセキュリティ上の問題点を解消するといった目的もあります。開発元からアップデートプログラムが配布されたら、速やかに実行しましょう。
- 併せて読みたい
セキュリティ対策ソフトの導入
標的型攻撃メールへの対策としては、セキュリティ対策ソフトを導入して、メールのフィルタリング機能やウイルス対策機能を活用するのも有効です。これらの機能は、不審なメールや添付ファイルを受信すると即座にブロックします。また、ウイルスの感染を許した場合にも、すぐに検知して隔離することが可能です。
データのバックアップ
標的型攻撃メールでは、ウイルス感染によってデータが失われたり、書き換えられたりすることがあるため、こまめにデータのバックアップを取っておきましょう。例えば、データを暗号化して復元と引き換えに身代金を要求するランサムウェアに感染した場合も、バックアップデータがあれば要求を無視して業務を継続することができます。
- 併せて読みたい
従業員へのセキュリティ教育
標的型攻撃メールの対策としては、従業員に対してセキュリティ教育を行うことも有効です。攻撃する側の目的や、実際に考えられるメールの文面を踏まえた被害の回避方法などを学んでおけば、メールが届いた際にも従業員の判断で被害を回避できるようになります。
標的型攻撃メールを受信した際の基本的な対応も決めておき、上司や関係部署への報告、対応にかかる時間を短縮できるようシミュレーションしておきましょう。一度学んでも、時間が経つとセキュリティリスクへの意識が希薄化する可能性もあるため、定期的な研修を継続していくことが重要です。
ペネトレーションテストによるリスク確認
標的型攻撃メールを受信したケースを想定して、ペネトレーションテストを行うのも効果的な対策です。
ペネトレーションテストとは、悪意の第三者が試みるような攻撃方法を社内で実行し、自社のセキュリティ強度の現状を評価する手法です。標的型攻撃メールについてテストを行うのであれば、実際に標的型攻撃メールとして送られてきそうなメールの文面を作成し、従業員に送ってセキュリティレベルの現状を確認します。
標的型攻撃メールについてまったく知識がない従業員は、適切に攻撃を回避できず、メールを開けてしまうかもしれません。ペネトレーションテストを経て、メールを開く危険性と有効な回避方法について教育すれば、従業員も対策の重要性を実感できます。
また、ペネトレーションテストを行い、実際に起こり得る被害を疑似体験すれば、現在のルールや手順を改善することもできます。
標的型攻撃メールの特徴を把握し、適切な対策で被害を未然に防ごう
標的型攻撃メールは、実在する企業や人物、取引先をかたるなど、巧妙に偽装したメールを送ることによってサイバー攻撃を試みる手法です。標的型攻撃メールを見分けられずに開封してしまうと、情報漏洩やデータの改ざんといった重大なインシデントにつながりかねません。
本記事で紹介したように、実際に大規模な情報漏洩事例も発生しています。標的型攻撃メールの特徴を把握して、安易に開封しないよう従業員教育を徹底しましょう。同時に、適切なセキュリティ対策ソフトの導入によって被害を未然に防ぎ、万が一インシデントが発生した際にも早期に対応できる仕組みづくりをしておくことが重要です。
標的型攻撃メールによる情報漏洩を防ぐためには、セキュリティ対策ソフトの導入に加えて、組織の個人情報などを管理する情報漏洩対策ツールを導入することもお勧めします。その際は、組織の情報漏洩対策からIT資産管理、労務管理まで支援できるインターコムの情報漏洩対策・IT資産管理ツール「MaLion」シリーズをぜひご検討ください。Webアクセス監視・制限、Webアップロード監視、ファイルアクセス監視・制限などの機能で、企業の情報資産を守ります。
