メールユーザー全てが対象!狡猾化する標的型攻撃への対策【JPCERT/CCインタビュー】

組織や個人から重要な情報を盗む標的型攻撃メール。過去においては宇宙航空研究開発機構(JAXA)や日本年金機構などの組織も被害に遭っています。また、メールを使用したサイバー攻撃は、近年手口も狡猾化しており、フィッシングメールなどは組織だけでなく個人も被害にあうケースもあります。

標的型攻撃メールやフィッシングメールへの対策は、どのように行えば良いのでしょうか。技術的な立場から、国内で発生したセキュリティインシデントの対応支援、状況把握、分析、再発防止などに取り組むJPCERTコーディネーションセンター(JPCERT/CC)の情報セキュリティアナリスト、山本健太郎氏に話を伺いました。


-標的型攻撃メールにはどのような手口がありますか。

マルウェアをメールに添付して送付する手法や、メールの本文に記載したURLからマルウェアに感染させるサイトへ誘導する「ドライブバイダウンロード(Drive-by download)」などがあります。


-対象となりやすいターゲットはどのような業種でしょうか。

政府系組織や重要インフラ事業者、大学や研究機関など重要な情報や知的財産を多く保有している組織などは狙われやすい傾向にあります。また、個人情報を多く取り扱っている旅行会社なども注意が必要です。


-近年ではどのようなインシデント事例がありますか。

有名な事例で言えば、20181月に発生したコインチェックの仮想通貨不正流出などがあります。報道によるとソーシャルエンジニアリングと標的型攻撃メールによって従業員のパソコンをマルウェアに感染させ、社内ネットワークに侵入し、結果として約580億円もの仮想通貨が外部へ流出しました。

また、昨年11月から今年の3月には、防衛省OBや海洋政策担当に対して内閣府や防衛省職員を装い標的型攻撃メールが送られる事件も発生しています。メール本文には実在する名称が記載されていました。


-攻撃者はどのようにアプローチしてくるのですか。

組織に対しては、インターネット上などに公開されている情報を元にアプローチすることも多いようです。ターゲットの組織がどういった外部組織とつながりがあり、どのような団体に所属しているか、どの健康保険組合に加入しているかなどを綿密に調べ、メールを受信する人に怪しまれないように準備してメールを送ってきます。

また、攻撃する際は、サイバー攻撃の対策に力を入れている親会社に比べて、セキュリティ対策が十分でない子会社や関連会社などを狙って攻撃し、その後、ターゲットとなる親会社へアプローチしていくことがあります。さらに、攻撃手法として、業界関係者が頻繁に訪れるニュースサイトなどを改ざんして関係者を狙う「水飲み場攻撃」などといった攻撃もあります。


-受信者に怪しまれないメールとはどのようなものですか。

攻撃者は”いかにメール開封の可能性を高めるか”を考えます。例えば組織であれば「加入している健康保険の内容について」、個人であれば「荷物が届きました」など、受信しても不自然ではないメールを送ります。


-見分ける方法はあるのでしょうか。

標的型攻撃メールの特徴として以下のようなものが見られますが、実際のところ、標的型攻撃メールを従業員が開封しないようにすることはほぼ不可能だと考えた方がよいと思います。

・添付のファイルがアイコン偽装されていて画像ファイルに見えるが実際はexeファイルとなっている。
htmlメールで送付され、メール本文に表示されるURLとは異なるURLへ誘導される。


開封率0ではなく、報告率100%を目指す

-具体的な対策としてはどうすべきでしょうか。

まず、普段からパソコンのOSのセキュリティアップデートを行い、ウイルス対策ソフトを入れ、ソフトを常に最新にしておくことが肝心です。また、外部に重要な情報を持ち出されることを防ぐための出口対策としては、外向きの通信をすべてプロキシサーバー経由で行い、ファイアウォールでプロキシサーバー経由の通信だけ許可する方法などがあります。また不要なポートを閉じることで通信に制限を設けることも検討してください。攻撃者が情報を入手するまでに執拗に何度も攻撃することを想定し、ターゲットとなり得る部署は対策を強化することが重要です。またAD(アクティブディレクトリ)でアカウントを管理している組織は、ADに対する攻撃への備え(ログの取得、定期的なログの確認)も必要となります。なお、メールのなりすまし対策に関しては、DKIMDMARCのようなドメイン認証技術を導入することも重要です。


-ヒューマンエラーについての対策は。

組織では、標的型攻撃メールの模擬訓練を定期的に実施し、従業員に対する啓発も行うことをおすすめします。この訓練を行うとメールを開封する従業員は必ず出てきます。開封率をゼロにするのではなく、開封した従業員からの報告率を100%にすることを目標に実施することで、インシデントの早期発見につながります。


-個人であれば、さらに不安に感じるのでは。

そうですね。個人の場合、フィッシングメールなどの脅威があります。対策としては金融機関などが推奨しているセキュリティ対策を積極的に実施するのが良いでしょう。また、不自然なメールはまずは疑ってかかることが大事です。フィッシングメールなど悪意あるメールは往々にしてメール本文で「緊急」など”急かす”傾向にありますが、まずは受け取っても落ち着くことが大事です。フィッシング対策協議会(事務局JPCERT/CC)では「STOP. THINK. CONNECT.」という標語を掲げ、行動習慣として推奨しています。(参照:https://stopthinkconnect.jp/

フィッシングメールか本物のメールか判断に困る場合は、第三者機関やサービス事業者に直接確認するのも1つの方法です。メールに違和感があれば、すぐに相談できる窓口があることを知っておいてください。


今後の標的型攻撃メールやフィッシングメールの対策

-今後、標的型攻撃メールやフィッシングメールはどのように変化していくと予想されますか。

標的型攻撃に関しては、より巧みになってくると思われます。実際に取引のある会社のメールアカウントなどを詐取し攻撃してくる場合もあります。近年は特に、ソーシャルエンジニアリングの手法で攻撃者がターゲットに近づきSNS経由で個人情報を聞き出すといった手口も想定されます。

フィッシングに関しては、パソコンからではなくスマートフォンやタブレットからのアクセスが増えています。スマートフォンなどはパソコンに比べ画面が小さく、正規サイトとの違いを見つけにくい機器とも言えます。ブラウザによっては画面にURLが表示されない場合もあるのでより判断が難しくなります。

メールを媒介とした、ばらまき型攻撃といった原始的な脅威も依然としてなくなってはいません。近年では大学を狙ったフィッシングメールにより、職員のアカウントが盗まれ、メールが外部に流出する事件も発生しました。対策としては、学内で使用しているサービスは、アクセス元のIPを大学内部に制限することや、2要素認証を導入することなどが必要と思われます。


2要素認証にはどのような特性がありますか。

種類の異なる情報を組み合わせ、安全性を高めた認証方式です。一般的にはIDとパスワードによる認証がありますが、これは1つの要素による認証です。これにトークン(小さな認証用器具)などをプラスすれば、不正にログインされる可能性は低くなるでしょう。


-インシデント後の対応については。

先にも申し上げたとおり、標的型攻撃メールを100%防ぐのは不可能です。インシデントが発生した場合に、被害を最小化するという考えを持つべきだと思います。被害を最小化するには日頃から様々なサイバー攻撃への対策を検討し、発生するインシデントをいくつか想定し、そのインシデントへ備えることが大事です。また、インシデント発生時に迅速に対応するためにCSIRTComputer Security Incident Response Team)を組織内へ設置し、気軽に相談できる報告窓口を作って周知しておくことも検討してください。

実際、インシデントが発生した場合、企業は速やかに感染した端末を特定するだけでなく、攻撃に使用されたメールおよびマルウェアの特定や、感染した端末から外部に対しての通信が発生していないかといった確認も必要です。そのため、普段から外部への通信ログを保管しておくことも重要となります。予め備えておくことで被害の拡大や影響範囲を特定することが可能となります。

従業員の方には、定期的な啓発を通してインターネットを使用する場合は、標的型攻撃メールのように悪意のある攻撃が存在することを意識してもらい、また組織としては、インシデントが発生することを前提にした対策が重要です。

2018.08.31
Ebookダウンロード

Ebookダウンロード
企業資産としてのメール管理とは ~法規制対応、内部統制に「メールアーカイブ」を活用〜

本資料では、最新のメールアーカイブの潮流など、企業のメールセキュリティ対策に役立つさまざまな情報を解説します。ぜひご一読ください。
・サイバーセキュリティ、メールセキュリティの現状
・関税法やGDPR対策など、高まる企業統制の重要性
・膨大なメールの暗号化を可能にする技術 など

Ebookをダウンロードする

「ゼンロック」メールマガジン購読のご案内

「ゼンロック」メールマガジン購読のご案内

企業セキュリティに関するニュースやインシデント情報、製品情報などをお届けします。

メルマガ登録する