メール送信関連の用語である「P…
メール、セキュリティを専門とし、M3AAWG会員、及びサービスの企画、戦略を担当。国内だけでなく、ASEAN、米国、欧州でのグローバルサービス展開を精力的に推進しながらメールセキュリティのエバンジェリストとして活動。講演多数。
執筆・監修者ページ/掲載記事:8件
特定のターゲットを狙う標的型攻撃の多くはメールを利用して行われます。これによる情報漏えい被害も後を絶ちません。その手口は非常に巧妙です。騙されないためには、攻撃の特徴や傾向を知ることが大切です。既存のセキュリティ対策に加えて、標的型攻撃メールに対応した対策の整備も必要です。標的型攻撃メールの見分け方、そしてシステムとして組織を守る方法を詳しく紹介しましょう。
標的型攻撃メールとは、特定の組織や個人を狙い、ターゲットに関係する内容などであたかも正常なメールのように誤認・信用させてメール中のURLへのアクセス、添付ファイルの開封をさせる手口のメールです。この手の攻撃はいたずらや愉快犯ではなく、個人情報や企業の機密情報、金銭の窃取など明確な目的を持って行われます(図1)。
(図1)IIJで観測した標的型攻撃メールの実例 ※固有名詞は変更
うっかりファイルを開いたり、URLリンクをクリックすると不正なプログラムを仕掛けられ、IDやパスワードを窃取されます。そうなると攻撃者に好き勝手に振る舞われてしまいます。入手した情報を悪用し、更に別の組織や個人を狙う攻撃へ発展するリスクもあります。
メールを悪用する攻撃にはスパムメールやフィッシングメールなどもありますが、こちらは不特定多数を狙ったもの。添付ファイルを開いたり、記載されたURLリンクをクリックすれば、マルウェア感染のリスクはありますが、自分と関係ないことに関する内容が多く、不審なメールという判別は比較的つけやすいと言えるでしょう。
標的型攻撃メールの厄介な点は、この判別が難しいことです。攻撃も組織化され、非常に巧妙です。例えば、差出人メールアドレスのドメインを受信者の会社ドメインと同じドメインで詐称し、メール本文内の文章も日頃その会社内でよく利用している用語が使われることもあります。一見社内間でやりとりされるメールであるかのような作り込みが行われているのは、最近の攻撃パターンの特徴です。
差出人メールアドレスを実在する自社社長のメールアドレスになりすまし、本文には業務指示が記載されたメールを社員に送付するといった事例も確認されています。
このように標的型攻撃メールは、人の心理を巧みに利用してきます。実際、多くの企業が対策を講じているのに、情報漏えい被害が後を絶ちません。日本を代表する企業が被害に遭うケースも少なくありません。
例えば、大手旅行会社ではデータベースに登録されていた顧客情報790万人以上のデータが流出。氏名や住所のほか、パスポート番号や国籍情報に関わるデータが漏えいしたことから、メディアでも大きく報じられました。この原因はたった一人の従業員が取引先を偽装したメールの添付ファイルを開封したことがきっかけでした。ちょっとした油断が世間を騒がせる事態に発展してしまったのです。
一般企業だけでなく、公的機関も狙われています。ある公的機関では仕事の内容を装った標的型攻撃メールを開封し、マルウェアに感染したことで、125万件の個人情報が流出しました。対象者のもとには、不審な電話勧誘が長く続いたといいます。情報漏えいの余波は想像以上に深刻化する恐れがあります。
標的型攻撃メールはターゲットを絞って、そのターゲットのために作り込まれているものが多く、本物のビジネスメールとほとんど見分けがつきません。実在の人物やメールアドレスを悪用したり、「RE:~」のようにやりとりの継続を巧妙に装うものもあります。
100%見破るのは困難ですが、騙されないようにする手立てはあります。シンプルな見分け方の一つとして、メールのタイトルや本文に着目しましょう。海外からの攻撃の場合は表現や言い回しが不自然なケース、日本語の文章では使われることのない繁体字、簡体字が使われていることなどがあります。知らない人からのメール、またはフリーアドレスからのメールも警戒が必要です。
HTMLメールでは表示されているURLと実際に接続されるリンク先のURLが異なっていることがあります。疑わしいときはリンク先のURLをマウスオーバーしたり、別のファイルに一旦コピーして表示内容を確認しましょう。
覚えのない人からのメールに添付された「.exe」などの拡張子が付いた実行ファイル、ZIPなどの圧縮ファイルも安易に実行・解凍するのは避けましょう。Office文書のマクロ機能を悪用した攻撃もあるので、知らない人から送られたOffice文書もむやみに開かないことです。このマクロ機能については、簡単に有効/無効を設定可能です。普段からマクロ機能を無効にしておけば、うっかりOffice文書を開いてしまっても攻撃を回避できます。
より巧妙な攻撃を見分けるためには「ディスプレイネーム(メール送信者情報の表示名)」を疑いましょう。ディスプレイネームは比較的自由な文字列を記述できるため、実際の送信アドレスとは違うアドレスを表示させることも可能です。メールの返信先(Reply-To)を偽装したり、正規のドメインを模倣する手口も増えています。ディスプレイネームの表示を鵜呑みにすると、攻撃者の罠にはまってしまいます(図2)。
(図2)一例から見る標的型攻撃メールの特徴
このように送られてきたメールの情報を注意深く確認していけば、被害を受ける前に“異常”に気付けますが、すべての人がすべてのメールを網羅的にチェックできるとは限りません。人に頼る運用には限界があるため、システム的な対策の整備が不可欠です。
標的型攻撃メールのリスク対策として有効な手立ての1つが、送信ドメイン認証です。これはメール送信者のドメインを検証し、なりすましメールかどうかを判断する仕組み。その認証方式は大きく3つあります。
1つ目は送信元のIPアドレスを認証に用いる「SPF(Sender Policy Framework)」です。送信メールサーバで使用するIPアドレスをDNSに「SPFレコード」として事前に登録しておき、受信側でメールのドメインとSPFレコードを照合します。一致しなければ、なりすましと特定できます(図3)。
(図3)送信ドメイン認証の仕組み
2つ目は電子署名を利用する「DKIM(DomainKeys Identified Mail)」です。送信するメールに電子署名を付与し、 受信側はそれを検証することで、 なりすましやメールの改ざんを検知します。
そして3つ目がSPF、及びDKIMの認証失敗時のアクションを定義する「DMARC(Domain-based Message Authentication、Reporting and Conformance)」です。SPF、またはDKIMの弱点を補う方式として近年注目が高まっています。
まず送信側は受信側の認証失敗時の推奨アクションをDNSに「DMARCポリシー」として宣言しておきます。受信側は認証失敗時にこのDMARCポリシーに基づき、受信メールの扱いを振り分ける仕組みです。
例えば、DMARCポリシーで「拒否する」と定義しておけば受信メールを棄却し、「隔離する」なら隔離エリアに移動させます。「何もしない」と定義しておけば、エンドポイントで受信して判断できます。
SPFやDKIMで認証失敗した受信メールの扱いを決めておくことで、多段のチェックが可能になるわけです。これにより、ドメイン認証を補強できます。まずSPF、DKIMへの対応を行い、これらの認証結果を利用するDMARCの3つを組み合わせて活用するのが効果的です。
また先に一例として挙げた、差出人メールアドレスを受信者の会社ドメインと同じドメインになりすました標的型攻撃メールに対しては、送信ドメイン認証技術を利用することで有効な対策となります。
具体的には、まず会社のドメイン(自組織のドメイン)を送信ドメイン認証に対応させます。次に受信するメールのうち、差出人が会社のドメインとなっているメールに対して、送信ドメイン認証を行います。この状態で送信ドメイン認証に失敗するメールがあれば、それらはすべてなりすましであると言えるため、受信拒否や隔離といった対応ができます。
攻撃の抑止には添付ファイル条件での制御やマクロの除去も有効です(図4)。添付ファイル条件での制御は、メールの添付ファイルに対して「ファイル種別」「ファイル名」「ファイル拡張子」などの条件でフィルタリングをかけ、対象の添付ファイルを自動的に削除し、リスクを低減する方法です。
(図4)添付ファイルフィルタやマクロ除去フィルタのイメージ
マクロの除去は、マクロが含まれた添付ファイルを検知し、あらかじめ定義した条件に基づいて「ファイルからマクロを除去し、配送」や「マクロを除去せず隔離領域に保存」などの処理をシステムで行う方法です。こうした機能を実装していれば、不正プログラムを事前に排除できるため、マルウェア感染のリスクを大幅に低減できます。
標的型攻撃メールは手口が巧妙なため、必要となる対策も1つではありません。有効な手立てがあっても、それらを個別に用意するのは大きな負担です。導入後の運用も煩雑になってしまいます。
こうした課題解決策としてIIJが提供しているのが、クラウド型統合メールセキュリティサービス「IIJセキュアMXサービス」です。メールに求められる多様なセキュリティ対策をクラウドサービスとして利用できます。なかでも標的型攻撃メールに有効な多段防御の脅威メール対策は大きな強み。もちろんSPF、DKIM、DMARCなどに対応した送信ドメイン認証、添付ファイルフィルタやマクロ除去フィルタも利用できます。
クラウド型サービスなので、設備の保守や機能のアップデートは不要です。これらの作業はIIJが行うため、セキュリティ運用の負荷も大幅に低減できます。
標的型攻撃メールは実に巧妙な手口でターゲットに攻撃を仕掛けてきます。被害の防止にはシステム的な対策が不可欠です。IIJは安全・快適なメール利用を実現するIIJセキュアMXサービスの提供を通じ、脅威リスクの低減とお客様のビジネスの活性化に貢献しています。
<よくあるご質問>
標的型攻撃メールとは何ですか?
標的型攻撃メールとは、特定の組織や個人を狙い、ターゲットに関係する内容などであたかも正常なメールのように誤認・信用させる手口のメールです。メール本文中のURLへのアクセス、悪意ある添付ファイルの開封によって、マルウェアに感染させたり情報を略取したりします。
標的型攻撃メールの訓練は可能ですか?
可能です。標的型攻撃メールを模した訓練メールを実際にユーザに送信し、攻撃への耐性や人的な脆弱性の有無をレポートします。
IIJの標的型攻撃訓練