ここでは特定の企業や組織を狙い撃ちする標的型メール攻撃について調査。攻撃によりどのような被害を受けてしまうのか、標的型メール攻撃に遭った企業の事例をご紹介します。
不特定多数が対象ではなく、特定の企業や団体・組織をターゲットとして情報を盗み出すなどの、目的をもったメールを送りつけることを標的型メール攻撃と言います。件名や署名などを似せるなど、あたかも業務に関係するメールであるかのように見せ、開封したりリンクをクリックするとウイルスに感染する仕掛けになっています。
ウイルス付きのメールが送信された企業の担当者などは、そのメールが業務に関連するものだと疑いなく開封してしまうように巧妙に作り込まれている点が特徴となっています。以前は大企業や省庁などが狙われる傾向があったものの、近年では中小企業や地方公共団体なども標的型メール攻撃のターゲットとなっているケースも見られます。
この、特定の組織で保有している重要な情報などを盗むことを目的として送信される標的型メール攻撃の恐ろしい点は、その組織の誰かひとりでもメールに記載されているリンクをクリックする、添付ファイルを開いてしまうなどすると企業の機密情報が漏えいする可能性がある、という点です。ウイルス対策ソフトを入れているからいいだろう、と思う方もいるかもしれませんが、このようなメールのウイルスはウイルス対策ソフトでは検出できないものもあることから感染してしまっても気付くのが遅れてしまい、いつの間にか被害が拡大してしまう可能性もあります。
一般的なスパムや迷惑メールは気がつきやすいですが、標的型メールは一見すると不審な点がなく、件名に【重要】といった言葉が付与され開封を促す仕掛けがあります。そのため、知らないうちに社内でウイルス被害が拡大。気がついた時にはすでに重要な情報が奪われた後で、企業にとって深刻な損害をもたらすことになります。
2016年6月14日、大手旅行会社のJTBは不正アクセスにより顧客の個人情報が流出した可能性があることを発表しました。取引先の航空会社を装ったメールの添付ファイルを社員が開いてパソコンとサーバーが標的型ウイルスに感染。問題のファイルは旅行チケットのPDFだったため、ウイルスメールであることに気がつきませんでした。
日本年金機構は2015年6月、複数の端末がウイルスに感染し、約125万件の個人情報が
漏洩していたことを発表しました。複数回に分けて添付ファイル付きのメールが送られ、受け取った職員が開封したことが感染の原因。発生したのが個人情報を管理する国の機関であったことから大規模な情報漏洩事件に発展することになりました。
2014年9月に日本航空のマイレージ会員の個人情報が流出した事件は、社外から送られた標的型メール攻撃が原因でした。マルウェアが添付されたメールを社員が開封したことで23台の社内パソコンがウイルスに感染。その中に顧客情報システムに接続するパソコンがあったため氏名や住所などの個人情報が盗まれてしまいました。
標的型メール攻撃は、添付されているファイルを開封したりURLリンクをクリックすることでウイルスに感染し発生します。ファイルを開かなければ防ぐことはできても、取引先などに成りすまされると気がつきくいのが難点です。
不審なファイルは開かないことは原則ですが、一見するとわからないことも多く、社内の別ルートからウイルス感染の可能性もあります。社内教育などで、全社員のサイバー攻撃に対する危機意識や知識を高めておかないと攻撃を受けやすくなります。
標的型メール攻撃に対して、社員教育や研修は重要です。社員はセキュリティポリシーやフィッシング詐欺の認識方法、マルウェアの感染リスクに関するトピックを学ぶことが大切です。また、実践的な訓練やシミュレーションを行うことで、実際のシナリオに対する社員の認識や対応能力を向上させることができます。これによって、標的型メールからの保護を強化し、個人情報の漏洩やマルウェア感染などのリスクを最小限に抑えることができます。社員教育や研修は、セキュリティリスクからの保護とビジネスのスムーズな運営に不可欠な要素です。
セキュリティポリシーの整備して、業務上のサイバーセキュリティに関する方針や規則を定めます。次にE-mailフィルタリングやアンチウイルスソフトなどのセキュリティツールを導入することで、攻撃や感染からの保護を強化できます。そしてシステムやデータが破壊された場合に備え、バックアップと復旧計画を策定しておくことが重要です。
これらの対策によって、サイバー攻撃や人為的なミスからの保護を強化し、ビジネスの中断や評判の悪化などのリスクを最小限に抑えることができます。
問合せをされた方には
\「5分でわかる標的型メール攻撃(初級編)」をプレゼント/
かつての標的型メール攻撃の場合は、英語の件名などひと目で怪しいとわかるメールが多い傾向がありましたが、近年のものは例えば「アンケート調査」や「取材申込」「災害情報」などさまざまな件名が記載されており、思わず開封してしまいたくなるようなメールが多くなっています。
ただし、これらの件名を見て内容に心当たりがあるか・送信先からの情報が今まで届いたことがあるかなどを考えてみましょう。心当たりがない場合には標的型メール攻撃である可能性が高いといえます。
標的型メール攻撃かどうか見分けるためには、メールアドレスもチェックしましょう。怪しいメールアドレスの例としては、「送信元がフリーアドレスである」「差出人メールアドレスと本文に記載された署名のアドレスが異なる」といったパターンが考えられます。
まずはフリーメールのアドレスから送られてきている場合には、まずそのアドレスに心当たりがあるかどうかを確認しましょう。心当たりがあるメールアドレスなら問題ない可能性が高いですが、知らないメールアドレスだった場合は注意が必要です。
メールの本文も注意しておきたい部分といえます。
例えば「日本語の言い回しが不自然」といった点や「日本語で普段使用されない漢字が含まれている」「本文に記載されたURLに実際にある企業名などが含まれる」「問い合わせ先などが誤っている」などの場合には注意しましょう。
特に不自然な日本語の場合は本文を読めばすぐに違和感を感じるはずです。この場合には海外から日本の企業を装って標的型メール攻撃を行っている可能性もあります。
標的型メール攻撃の中には、ファイルが添付されているものもあります。まず、添付ファイルがある場合にはその時点で攻撃を受けている可能性がないか疑うと良いでしょう。その中でも、拡張子が「.exe」「.scr」となっている実行形式ファイルや、「.lnk」といったショートカットファイルが添付されている場合には、特に注意が必要。この場合には標的型メール攻撃である可能性を疑いましょう。
ただし、上記のような実行形式ファイルが他の形式のファイルに偽装されている場合もありますので、添付ファイルを開く場合には送り先について確認してからにするのがおすすめです。
ここでは、事前にできる有効な対策を6つ紹介します。
OSが古い場合には、システムの脆弱性が狙われてしまう可能性があることから、使用しているPCのOSやソフトウェアを最新の状態に保つように心がけるといった点も大切です。もし脆弱性があるOSやソフトウェアを使用している場合には、不正なプログラムが容易に侵入できてしまう、ということになりますので注意が必要です。
ただし、従業員が多い企業などにおいてはIT資産ツールなどを活用して管理を行うこともおすすめです。
脆弱性診断(セキュリティ診断)とは?
目的や必要性について詳しく見る
考えられる対策のひとつとして、セキュリティ対策ソフトをインストールしておく方法もあります。このようなソフトには限界もあるものの、基本的な対策としてソフトを活用しましょう。
さまざまなセキュリティ対策ソフトがありますので、どのような機能を持っているかを確認しながら利用するソフトを検討した上でインストールを行ってください。
標的型メール攻撃について、社内で情報共有を行っておく点も大切です。例えば、もし被害にあってしまった場合にはどのように対応するのかといった点をしっかりと決めておき、社内でこの情報について共有しておく、という方法も考えられます。
この場合のポイントとしては、情報共有を1回で終わらせないという点。どうしても日々の業務の中で忘れがちになってしまう部分なので、定期的に情報の周知を徹底しておくことがおすすめです。
標的型メール攻撃の対策としては、企業で「疑似体験」を行うという方法もあります。この方法を行う場合には、従業員に対して実際に疑似的な標的型メールを送信し、メールに記載されている不正なURLをクリックしないか、また添付ファイルを開封したり実行したりしていないかといった点を確認します。この時、開封や実行してしまった割合を分析することも可能です。
このように、疑似体験を実施すると従業員に危機意識を持ってもらうことにもつなげられます。1回で済ますのではなく、何度も訓練を繰り返していけば、不審なメールが届いた際にしっかりと対応できるように意識づけを行えるでしょう。
従業員に対してセキュリティ教育を行うのも、有効な方法のひとつといえます。企業で使用しているデバイスの取り扱い方や、セキュリティに関して基本的な知識の共有を行うほか、どのようなものが標的型メール攻撃といわれるものなのか、どのように見分けるべきかといった点などを教育しておくことがおすすめです。
このようなセキュリティ教育を行うと、従業員に「注意しよう」という気持ちが生まれます。怪しいメールが来た場合にもしっかりと対応できるようになりますので、従業員へのセキュリティ教育はぜひ行っておきたい対策です。
実際に被害にあってしまった時のことを考え、「データの定期的なバックアップ」「重要な情報を隔離しておく」といった方法もおすすめといえます。このような対策を行っておけば、従業員の誰かが万が一ウイルスに感染してしまった場合でも、被害を最小限に抑えられる可能性があります。
本サイトの監修者であるアルファネットでは今回解説した標的型メール攻撃を以外にも、外部からの不正アクセスや内部情報漏えいを引き起こすサイバー攻撃への対策のためのアドバイスや社員のセキュリティ教育なども行っています。自社のサイバー攻撃対策が不十分と思われる場合は、相談してみてはいかがでしょうか。
当ページの監修協力であるホワイトハッカーが所属する株式会社アルファネット。事務機器用品を中心とするカタログ通販サービス「たのめーる」が有名な大塚商会のグループ企業です。
大塚商会はコンピュータ・ネットワーク関連のシステムインテグレーション事業や、コンピュータ機器の保守、アウトソーシングのサービスも中核にしており、その中でアルファネットはサイバーセキュリティ対策の専門グループ企業として活躍しています。
巨大なデータベース・ネットワークを日々守り続けているのは、ホワイトハッカーの主導による正確な診断と、ツールによる包括的な診断によるもの。大塚商会のグループ企業や顧客を中心に、そのサービスを提供してきました。
またメール訓練など、社員育成の提供にも力を入れています。
アルファネットが提供するのは委託型サービス!
メール形式やテンプレート、差出人などカスタマイズが可能です。
対象者の人数や送信回数によって価格が変わるため、まずは問い合わせてみてください。
問い合わせをされた方には
\「5分でわかる標的型メール攻撃(初級編)」をプレゼント/
企業に大きなダメージを与える
サイバー攻撃や人為的なミスによっては、個人情報や機密情報の漏洩、マルウェア感染、不正アクセス、金銭的損失などのリスクがあります。また、フィッシング詐欺やマルウェアのダウンロードなどの犯罪行為にも巻き込まれる可能性があります。