1.標的型攻撃メールとは？

サイバー攻撃といえば、昔は不特定多数を狙った愉快犯のようなものが主流でした。セキュリティの甘いコンピューターに侵入して破壊したり、盗み出した情報を公の場に晒して喜んだりといったものです。しかし、近年のサイバー攻撃では、特定の情報を密かに盗み出すことを目的としたものが多くなっています。悪意のあるハッカーが組織化され、手口も年々高度になってきています。適切な対策をとっていないセキュリティの甘い企業では、大切な情報を盗み出されたことに気づくことさえできない状況です。

特定の情報を盗み出すためには、その情報の所有者に対して攻撃を仕掛ける必要があります。このような、特定の企業・組織をターゲットにしたサイバー攻撃のことを「標的型攻撃」と呼びます。標的型攻撃の多くは、電子メールを用いて行われます。悪意を持った攻撃者が、ターゲットの関係者を装い、コンピューターウイルスなどのマルウェアを添付してメールを送りつけてくるのです。メールを受け取った人が添付ファイルを開いてしまうと、そのコンピューターはウイルスに感染してしまいます。

「そんな迷惑メールのようなものに引っかかるはずがない」と思うかもしれません。しかし、実際の標的型攻撃メールはたいへん巧妙に偽装されており、つい添付ファイルを開いてしまうということもあり得ます。添付ファイルの代わりに悪意あるwebサイトに誘導するためのURLが仕込まれているというケースもあり、自分の手でクリックすることでマルウェアをダウンロードしてしまうこともあります。たった1台のパソコンでも、ひとたび感染すれば社内ネットワークを通じて被害が広がってしまう恐れがありますから、企業として標的型攻撃メールに対策することは重要事項といえるでしょう。

2.標的型攻撃メールの仕組み

サイバー攻撃の最終的なターゲットは「情報」ですが、標的型攻撃メールのターゲットは「人」です。メールを送る相手を騙すことができれば、情報を持つ企業・組織の内部にマルウェアを進入させることができるからです。そのため、標的型攻撃メールには受信者に嘘を信じさせるための手口が使われています。メールの内容を、ターゲットが本当に受け取ることがあってもおかしくないものにするのです。

メールの内容としてよく使われるのは、取引先を装った業務依頼や、公的機関などの権威ある発信元を装った注意喚起などです。いつも業務で使っているメールソフトにこのような内容のメールが届けば、受け取った人は何も疑わないばかりか、むしろ「早急に対応しなければ」と考えて添付ファイルを開いたり、問題あるURLをクリックしたりしてしまうかもしれません。巧妙に仕組まれた標的型攻撃メールは、かなり注意して確認しないと本物と区別できないこともあります。

ターゲットを騙せる確率を高くするために、攻撃者は「ソーシャルエンジニアリング」を行なっている場合もあります。ソーシャルエンジニアリングとは、サイバー攻撃を仕掛ける前に、情報技術以外の方法で下調べをしておくことです。上司や技術担当者になりすまして電話で個人情報を聞き出そうとしたり、シュレッダーにかけ忘れた廃棄文書を漁ったりします。こうして得た本物の情報をもとに標的型攻撃メールが作られてしまったら、誰が騙されてもおかしくないでしょう。

3.標的型攻撃メールによる被害とは？

標的型攻撃メールに騙されてしまった場合、どのような被害があるでしょうか。まず考えられるのは、情報漏洩です。具体的にどの情報が盗まれる恐れがあるのかを知るためには、「自社が保有している情報の中で攻撃者にとって価値のある情報はどれだろうか」と考えてみることが大切です。顧客データや社員の個人情報、発表前の製品・サービスなどに関する機密情報は、狙われる可能性が高いといえるでしょう。

社内のパソコンへの侵入に成功したコンピューターウイルスなどのマルウェアは、社内ネットワークを通してアクセスできるコンピューターから大切な情報を盗み出し、密かにインターネット経由で攻撃者に送信しようとします。このようなマルウェアは可能な限り社内に居座ろうとする性質があるため、ひとたび侵入を許してしまうと、検出・除去されるまでの間は大切な情報が流出し続けることになります。また、攻撃者の用意したwebサイトから新しいバージョンをダウンロードすることで自分自身をアップデートするタイプのマルウェアもあります。こういった手口は、情報を盗み出すための機能が増えるばかりか、セキュリティ対策ソフトに検出されることを逃れる効果もあるため厄介なものです。

また、マルウェアはネットワークを通じて広まっていくことにも注意が必要です。社員が業務で使うパソコンなどの端末機器だけでなく、社内システムの基幹となっているファイル共有サーバーなども狙われるでしょう。また、感染したパソコンを踏み台にして、取引先のネットワークに進入される恐れもあります。感染の広がりを食い止めることができなければ、企業としての信用にも関わる重大事故になってしまうかもしれないのです。このような被害を防ぐためにも、標的型攻撃メールによるマルウェア感染を未然に防ぐ対策が重要になってきます。

4.標的型攻撃メールによる被害の実例

ここでは、標的型攻撃メールによって受けた被害の実例をいくつか紹介します。1つ目は、総務省のパソコンがウイルスに感染した事例です。この事例では、メールに添付された震災関連資料に見せかけたファイルによって、総務省の職員が使用する23台のパソコンがトロイの木馬型ウイルスに感染しました。業務に関する情報だけでなく、職員とその家族の個人情報、業務に関わった人の個人情報などが外部に流出する事態になりました。

2つ目は、世界中の企業が標的になった事例です。米国や英国をはじめ日本を含む世界20カ国の化学関連企業と防衛関連企業の48社が攻撃を受け、101台のマシンがウイルスに感染しました。取引先からの会議出席依頼やセキュリティ更新プログラムの配布を装ったメールに、トロイの木馬をインストールするプログラムが添付されていました。企業の知的財産を盗み出すことが目的の標的型攻撃だと考えられます。

国土交通省四国地方整備局職員のパソコンがウイルス感染した事例もあります。この事例では、行政情報システムのログイン情報のほか、感染したパソコン内に保存されていた第三者（自治体関係や工事関係者、地元ボランティアなど）の個人情報が合計886名分流出した可能性があります。

5.標的型攻撃メールを見分ける方法

標的型攻撃メールからマルウェアに感染してしまう事態を減らすためには、メールが本物かどうかを見分ける目を持つことが大切です。手口が巧妙な場合は判別が難しいこともありますが、それでも注意深く確認すればほとんどのケースでは偽物を見破れるはずです。そのために役に立つ方法を紹介します。

最も有効な方法は、送信者情報を確認することです。過去にやりとりのないメールアドレスから届いたメールや、知らない人の署名が入ったメールは、安易に信用しない方がよいでしょう。また、メールの送信者は偽装されていることもあります。ソーシャルエンジニアリングで入手した情報をもとに、本物のメールアドレスと本物の署名が使われている場合もあるのです。そのため、送信者情報が本物であっても、内容に疑わしい点がある場合は、メール以外（直接電話をかけるなど）の方法で本当にメールを送ったかどうか確認するのが確実です。

メールの文面に不自然なところがないかどうかを確認するのもポイントです。標的型攻撃メールは、海外の攻撃者から送られることも多いためです。句読点の位置や言い回しがおかしかったり、文字化けのような見慣れない記号や漢字が混じっていたりした場合は、攻撃を疑った方がよいでしょう。攻撃者の最終的なターゲットは企業が持っている情報ですから、怪しいメールを受け取ったら社内で情報共有しておくことも大切です。似たような文面のメールが複数の社員に送られてくるようなケースでは、社内で確認し合えば騙されにくくなるでしょう。

6.標的型攻撃メール対策を実施しよう

6-1.対策1：パソコンのセキュリティを万全にする

標的型攻撃メールによる被害を防ぐためには、使用するパソコンのセキュリティ対策を万全にしておく必要があります。コンピューターウイルスの検出・除去などを行うセキュリティ対策ソフトを導入することは、その基本と言えるでしょう。セキュリティ対策ソフトをインストールしておけば、メールの添付ファイルに仕掛けられた既知のコンピューターウイルスを検出できるだけでなく、悪意のあるwebサイトや不正な動作を検知することが可能になります。

また、標的型攻撃メールは、OSやアプリケーションの脆弱性を悪用してコンピューターウイルスを侵入させることもあります。そのため、OSやアプリケーションのセキュリティアップデートがリリースされたら、早めにアップデートを行って常に最新の状態に保っておくことも大切です。

6-2.対策2：添付ファイルの拡張子をチェックする

標的型攻撃メールに添付されているファイルは、実行形式ファイルであることが多いため、拡張子をチェックすることで被害を防げる可能性があります。添付ファイルの拡張子が「.exe」となっているものや、圧縮されている場合には注意が必要です。また、実行形式ファイルを別の形式のファイルに偽装して開かせようとするテクニックもよく利用されています。このようなファイル偽装の手口では、本来の拡張子の前の部分に空白文字と偽の拡張子が埋め込まれていたり、添付ファイルのアイコンに通常とは異なる画像が使われていたりします。

ファイル偽装の手口は大変巧妙ではありますが、よく注意して確認を行えば見破ることができます。メールに添付されたファイルは安易に開かずに、必ず拡張子をチェックするように心がけましょう。

6-3.対策3：メールサーバーを設定する

マルウェア感染のリスクは、メールサーバーの設定でもある程度軽減することが可能です。標的型攻撃メールの添付ファイルの多くは実行形式か、スクリプトなどの実行可能部分を含んだドキュメント、あるいはそれらをZIP形式などで圧縮したものです。このような疑わしいファイルを会社宛てメールの受信サーバーで事前に隔離してしまえば、受信者は問題のある添付ファイルを安易に開くことができなくなります。

なお、会社のメールサーバーに対策を施しても、社員が別のサーバーを経由してメールを受信するようなことがあっては効果が薄れてしまいます。適切なリスクコントロールのためには、会社のメールサーバーにセキュリティ対策が施されていることを社内で周知し、他のメールサーバーを使用しないようにルールを徹底する必要があるでしょう。

7.社内の標的型攻撃メール対策で大切なこと

標的型攻撃メールへの対策は、企業・組織にとって重要な課題です。たった1台のパソコンがマルウェアに感染するだけで、その被害は大きく広がってしまう恐れがあるためです。被害を未然に防ぐためには、標的型攻撃メールとはどういうもので、どうすれば偽物のメールを見破ることができるのかを全ての社員にレクチャーし、日頃からメールの内容をよく確認するよう周知徹底することが必要です。

IT部門においては、標的型攻撃メールが社員の手に届くより前に、メール受信サーバーでリスクを取り除く設定をしておくことが必要です。日頃から会社宛てに届いた標的型攻撃メールに関する情報を収集し、最新の情報を社内で共有することも役に立つでしょう。また、万が一マルウェアに感染してしまった場合も想定して、マルウェアの検出と除去、破壊されたデータの復旧などを行える仕組みを作っておくことも被害拡大の防止に役立ちます。外部からの侵入を防ぐためのセキュリティ対策とあわせて、大切な情報の漏出を水際で食い止める対策についても検討するとよいでしょう。