「自分はフィルタリング機能を活用しているから迷惑メールなんて怖くない」
「怪しいメールの添付ファイルは開かないように徹底しているから安全」
などと考えていませんか?
標的型攻撃メールとは、迷惑メールの一種で、開封すると情報漏洩やウイルス感染の原因になります。
標的型攻撃メールは、特定の企業や組織に特化して精巧に作りこまれているため、注意深く確認しても見抜くことは非常に難しいです。
一般的な迷惑メールよりも作りこまれた標的型攻撃メールは、自分だけは安全だと考えている人にとって大きな脅威になります。
本記事では、
- 標的型攻撃メールの見分け方
- 標的型攻撃メールを開いてしまった場合の対処法
について解説します。
標的型攻撃メールとは
標的型攻撃メールとは、迷惑メールの一種で、メール内に記載されたリンクや添付ファイルを開くと情報漏洩やウイルス感染などの被害にあってしまいます。
標的型攻撃メールの最大の特徴は、標的としている組織に特化した内容が書かれていることです。
また、一般的な迷惑メールと比べて、高い資金や技術力をかけて精巧かつ巧妙に作られています。
標的型攻撃メール以外の迷惑メールについて知りたい方は、こちらの記事をご覧ください。
目的=機密情報を盗み取ること
標的型攻撃メールの目的は、機密情報を盗み取ることです。
そのため、顧客の個人情報などの機密情報を多く持つ大企業や公的機関がターゲットになることが多いです。
一般的な迷惑メールが誰にでも当てはまる内容であるのに対し、標的型攻撃メールは業務に関わる内容や初めての相手からの連絡でも違和感のない内容が書かれています。
標的としている組織について調査をしたうえで巧妙に作成されているため、よく確認しても見分けることは非常に難しいです。
特定の企業や組織を狙うことが多い
標的型攻撃メールの主なターゲットは特定の大企業や組織です。
しかし、近年では中小企業がターゲットにされるケースも増加しています。
標的型攻撃メールの背後には国家や関連機関などが関わっている可能性もあり、豊富な資金や高い技術を用いて巧妙に作られています。
また、情報を盗めるまで何度も攻撃を続けるケースが多く、場合によっては長期間(数年単位)にわたって攻撃され続ける可能性もあります。
標的型攻撃メールの3つの手口
標的型攻撃メールの手口は巧妙化で多彩です。
その中でも多くは以下の3種類の手口があります。
- 添付ファイルにウイルスを仕込む
- ウイルス感染に繋がるURLへ誘導する
- フィッシングサイトへ誘導する
それぞれ解説します。
①添付ファイルにウイルスを仕込む
標的型攻撃メールの手口として、添付ファイルにウイルスを仕込む方法があります。
添付ファイルを開くことで、ウイルスに感染してしまいます。
標的型攻撃メールの場合、添付ファイルはビジネスシーンでの利用が多いWord/Excel/PDF形式である可能性が高いです。
万が一、ウイルスが仕込まれたファイルを開いてしまった場合には、速やかにネットワーク遮断/社内のセキュリティ担当者へ連絡することが重要です。
②ウイルス感染に繋がるURLへ誘導する
標的型攻撃メールの手口として、ウイルス感染に繋がるURLへ誘導する方法があります。
メール内に書かれたURLをクリックすると、ウイルス感染に繋がるウェブページへ飛ばされてしまいます。
ウイルスに感染すると、社内の別の端末へウイルスが拡散していったり、ウイルスに機密情報を外部に送信されたりします。
万が一、ウイルス感染に繋がるリンクを開いてしまった場合には、速やかにネットワーク遮断/社内のセキュリティ担当者へ連絡することが重要です。
③フィッシングサイトへ誘導する
標的型攻撃メールの手口として、フィッシングサイトへ誘導する方法があります。
メール内に書かれたURLをクリックすると、フィッシングサイトに飛ばされてしまいます。
フィッシングサイトでは、IDやパスワードの入力を求められ、気が付かずに入力してしまうとIDパスワードを盗み取られてしまいます。
このようにして盗み取ったIDパスワードを利用して社内アカウントに不正ログインをされると、社内の機密情報も盗み取られてしまいます。
フィッシング対策には、鉄壁PACKがおすすめです。
\自社のなりすましサイトの検知・フィッシング対策に!/
標的型攻撃メールの被害事例2選
標的型攻撃メールは、大手企業や公的機関など大規模な組織を主なターゲットとしているため、被害にあってしまった場合、多くの人に影響が及ぶ大きな事件になる傾向があります。
ここでは、被害事例を2つ紹介します。
【事例1】日本年金機構への攻撃
2015年、日本年金機構が標的型攻撃メールにより攻撃を受け、125万件以上の年金情報が流出してしまいました。(※参考:日経クロステック)
攻撃メールの件名は「『厚生年金基金制度の見直しについて(試案)』に関する意見」で、これは日本年金機構の業務に関わるキーワードを含むため、標的型攻撃メールであると見抜くのは非常に困難であったと思われます。
また、一通目のメールが開封されてしまった後には、さらに追加で100通以上のウイルス付きの不審なメールが職員たちのもとに送られました。
【事例2】旅行会社JTBへの攻撃
2016年、大手旅行会社JTBが標的型攻撃メールによる攻撃を受け、有効期限中パスポート番号と氏名や生年月日といった個人情報が流出してしまいました。(※参考:日経クロステック)
攻撃メールの件名は「航空券控え 添付のご連絡」で、添付ファイルは圧縮ファイルでその中に航空券のeチケットのPDFファイルが入っていました。
また、メール本文の問い合わせ内容にも不自然な点はなかったため、これも標的型攻撃メールであると見抜くのは非常に困難であったと思われます。
標的型攻撃メールの見分け方9つ
上の事例のように、標的型攻撃メールを見抜くのは非常に困難です。
しかし、以下の点を注意深く確認することで、標的型攻撃メールを見つけることができる可能性が高くなるので覚えておきましょう。
- メールアドレスのドメインがフリーメール
- メールアドレスのドメインが偽装されている
- 差出人のアドレスとメール文末に記載されたメールアドレスが違う
- Word/Excel/PDF形式のファイルが添付されている
- 添付ファイルのファイル名やアイコンが偽装されている
- 緊急や重要などの表現を含むことが多い
- 最近やりとりしていなかった相手から突然メールが届いた
- 最近のやりとりと関係ない内容のメールが届いた
- 初めての相手からの連絡でも違和感のない内容が書かれている
また、標的型攻撃メールへの対策方法は以下の記事にて紹介しているので併せてご確認ください。
それでは標的型攻撃メールかどうかの見分け方について解説していきます。
①メールアドレスのドメインがフリーメール
メールアドレスのドメインがフリーメールの場合、標的型攻撃メールである可能性が高いです。
怪しいメールは、表示される差出人名だけではなくメールアドレスのドメインを確認するようにしましょう。
表示される差出人名が知り合いや知っている企業の名前でも、ドメインがフリーメールの場合は標的型攻撃メールと疑った方が良いでしょう。
②メールアドレスのドメインが偽装されている
メールアドレスのドメインが偽装されている場合、標的型攻撃メールである可能性が高いです。
ドメインが偽装されているメールアドレスはDMARCを活用することで、迷惑メールとして判定したり、そもそもメールを受信しなくすることができます。
DMARCについてより詳しく知りたい方は、こちらの記事をご覧ください。
③差出人のアドレスとメール文末に記載されたメールアドレスが違う
差出人のアドレスとメール文末の署名欄に記載されたメールアドレスが違う場合、標的型攻撃メールである可能性が高いです。
署名欄のメールアドレスは、実在するアドレスに似せてある場合もあります。
また、メールアドレス以外にも所属組織名や電話番号が間違っていないか確認することで攻撃メール見抜ける場合もあるため、署名欄の確認は特に念入りに行うと良いでしょう。
④Word/Excel/PDF形式のファイルが添付されている
Word/Excel/PDF形式のファイルが添付されている場合、標的型攻撃メールである可能性があります。
業務に関わるメールを装うために、ビジネスでよく用いられるWord/Excel/PDF形式のファイルが添付されている傾向があります。
そのほかにも、実行形式の.exe、圧縮ファイルの.zip、ショートカットの.Inkも悪用される可能性が高い形式ですので、併せて注意しましょう。
⑤添付ファイルのファイル名やアイコンが偽装されている
添付ファイルのファイル名やアイコンが偽装されている場合、標的型攻撃メールである可能性があります。
まず、拡張子はデフォルト設定では非表示になっているため、必ず表示するようにしましょう。
その上で、「ファイル名.txt.exe」のような二重拡張子や、「ファイル名.txt .exe」のように空白を多用する偽装方法が用いられていないか確認しましょう。
また、よく用いられる拡張子には拡張子ごとの特定のアイコンがありますが、独自のアイコンを設定することも可能です。
見慣れたアイコンだからと言って、拡張子を確認しないままで開くことがないように気をつけましょう。
⑥緊急や重要などの表現を含むことが多い
緊急や重要などの表現を含むことが多い場合、標的型攻撃メールである可能性があります。
このような急かす表現を使うことで、読み手を焦らせて判断力を低下させたり早計な判断を促しています。
緊急と書かれていても、焦らず冷静に確認を行って攻撃メールか判断しましょう。
⑦最近やりとりしていなかった相手から突然メールが届いた
最近やりとりしていなかった相手から突然メールが届いた場合、標的型攻撃メールである可能性があります。
しばらくやりとりが無かった知り合いは、成りすましやすく警戒されにくいため標的型攻撃メールのなりすまし元として利用されやすいです。
⑧最近のやりとりと関係ない内容のメールが届いた
最近のやりとりと全く関係のない内容のメールが届いた場合、標的型攻撃メールである可能性があります。
最近のやりとりの内容を知らない第三者のなりすましと考えられます。
もちろん本人からの連絡の可能性もあるので、可能であれば別の手段で本人に確認してみると良いかもしれません。
⑨初めての相手からの連絡でも違和感のない内容が書かれている
初めての相手からの連絡でも違和感のない内容が書かれている場合、標的型攻撃メールである可能性があります。
違和感のない内容とは、アンケート調査、取材の申し込み、商品の問い合わせ、履歴書送付などです。
このような内容にすることで、攻撃メールかもしれないと思っていても開封しざるを得ない状況に追い込まれることもあります。
標的型攻撃メールを開いてしまった場合
万が一、標的型攻撃メールに添付されたファイルを開いてしまった場合、使用していた端末がウイルスに感染する、社内のパソコンにウイルスが拡散されるなどといった被害にあう恐れがあります。
万が一、標的型メールを間違って開いてしまった場合は以下のことを速やかに行ってください。
- ネットワークを遮断する
- 社内のセキュリティ担当者へ連絡する
これらを行うことで、パソコンがウイルスに感染したり、機密情報を勝手に外部に送信するのを防ぐことができます。
ネットワークを遮断する
標的型攻撃メールを開いてしまった場合は、まずパソコンをネットワークから遮断しましょう。
組織の中で誰か1人がウイルス感染してしまった場合、一気にその組織全体にウイルスが広がってしまう危険性があります。
そのため、ウイルスへの感染が疑われる場合は、パソコンをネットワークを遮断しましょう。
また、有線で接続している場合はLANケーブルを抜きwifiのスイッチをオフにして物理的に遮断すると良いでしょう。
社内のセキュリティ担当者へ連絡する
標的型攻撃メールを開いてしまった場合は、必ず社内のセキュリティ担当者へ連絡しましょう。
ウイルス感染時の社内のルールがあればルールに従ったうえで、状況を整理して分かりやすく伝えましょう。
自己判断や隠蔽は事件を大きくする原因になるため、絶対にしてはいけません。
また、報告後は担当者の指示に従うようにしましょう。
まとめ
本記事では、標的型攻撃メールの見分け方や開いてしまった場合の対応を解説しました。
標的型攻撃メールを見分けるのは非常に難しいですが、
- メールアドレスのドメインがフリーメール
- メールアドレスのドメインが偽装されている
- 差出人のアドレスとメール文末に記載されたメールアドレスが違う
- Word/Excel/PDF形式のファイルが添付されている
- 添付ファイルのファイル名やアイコンが偽装されている
- 緊急や重要などの表現を含むことが多い
- 最近やりとりしていなかった相手から突然メールが届いた
- 最近のやりとりと関係ない内容のメールが届いた
- 初めての相手からの連絡でも違和感のない内容が書かれている
に複数当てはまる場合は、標的型攻撃メールである可能性が高まります。
さらに、標的型攻撃メールの対策を知りたい場合は、こちらの記事をご覧ください。
