日本郵政グループCISO様によるユーザー講演をオンデマンドで配信中!

Back to blog

標的型攻撃メールとは?手口・被害・見分け方・対策を解説

Menlo Security | 9月 26, 2023

Share this article

標的型攻撃メールとは、特定の組織を狙う「標的型攻撃」のうち、メールを使った攻撃を指します。機密情報・知的財産・顧客のアカウント情報(ID、パスワード)などを盗むことが主な目的であり、通常のメールと見分けがつかない巧妙な手口が増えています。

この記事では、標的型攻撃メールについて、種類や被害発生のプロセスに加え、被害事例や対策について詳しく解説します。標的型攻撃メールの見分け方や開けてしまった際の対処法にも触れるため、ぜひお役立てください。

1.標的型攻撃メールとは?

標的型攻撃メールとは?

標的型攻撃メールとは、メールを使ったサイバー攻撃です。不特定多数を対象とした一般的なウイルスとは異なり、特定の組織を狙う「標的型攻撃」の一種に分類されます。

主な目的は、機密情報や知的財産・顧客のアカウント情報(ID、パスワード)を盗むことです。ターゲットがよくやり取りをする形式のメールを送りつけ、そこからマルウェア(悪意のあるソフトウェア)配布サイトに誘導するなどの手口がよく使われています。

従来は、国の省庁や大手企業が中心に狙われていましたが、近年では地方公共団体や中小企業もターゲットとなっているため注意が必要です。

1-1.標的型攻撃の種類

標的型攻撃とは、特定の組織や個人を標的に定めたサイバー攻撃を意味します。標的が定まっているからこそ、その組織が罠にかかるであろう考え込まれた内容となっており、世界的にも多くの被害が報告されています。

近年では手法も多様化しており、メール以外にも以下のような被害も報告されています。

標的型攻撃の種類

・Webサイト改ざん

標的のWebサイトを乗っ取り、内容の改ざんを行う。偽物のECサイトへの誘導などが目的で、クレジットカード番号の抜き取りなど金銭的被害が出るため注意が必要。

・DoS・DDoS攻撃

メール爆弾やF5アタックなどを行う手法で、標的のシステムやサーバーをダウンさせることが目的。メール爆弾は、膨大な量のメール・極端にサイズの大きなファイルが添付されたメールのこと。メールボムとも呼ばれ、受信サーバーに大きな負荷を与える。また、F5アタックはサイトのリロード要求を行う「F5キー」を意図的に連打し、標的のサーバーに大きな負荷をかけること。

・水飲み場型攻撃

標的がよく訪れるwebサイトを改ざんし、ウイルスを設置させる手法。ウイルスに感染したデバイス・システムを乗っ取り、標的の内部情報の破壊が目的。

標的型攻撃の中で、メールは特によくある攻撃です。標的型攻撃への備えを考える上で、まずは「標的型攻撃メール」への対策をとることが推奨されます。

1-2.標的型攻撃のプロセス

標的型攻撃には基本的なプロセスがあります。正しくセキュリティ対策を行うには施すために、標的型攻撃の手順を知っておきましょう。

1情報収集
2ターゲットへの接触
3初期潜入
4攻撃基盤構築
5情報の詐取、改ざん、破壊
6痕跡の消去

特徴は、念入りな情報収集と計画性の高さにあります。ターゲットをうまく騙すため、段階を踏んで巧妙な攻撃をしかけるという点に注意しておきましょう。

1-3.標的型攻撃メールと迷惑メールの違い

標的型攻撃メールと迷惑メールは「メールを使ったサイバー攻撃」という点こそ共通していますが、目的や対象などには大きな違いがあります。
迷惑メールが不特定多数を対象としているのに対し、標的型攻撃では最初からターゲットを騙すためだけにメールを作成します。業務に関連の深い内容のメールや、実在する組織名や個人名を詐称するなど、手口が悪質かつ巧妙で対処が難しいのが特徴です。

2.標的型攻撃メールの手口

標的型攻撃メールを使ったサイバー攻撃は、標的の弱点を調べ上げた上で攻撃が実施されるなど非常に巧妙です。加えて、組織的に行われていることが多く、目的が達成されるまで手口を変えながら継続的にされる傾向にあります。

攻撃の手口や傾向を把握し、適切なセキュリティ体制の構築につなげましょう。

代表的な4つの手口について、詳しく解説します。

2-1.添付ファイルによる攻撃

脅威となるプログラムを仕組んだファイルを添付したメールを送りつける手口で、標的型攻撃メールの最も代表的な手法です。悪質なZIPファイルを添付したEmotet感染や、圧縮ファイルの中に脅威となるヘルプファイルを仕組んだケースなどが主流です。特に、マルウェアの一種であるEmotetは、情報の抜き取り・他ウイルスへの感染を引き起こすことで近年脅威を拡大しています。

メールを受信しただけで被害を受けることはありませんが、ファイルを開くと、デバイスのウイルスに感染や不正プログラムの強制インストールが起こります。

2-2.フィッシングサイトへの誘導

フィッシングサイトとは、アカウント・IDやパスワード、クレジットカード番号などの個人情報を入力させ騙し取るために作られた偽サイトです。
金融機関やクレジットカード会社など、実際にやり取りのある企業・担当者を装った内容のメールに、フィッシングサイトのリンクを貼り付け、アクセスを誘導します。

2-3.悪質なサイトへの誘導

アクセスすると接続元のデバイスを強制的にウイルス感染させる、悪質なサイトへのリンクを載せたメールを送る方法です。
添付ファイルやフィッシングサイトを用いた手法とは異なり、アクセスするだけで感染が起こります。脅威に気づけないまま内部情報の抜き取りやアカウントの乗っ取りなどが起こるリスクがあります。

2-4.問い合わせに見せかけた攻撃

顧客や企業からの問い合わせを装った攻撃で、問い合わせ先に悪質なメールを送る手法です。
「商品のカタログを送ってほしい」「商品の詳細が知りたい」といった内容の問い合わせで、商品のURLとして悪質なサイトのURLが載せられています。リンク先のサイトにアクセスすると、脅威となるファイルがダウンロードされたり、デバイスがウイルス感染したりするリスクがあります。

3.標的型攻撃メールによる被害とは?

組織内のネットワークや業務、従業員・顧客の個人情報といった重要事項の漏えいは、企業の存続問題にも関わる深刻な問題です。標的型攻撃メールによる被害について、被害の実情を具体的に把握し、セキュリティ対策について今一度考えてみましょう。

3-1.被害事例

実際に起こった、標的型攻撃メールによる被害例を3つ紹介します。

PCがマルウェアに感染し個人情報が流出

標的型攻撃メールによって、施設内で管理するパソコン1台がマルウェアへ感染。数か月後に感染が発覚したため、該当の端末を隔離。しかし、既に個人情報が窃取・流出していたことが確認。

【被害内容】

  • 施設関係者の個人情報(氏名、住所、メールアドレス)
  • 金融関係の手続き書類に関する情報
  • 施設が責任者を務める会議やイベントなどの出席者の個人情報
詐欺メールによる金銭的被害

取引先を装った偽メールが届き、結果3億円以上もの大金を騙し取られた事件。

取引先を装ったメールアドレスは正しいものと1文字違いで、請求内容も架空のものではなく実際に取引があったもの。標的型メールによりパソコンがウイルス感染を起こしメールアドレスやメールサーバーの内容を隅々まで把握した上での計画的な犯行であると推察。

【被害内容】

  • 被害金額は、回収不能
職員の知人を装った攻撃による感染

発端は、職員の個人メールアドレスに送られた、知人を装ったウイルス付きのメール。職員が業務用のパソコンでメール・添付ファイルを開封したことでウイルスに感染。

【被害内容】

  • 組織の内部情報の漏えい
  • 組織内部から外部への不正アクセス

標的型攻撃メールの内容は非常に巧妙で簡単には見極めることができないものも多いとされています。1台のパソコンがウイルス感染を起こすことで、組織全体のさまざまな情報が抜きとられる他、外部の関係先にも被害が及ぶケースも少なくありません。

4.標的型攻撃メールへの対策

標的型攻撃メールへの対策

総務省によると、国家機密を扱うような府省庁や大手企業はもちろんのこと、中小企業や個人をターゲットとした標的型攻撃メールの被害は増加傾向にあります。

誰でも標的型メール攻撃を受信する可能性があることを認識し、被害に遭わないよう常に危機意識を高く持って正しい対策を講じましょう。

4-1.OS・ソフトウェアを最新にする

OSやソフトウェアを常に最新版にアップデートすることで、Nデイ攻撃を回避できます。

Nデイ攻撃とは、すでに修正プログラムが公開されている脆弱性を狙うサイバー攻撃のことで、標的型攻撃にもよく見られる手口です。OSやソフトウエアを適切に更新していれば防げるものの、管理がおろそかになっていると、そこを狙ったサイバー攻撃の標的なるリスクが高まります。

4-2.社員のリテラシーを高める

セキュリティソフトやOSのアップデートで何重に対策していても、攻撃メールの侵入を100%避けることは困難を極めます。最後は、「リンクをむやみに開かない」「怪しいデータは読みこまない」といった人の手による防衛が必要です。

従業員全員が高い危機感とリテラシーを持って業務にあたれるよう、適切な指導や研修を行いましょう。

4-3.セキュリティ対策ソフトを活用する

不正なプログラムが添付されたメールが送られてきた場合も、既知のものであれば対策ソフトで検知が可能です。また、未知のウイルスに対しても、リアルタイム察知システムにより、怪しい挙動があれば接続を遮断する機能が有効に働きます。必要に応じたソフトやアプリケーションをインストールしましょう。

4-4.標的型攻撃メール訓練を行う

標的型メール攻撃に対する訓練を行い、手口の再認識や危機感の向上を図りましょう。

IT関連製品のベンダーが、標的型攻撃メールの訓練サービスを提供しているケースも増えています。訓練用の疑似メールの送付・開封率の分析・開封後の対処法の指導など、幅広いサービスがあります。

攻撃を疑似体験することで、従業員一人ひとりの警戒感や危機意識の向上が図れる他、社内の防犯リテラシーの可視化も可能です。社員教育の一環として、定期的な訓練の導入を検討してみましょう。

4-5.重要情報を切り分ける

総務省や経済産業省・金融庁などのガイドラインが揃ってセキュリティ対策として推奨しているのが「インターネット分離」です。インターネットの接続環境と機密情報のある内部ネットワークとを分離させることを意味し、サイバー攻撃から重要情報を守る効果が期待できます。

重要なシステムや機密情報に対する外部からのアクセス経路を遮断することで、万が一ウイルス感染を起こした際の被害を最小限にとどめましょう。

5.標的型攻撃メールの見分け方

標的型攻撃メールの見分け方

標的型攻撃メールの特徴を把握することで、開かない・添付ファイルを開けない・リンクをクリックしないなどの対策・危機意識の向上につながります。従業員一人ひとりが、危険性の高いメールを見極める力を身に付けられるよう、指導しましょう。

標的型攻撃メールの5つの特徴を、具体例を交えて解説します。

5-1.メールアドレス

フリーアドレスや見慣れないドメインのメールアドレスから送られてきたメールには注意を払いましょう。また、送信者のメールアドレスと署名欄のメールアドレスが異なる場合も、標的型攻撃メールの可能性が高いと言えます。

【具体例】

・フリーメールアドレスの例

@gmail.com

@yahoo.co.jp

@hotmail.com

・見慣れないドメインの例

@jdibuymeid.or.jp

@rxagxr.ga

また、ドメインが一見すると正規のものと同じであっても、「nとm」や「lとi」など、見落としやすい部分が相違している偽のアドレスというケースもあります。

5-2.件名

標的型攻撃メールを仕掛ける側からすると、まずはメールを開いてもらわなければ何も始まりません。そこで、わざと開封したくなるような目を引く件名を付ける傾向にあります。

心当たりのない件名や執拗に開封を迫るような言い回しの件名が書かれたメールには注意しましょう。

【具体例】

  • Re:Re:Re:Re:問い合わせの件について
  • 緊急 内容を確認し対応願います
  • 【至急】ソフト更新のお願い

5-3.添付ファイル

添付ファイルの形式や拡張子の確認は、標的型攻撃メールの見極めに非常に有効な手段です。

ポイントは、拡張子をチェックする際にはカーソルを近づけるなどして実際のファイル名を確認してください。中には「○○○.pdf         .exe」など、拡張子が表示されないよう意図的にファイル名に空欄を入れているケースもあります。

また、アイコンやファイル名・拡張子の表示自体を偽装しているケースもあるため、念入りな確認が求められます。

特に下記のような拡張子やファイル名には注意しましょう。

【具体例】

  • ショートカットファイル(Inkなど)
  • 実行形式ファイル(exe、scr、cpl、pifなど)
  • ファイル名が文字化けしている

5-4.メールの内容

メールの本文に目を通し、不自然な日本語や日本語では見慣れない漢字が使われていないかなどを確認しましょう。

標的型攻撃メールは、海外で作成・海外から送信されていることも多く、翻訳サイトで作られたものも少なくありません。敬語の使い方・句読点の打ち方・スペースや改行の使い方など、違和感のある文章があれば、標的型攻撃メールの可能性が高いと言えます。

心当たりのないメールは、内容をしっかりと確認する癖をつけることが大切です。

【具体例】

・不自然な日本語

本人の場合は、このメールを「「無視 」してください。
不正なログインされた可能性が高いです。
必要があることを通知することです。
以前に、送った、請求書の 中を今一度確認してほしく、連絡しています。

・見慣れない漢字

稅、这、单、别、值

5-5.送信元への確認

普段あまりやりとりのない相手や心当たりのないファイルが送られてきた際には、送信元に確認を取るのも方法の1つです。その際は、電話や別のチャットツールなど、メール以外の方法を使いましょう。標的型攻撃メールの場合、返信するとリスクが高まります。

メールで確認したい場合には、返信ではなくアドレス帳から新規でメールを作成して確認をとるようにしてください。

6.標的型攻撃メールを開いてしまったときの対処法

標的型攻撃メールの手口は巧妙化しており、注意していても誤って被害を受ける可能性は十分にあります。うっかり標的型攻撃メールを開いたり、添付ファイルやURLにアクションを起こしたりした際の対処法を確認しましょう。

6-1.通信を遮断する

ウイルスに感染した恐れのあるデバイスをそのままにしておくと、ネットワークを経由して他のデバイスに感染が広がる恐れがあります。すぐにLANケーブルを抜き、Wi-Fi・Bluetoothなどの接続も切って、すべてのネットワーク通信を遮断してください。

6-2.担当部署に報告する

まずは、社内でセキュリティ対策を担う部署を定めます。感染した端末の特定や被害状況の把握・再発防止策など、外部の専門機関に協力を求めることが必要な場合もあります。部署内で、トラブル発生時の初動対処について検討しておきましょう。
その上で、社内で何かトラブルが起きた時はすぐに担当部署に連絡をする流れを作り、適切な対処につなげることが大切です。不審なメールが届いた場合、気軽に相談できる環境作りも整えましょう。

まとめ

標的型攻撃メールには、マルウェアを仕込んだ添付ファイル・フィッシングサイトや悪質なサイトへの誘導・問い合わせに見せかけた攻撃などの手口が見られます。標的型攻撃メールへの対策は、OSやソフトウェアを最新に保つほか、情報を分離することや、訓練などを活用しながら社員のリテラシーを高めることが有効です。

また、セキュリティソフトを活用することもおすすめです。メンロセキュリティには、最新の高度な脅威も、分離・無害化によって完全に防ぐ「アイソレーション」という機能があります。巧妙化する標的型攻撃メールへの対策を万全に行いたい場合は、ぜひご相談ください。

こちらもどうぞ

Emotetはもう怖くない 全く新しいアプローチで攻撃を防御する「アイソレーション」

憎いあいつが帰ってきた! Emotet is back!

最も重要なビジネスツールを保護:メールアイソレーション

Share this article

Menlo Securityに関するお問い合わせ

Menlo Securityの製品やソリューションなどに関するお問い合わせをご希望の場合は、フォームにご入力いただき、送信してください。
また、ご意見・ご要望などがございましたら、お気軽にお問い合わせください。