<< Return Home

【怪しいメールが届いた、さあどうしよう!?】

▼「標的型メール」偽装の手口

 標的型攻撃のメール(標的型メール)には、いくつかポイントがある。メールの件名や本文、送信元のメールアドレス、添付ファイルやURLリンクの有無などだ。


▼ 標的型攻撃は「一発」では終わらない

 自社が標的型攻撃の対象になっていることが判明したら、社内での情報共有が不可欠だ。

別の攻撃メールが送られてくる可能性が高いためだ。


▼ ウイルス感染でも「初期化」は厳禁

 従業員に怪しいメールが送られてきた場合、セキュリティ担当者は、できる範囲で構わないので、ウイルス感染の可能性を調査しよう。




Link1:

「標的型メール」偽装の手口

 従業員から「怪しいメールを受け取った」と報告を受けたら、使っているパソコンを社内ネットワークから切り離すよう指示する。切り離しが済んだら、次に、不審なメールを調査する。調べるポイントは、メールの件名や本文、送信元のメールアドレス、添付ファイルやURLリンクの有無など(図6)。そのほか、報告者が気付いた点があれば聞いておく。

図6 ●怪しいメールの特徴
怪しいメールにはいくつか共通する特徴があるのでそれらをチェックする。
こうした特徴に該当するメールは、ウイルスが添付されている可能性が高いので、より一層注意する。

 添付ファイルやURLがなければ、ウイルス感染の恐れはほぼないと考えてよい。逆に、これらがある場合には、ウイルス感染の可能性を考慮する。

 メールの送信元アドレスも大きなヒントになる。社内や取引先からの業務メールに見えるのに、送信元がフリーメールのアドレスの場合には要注意だ。標的型攻撃メールの送信には、フリーメールが使われることが多い。疑われないようにするために、本文中に「外出中のためフリーメールから送ります」などと書くケースもある。

 日本語では使われない漢字が本文に見られる場合も、攻撃メールの可能性がある。メール末尾の署名もポイントになる。業務上のメールに見えるのに、署名がなかったり、名字だけだったりした場合には警戒した方がよい。

添付ファイルに要注意

 ファイルが添付されている場合には、そのファイル形式に注意する。例えば、アイコンがWord文書で拡張子が一見「.docx」に思えても、よく見るとその後ろに空白(ブランク)が入っていて、一番最後に「.exe」と表示されているケースがある。これは間違いなく、Word文書に偽装した実行形式のウイルスだ。

 実際に文書ファイルであっても、Word文書(.doc)、Excel文書(.xls)、PDF(.pdf)などの場合には、これらを開くアプリケーションの脆弱性を突くウイルスの場合もあるので油断できない。

 また、通常はメールで送らないショートカットファイル(.lnk)を使う攻撃も確認されている。ショートカットファイルには、スクリプトを含められる▼ ためだ。

 暗号化ファイルを添付しているメールに、そのパスワードが記載されているケースも警戒しよう。通常は、暗号化ファイルを添付したメールとパスワードを記載したメールは別々に送られるためだ。別々に送ることで、情報漏洩リスクの低減を狙う。一方攻撃者が同じメールで送るのは、暗号化だけが目的だからだ。暗号化して、ゲートウエイ型のウイルス対策製品を回避しようとする。一般的にゲートウエイ型の対策製品は、暗号化ファイルを検証できない▼ 。

▼ スクリプトを含められる
通常は、ファイルやフォルダーのパスを記述する、ショートカットファイルの「リンク先」にスクリプトを仕込んでおけば、そのショートカットファイルをダブルクリックするだけで、その内容が実行される。つまり、ショートカットファイルには、実行形式ファイルと同様の危険性がある。例えば、攻撃者のWebサイトからウイルスをダウンロードおよび実行させるスクリプトが含まれている場合、ショートカットファイルをダブルクリックすると、ウイルスに感染してしまう。

▼ 検証できない
製品によっては、暗号化されていない情報から、ウイルスの有無を検証できる場合がある。


Link2:

標的型攻撃は「一発」では終わらない

 企業や組織に届いた「怪しいメール」は、標的型攻撃の端緒である可能性がある。セキュリティ担当者は、細心の注意を払って調査する必要がある。

 メールを調べた結果、実際には正規のメールだったと確認できれば調査は終了。該当パソコンのネットワーク接続を復旧させる。

 攻撃メールの可能性がゼロではない場合は、攻撃メールだと想定して作業を進める。次にすべきは、社内での情報共有だ。自社が攻撃対象になっている恐れがあること、不審なメールが送られていること、添付ファイルを安易に開かないことなどを注意喚起する。

 というのも、本当に標的型攻撃だった場合、別の攻撃メールが送られてくる可能性が高いためだ。報告者以外に既に送られている恐れもある。標的とした企業に複数の攻撃メールを送信して、成功率を高めるのが常とう手段だ。

 例えば、2015年5月の日本年金機構への標的型攻撃では、124通の攻撃メールが送られている(表1)。 検証報告書▼によると、最初の攻撃が判明した際、日本年金機構では、職員に対して注意喚起したものの、攻撃メールの具体的な内容は伝えなかった。不審なメールを受け取った際の具体的な対応方法(例えば、「添付ファイルを開かない」)も指示しなかったという。

表1 ●標的型攻撃メールはたくさん送られてくる
標的型攻撃では、ターゲットとした企業・団体に対して複数の攻撃メールが送られてくる。
例えば日本年金機構には 124通の攻撃メールが送られた。

 その結果、攻撃メールの添付ファイルを5人の職員が開き、最終的に31台のパソコンがウイルスに感染した。攻撃メールの件名は4種類。そのうち1種類については98件送られているので、情報を共有すれば、被害を抑えられた可能性が高い。

 注意喚起では、できるだけ具体的に知らせるのが重要だ(次ページの図2-7)。同じような内容の攻撃メールが送られてくる可能性は高い。注意喚起に説得力を持たせる効果もある。今後、怪しいメールを受け取った場合の対応方法や連絡先も記載する。

 該当のメールを受け取った従業員が、既に添付ファイルを開いている場合もある。そういった従業員が報告しにくくなるので、「該当の添付ファイルを開いたら厳罰に処す」などと脅しの文句を注意喚起に入れてはいけない。

 加えて、別の文面や添付ファイル名の攻撃メールが送られる可能性があることを強調するのも重要だ。日本年金機構の例でわかるように、メールの内容や添付ファイルを変えてくるケースもあるからだ。件名や本文が異なる攻撃メールを確認した場合は、注意喚起の内容を更新し、再度周知させる。

▼ 検証報告書
厚生労働大臣が立ち上げた第三者検証委員会「日本年金機構における不正アクセスによる情報流出事案検証委員会」が 2015年8月21日に公表した検証報告書(http://www.mhlw.go.jp/kinkyu/dl/houdouhappyou_150821-02.pdf )40pages。


Link3

ウイルス感染でも「初期化」は厳禁

調査の際に心掛けてほしいのは、できるだけ証拠を残すこと。セキュリティベンダーに調査を依頼する際、証拠がないと、感染の原因や被害の内容を調べるのが困難になる。

 例えば、ウイルス感染が確実になったからといって、慌ててハードディスクをフォーマットするのは厳禁。社内ネットワークからパソコンを切り離してあれば、感染が拡大する心配はない。

 まずは、報告者が取った行動を尋ねる。添付ファイルの実行やURLのクリックといった行動を取っている場合は、ウイルスに感染した可能性は高いと考えよう。

 パソコン画面の表示やアプリケーションの動作に異変がなかったかも尋ねる。画面上にいつもは表示されないウインドウや文字などが表示された場合、ウイルスに感染している可能性は高い。

 逆に、いつもは表示されるはずのメッセージなどが現れなかった場合も、ウイルス感染などの異常が発生している恐れがある。

 一般的なアプリケーションで、業務データのファイルを開いてみるのも確認ポイントの1つだ。業務データを利用不能にする「ランサムウエア」が出回っているからだ。ランサムウエアは業務データを暗号化し、「暗号化したファイルを元に戻したければ金銭を支払え」と脅すウイルス。ランサムウエアに感染していると、脅迫や金銭の振込先を指示するメッセージが表示される。こういったメッセージが表示されれば、ウイルスに感染しているのは間違いない。

 なお、このとき表示されるメッセージはランサムウエアの種類を特定する上で重要だが、一度消してしまうと二度と表示されないものがある。このため表示された際には、スマートフォンなどで画面の写真を撮っておこう。もしセキュリティ担当者への第一報の際に既に表示されているようなら、その画面を撮影あるいはキャプチャーしておくよう指示する。

 添付ファイルを開いた際などに、ウイルス対策ソフトが反応したかどうかも確認しよう。報告者に尋ねるのはもちろん、ウイルス対策ソフトのログもチェックする(図8)。

図8 ●ウイルス対策ソフトのログを確認
Symantec Endpoint Protectionの例。該当パソコンのウイルス対策ソフトの検出結果を確認する。
ウイルス対策ソフトの処理状況によって、表示内容が変わる場合がある。
ウイルス対策ソフトが検出できなかったという可能性はあるので油断は禁物。

 ただ、ウイルス対策ソフトの反応が無かったからといって、ウイルスに感染していないとは判断できない。特定の攻撃用に作られたウイルスは検出できないことが多いからだ。

 あるウイルスは検出・駆除(隔離)できたが、別のウイルスには感染したままの可能性もある。最近のウイルスは、感染すると別のウイルスをダウンロードして感染被害を拡大させる「ダウンローダー」型が多い。「最初のウイルスは検出できておらず、後からダウンロードされたウイルスだけを検出できた」という可能性は大いに考えられる。ウイルス対策ソフトの反応の確認は、セキュリティベンダーなどへの報告のために必要な作業だと考えよう。

最後はベンダーに頼む

 該当パソコンの隔離とウイルス感染の有無を調査したら、初期対応はほぼ終了だ。ここから先の詳細な解析は、一般的なセキュリティ担当者には難しい。ここまでの調査で、ウイルスに感染した可能性が高い場合や、ウイルス感染の有無をきちんと調べたい場合には、セキュリティベンダーに依頼する(図9)。セキュリティベンダーが対応に着手するまでは時間がかかるかもしれないが、とりあえず応急処置は終了しているので慌てなくても大丈夫だ。

図9 ●セキュリティベンダーに伝えるべきポイント
ウイルス感染の可能性が高い場合や、きちんと調べたい場合にはセキュリティベンダーに調査を依頼する。
適切かつ迅速に対応してもらうには、必要な情報をきちんとまとめておくのが重要だ。

 初期対応で収集した情報は、セキュリティベンダーに提供するので大切に保管しておこう。適切かつ迅速に対応してもらうには、必要な情報を日ごろからきちんとまとめておくのが重要だ。

 


<< Go to Page Top