「標的型攻撃メール」の要点と対策とは?JTBを襲った超巧みなワナ

こんにちは。ユージーン(@Eugene_no2)です!

旅行会社のJTBから793万件もの個人情報が流出した可能性がある、というニュース(16年6月)が飛び込んできました。

でも詳しく知るほど、社員に落ち度や不手際があったわけでもないんです。

今回の流出事故は、めちゃくちゃ巧妙すぎる「標的型攻撃メール」によるものだったんです。

これ完全に「明日は我が身」なので、標的型攻撃メールのことや個人で出来る対策についてまとめてみました。

【このページのもくじ】
  1. 標的型攻撃メールとは?
  2. JTBを襲った、巧妙な標的型攻撃メール
    • 実在する取引企業・部署の名前で送らてきた
    • メールアドレスが偽装されていた
    • 日常業務のやりとりを真似た内容
    • 業界用語を用いた添付ファイル名
  3. 標的型攻撃メールの事例
    • 社内の特定部署へになりすまし
    • 公的機関や実在する組織へのなりすまし
    • 知らない人からだが、つい開きたくなるメール
    • 誤って自分宛に送られたことを装ったメール
    • 二段階攻撃や、信用させる巧みな戦略も
  4. 標的型攻撃メールへの対策は?
    • メールのプレビュー機能を使用しない
    • 身に覚えがないメールは、メールアドレスを確認する
    • 怪しいと思ったら、添付ファイルやリンク(URL)は絶対に開かない
    • 添付ファイルの形式に注意する
    • URLに注意する
  5. ウイルスが疑われるメールを受信した場合は?
    • 怪しいメールは削除が基本
    • 感染した場合は、直ちにネットワークから隔離を

標的型攻撃メールとは?

標的型攻撃メールとは、ウイルスを仕込まれたメールが送り付けられる、サイバー攻撃の一種です。

添付ファイルを開いたり、URLをクリックするなどした場合に、コンピュータがウイルスに感染し、重要な情報を盗まれる危険性があります。

よくウイルスメールというと、不特定多数の人にばらまかれるイメージがありますよね。

突然送られてきた不審なメールは開かない、という人は多いでしょう。

しかし、標的型攻撃メールは、「標的型」とあるように、あとで事例も紹介しますが、あたかも当事者に向けられた、自分に関係するメールであるかのように、偽装されて送られてきたりします。

標的型攻撃メールを受け取った人は、それがウイルスの仕込まれたメールであると疑うことなく、業務に関するメールだと信じて開封してしまう、いわば「なりすまし」なのです。

特に、今回JTBを襲った標的型攻撃メールは、この「なりすまし」の手口が巧妙なこと。

実際に受け取ったら、ほとんどの人がウイルスに感染してしまうのではないかと思うほどです。

JTBを襲った、巧妙な標的型攻撃メール

今回JTBを襲った標的型攻撃メールは、添付されたファイルを開くことで、ウイルスに感染するというタイプのものでした。

しかし、実際にメールを受信し、ファイルを開いてしまったJTBの社員本人は、情報システム部門が不審な通信を確認するまで、ウイルス感染したことに気づいていなかったようです。

ウイルス感染に気付かないことも

普通、メールアドレス、件名、メールの内容、署名、添付ファイル名など、どこかに異変を感じれば「あれ?ウイルスかも?」と気づくことが出来るかも知れません。

でも、全く気づかないくらい、巧みな「なりすまし」だったということ。

この章では、報道資料をもとに、今回JTBに送られてきた標的型攻撃メールの巧妙さについて、そのポイントについてまとめます。

実在する取引企業・部署の名前で送らてきた

通常、会社のメールでやりとりする取引先や部署なんて、ある程度決まっているものです。

もし、ふだん関わりのない企業から突然メールが送られてきたら、違和感を抱くでしょう。

ところが、今回JTBに送られてきたメールは、JTBの取引先である、航空会社系列の企業を装って送られ、しかも実在する部署、担当者名の署名まであったようです。

取引先の航空会社系列企業からのメールで(中略)送信元の署名もあった。署名は実在する取引先の会社名・部署と担当者名のものだった

日常的にやりとりする相手からのメールであれば、何も考えることなく無意識に開いてしまうのではないでしょうか。

メールアドレスが偽装されていた

もし、実際の取引先を語ったメールでも、送信元のメールアドレスが、その企業のドメインでなかったとしたら、気づくことが出来たかも知れません。

実際、フリーアドレスや、ドメインをそっくりに似せたアドレスが使われるのも、標的型攻撃メールではよくあるケースです。

ところが、今回のメールは、何らかの方法でその取引先企業のドメインになりすまして送られてきていたというのです。

メールアドレスの『@』マーク以下のドメインは、実在する取引先企業のもの。『@』マークより前はよくある日本人の名前になっていた

どのようにしてドメインまで偽装されたのか、わたしは詳しくないので分かりませんが、ここまでされると、送信元に違和感を抱くことなど、まずないでしょうね。

日常業務のやりとりを真似た内容

送信元に違和感を抱かなかったとしても、もしメールの内容に違和感があれば、ウイルスメールを疑うかも知れません。

ところが、メールの内容も、日常的にやりとりのある業務メールと酷似していたと言います。

本文には『お世話になっております』などの通常の挨拶文のあとに、『eチケットを送付しますのでご確認下さい』という趣旨の文章

これを見てJTBの社員は、「顧客の航空券の確認だと思って」添付ファイルを開封してしまったということです。

送信元だけじゃなく、内容まで業務そのもの。

いやこれ、どうやって気づけばいいんでしょうねぇ…

業界用語を用いた添付ファイル名

最終的に添付ファイルを開くことで、ウイルスに感染してしまったわけですが、極めつけは、添付ファイルの名称まで、巧妙ななりすましだったということ。

実際に送られてきた添付ファイルの名称は『E-TKT控え』で、これは社内でもよく使われる表記なんだとか。

ファイル名は『E-TKT控え』となっており、受け取った社員が航空券の確認だと思って開封したところ、航空券のeチケット(オンライン発行での航空券)が表示された。その時点ではウイルス感染に気づかなかった(中略)社内でも使う表記で、航空券のeチケットを『E-TKT控え』として添付して送ることが多い

もっと言えば、ファイルを開いても感染に気付かないようになっているあたりも巧みです。

感染に気づいてすぐにコンピュータをネットワークから遮断すれば、情報の流出を防げる可能性もあるからです。

結局、送信元も、本文も、添付ファイルも、全部なりすまし。

これを、ウイルスの仕組まれた標的型攻撃メールと気づくのは、至難の業ですよね。

標的型攻撃メールの事例

今回JTBが標的にされた攻撃メールは特殊な例ですが、標的型攻撃メールには、取引先を装う以外にも、様々ななりすましがあります。

この章では、IPA(情報処理推進機構)の資料などを参考に、よくあるケースをいくつかに分類してまとめます。

社内の特定部署へになりすまし

ウイルスメールは当然社外から送られてくるものですが、あえて裏をついて「社内からのメール」だと思わせるパターンがあります。

メールの送信元が社内に実在する部署名などになっていたら、無意識に中身を信頼して開いてしまいがちなので注意が必要ですね。

  • 人事部門から、人事情報や組織情報のお知らせ
  • 情報システム部門から、メールボックス容量オーバーの警告
  • 情報システム部門から、ウイルス回避のための対応依頼

例えば、こんなケース。

送信元:情報システム部

件名:【緊急】ウイルス感染検知につき、至急ご対応ください

本文:あなたのパソコンがウイルスに感染した可能性があることを検知しました。

社内サーバーへのウイルス感染を防ぐため、添付ファイルの手順に従って至急パソコンの隔離を行ってください。

添付ファイル:PC隔離手順

で、添付ファイルにはウイルスが仕込まれているわけです。

こんなのあっさり開いてしまう人多そう…。わたしも自信ない。

「緊急」「重要」などとつけて、冷静に考える時間的余裕を無くすのは、詐欺師もよく使う常とう手段でもありますね。

公的機関や実在する組織へのなりすまし

社内部署でなくても、他にもよくあるケースが、公的機関や実在する組織になりすますパターン。

例えば、

  • 新聞社や出版社から、取材申込みや講演依頼
  • 銀行から、登録情報の確認
  • 旅行会社や配達会社から、心当たりのない予約確認や配達通知
  • 公的機関から、インフルエンザなどの感染症の流行情報や災害情報
  • 調査機関から、アンケートの依頼

みたいなケースがあるようですね。

知らない人からだが、つい開きたくなるメール

知らない人からのメールは、開かないのが鉄則ですが、開きたくなるような内容で送ってくるパターンもあります。

例えば、こんなケース。

  • 学生から、就職活動の問合せや相談メール(履歴書の送付など)
  • 製品やサービスに対する問合せ、クレーム

件名や内容がそれっぽかったら、ついつい開いてしまうなんて人も多いんじゃないでしょうか。

誤って自分宛に送られたことを装ったメール

中には、明らかに自分宛ではないが、メールアドレスを間違って、自分に届いたかのように見せかけるパターンもあるようです。

本当に自分に宛てたメールでなければ、開かずに削除するのが鉄則ですが、自分が興味をそそるような内容だった場合、魔がさしてこっそりファイルを開いてみたくもなってしまうもの。

例えば、

  • 企業の機密文書と思われるもの
  • VIP訪問に関する情報

といった類です。

二段階攻撃や、信用させる巧みな戦略も

中には、上記の内容に加えて、巧みな戦略でウイルス感染させてくる攻撃メールもあります。

例えば、最初に攻撃しやすい会社や個人を攻撃してメールのやりとりの内容を盗み取り、その内容に酷似させて、本当のターゲットである企業に標的型攻撃メールを送りつけるパターン。

二段階で攻撃してくるケースも

もしかしたら、JTBを襲ったのも、メールの内容がふだんの業務の内容と酷似していたり、実在する部署名や社員の名前が使われていたことを考えると、このような手口だったのかも知れません。

また、事前に何度かまともなメールのやりとりをして相手を信用させた上で、ウイルスを仕込んだメールを送りつけるというパターンもあるようなので注意が必要です。

就職活動の相談と称して何度かやりとりし、自然な流れで「履歴書」というタイトルのウイルスファイルを送りつけるパターンなどが考えられます。

標的型攻撃メールへの対策は?

ここまで読んでいただいて、思ったよりも巧妙だなぁと思った方は、まったく他人事ではありません。

もし、今回のJTBが狙われた標的型攻撃メールのような巧みなメールを受け取ってしまったら、正直わたしも、ウイルスに気づいて添付ファイルを開かない自信は全くありませんし。

このレベルの巧みなメールは、メールの受信自体を防ぐ、あるいはウイルスを検知する仕組み作るなど、企業側が取り組むしかないと思います。

この章では、個人でも出来る標的型攻撃メール対策について、まとめておきます。

もちろん、これで全ての標的型攻撃メールを防げるわけではありませんが。

メールのプレビュー機能を使用しない

メールソフトによっては、メールをダブルクリックして開かなくても、中身を見ることの出来るプレビュー機能があります。

しかし、標的型攻撃メールの中には、プレビュー画面で開くだけで、不正なスクリプトが働き、ウイルスに感染してしまうようなタイプもあるようです。

便利ではありますが、被害にあうことを防ぐだめには念のため、プレビュー機能は使わないほうがいいようです。

身に覚えがないメールは、メールアドレスを確認する

知らない人や、ふだんやりとりのない組織からのメールを受信した場合、中身を開いて確認するよりもまず、送信元のメールアドレスを確認するようにしましょう。

フリーメールのアドレス(yahoo!メールなど)の場合や、表示された送信元の名称とドメイン(@以下)が一致しない場合は、標的型攻撃メールの疑いがあります。

メールソフトによっては、受信メールの一覧画面で、ドメインによって色分けの設定が出来る場合があります。

自社を含め、ふだんやりとりする企業のドメインを特定の色に登録しておけば、不審なドメインからメールが送られてきた時に気づける可能性が高いので、オススメです。

怪しいと思ったら、添付ファイルやリンク(URL)は絶対に開かない

メールを開いてみて、怪しいと気づく場合があります。例えば、

  • 言い回しが不自然な日本語がある(翻訳ソフトで訳されたような文章など)
  • 日本語では使われない文字が使用されている(繁体字、簡体字など)
  • 送信元のメールアドレスと、署名に書かれているアドレスが異なる

などは標的型攻撃メールによく見られる特徴のようです。

少しでも怪しいと思ったら、添付ファイルを開いたり、URLをクリックすることは絶対に避けましょう。

添付ファイルの形式に注意する

ウイルスに感染しないために、特に注意しなければいけないのが、添付ファイルです。

IPA(情報処理推進機構)の報告によると、ウイルスの仕込まれた添付ファイルのほとんどは、(.exe)などの実行ファイルだそうです。

実行ファイルなんか怪しいから開くわけがないと思うかも知れませんが、実行ファイルに見えないような仕掛けがなされている場合があります。

例えば、

  • 実際には実行ファイルにも関わらず、アイコンをWordなど、別の種類のファイルに見えるように偽装されている

    アイコンが偽装され、拡張子が隠されたパターン

  • 文字列を左右反転するRLO制御コードが使われている

    アイコンが偽装され、RLO制御コードが使われたパターン
    ※RLO制御コードは、アラビア語など右から左へ読む言語のための制御文字。

このような、パッと見では問題ないファイルに見えるように偽装されている場合があるので、ファイルを開く際は最新の注意を払いましょう。

URLに注意する

添付ファイルとともに気をつける必要があるのが、本文中に記載されたURLです。

URLは、表示されているURL(アンカーテキスト)と、実際にクリックした際に表示されるリンクが異なる場合があるんです。

なので、表示されているURLが、よく信頼できる企業のWebサイトであったとしても、実際にクリックすると、不審なサイトに飛ばされる可能性があるので注意が必要です。

メールソフトの設定で、メールの表示形式を、HTML形式からテキスト形式にすることで、実際にクリックした際に表示されるURLを確認することができます。

ウイルスが疑われるメールを受信した場合は?

最後に、ウイルス(が疑われるメール)を受信した場合や、誤って添付ファイルを開いてしまった場合の対処方法について。

怪しいメールは削除が基本

標的型攻撃メールは、受信しただけで害を及ぼすことはないので、基本的には削除してしまいましょう。

ただし、会社のアドレスに受信した場合は、標的型攻撃メールを受信したことを情報システム部や周囲のメンバーに知らせるため、メールタイトルや送信元をメモしておくと良いでしょう。

間違っても、情報システム部や社内に、標的型攻撃メールを転送するような事は避けましょう。

新たな被害を生む原因になりますので。

感染した場合は、直ちにネットワークから隔離を

気をつけてはいても、巧みなメールの場合、うっかり添付ファイルを開いてしまう場合もあります。

もし感染した(疑いがある)場合、気づいた時点で直ちにネットワークから切り離しましょう。

具体的には、LANケーブルを抜き、無線LANのスイッチもオフにし、ネットワークに繋がらないようにします。

その上で、情報システム部門など、しかるべき部署に直接あるいは電話で、連絡を入れて指示を仰ぎましょう。

電話や口頭ででしかるべき部門に連絡する

ということで今回は、JTBが被害にあった「標的型攻撃メール」について、特徴や個人でできる対処方法をまとめました。

ここまで読んでいただいた方は、明日から十分に気をつけることでしょう。

しかし、こういう事件でもない限り、徐々に意識は薄れてしまいます。

火災時の避難訓練のように、定期的に訓練メールのようなものが送られてくれば、いざという時に対処できるかも知れませんので、会社に提案してみてはいかがでしょうか。

では、今日も頑張らずに楽しんでいきましょう~!