2022.3.17 /

標的型攻撃とその特徴

不特定多数にばらまかれるような普通の迷惑メールとは異なり、特定の組織などを攻撃し機密情報を盗むことなどを目的として、その組織のスタッフが業務関連のメールだと間違って信じて開封するよう作られたウイルス付きのメールによる攻撃が最近増えています。

このようなメールを「標的型メール」といい、これまでは官公庁や大企業中心に対する攻撃でしたが、近年地方公共団体や中小企業がその被害に遭い始めています。

標的型メールの文面は、業務の中で実際にやりとりしているメールの送信者や、頻繁に使用される件名やあて先、文面などのメールの情報を元にそれに近い偽メールを送ることで、受信者をだますように作られており、パッと見不審な点が少なく気がつきにくいというのが特徴となっています。また、件名や内容が時節に合わせた文面にしたり、最近やり取りした内容を元にすることで受信側に「読まなければ」と思わせるような工夫が施されています。

 

高度化する標的型攻撃

標的型メール内のリンクをクリックしたり、添付ファイルを開封するだけで、情報を盗み出すマルウェアに感染し、機密情報が漏洩(ろうえい)する事態に陥ることがあります。昨今では、これらのメールから感染するマルウェアは、従来のウイルス対策ソフトで検出されにくいものが多く、被害が拡大してしまってから気がつくケースもあることから、非常に深刻な問題となっています。

 

怪しいメールと気づくことが大切

非常に巧妙な標的型メールは判別が困難な場合もありますが、警察庁の公表では標的型攻撃メールの約90%が、「ばらまき型」であるとされています。ウイルス対策ソフトのソフトウェアの更新を欠かさないようにする、また仮にウイルス対策ソフトで検知できなくても、感染後のマルウェアの動作・ふるまいによって瞬時に検知・対応できるEDRの導入なども有効な手段ですが、まず怪しいメールに対して怪しいと感じる感覚を養うことが一番重要といえます。

たとえば、見知らぬ人や最近やりとりがなかった人から突然メールが届いた、取引先とのメールの内容が直近のやりとりと全く関係のない内容だった、などの場合に怪しいと感じたり、フリーメールアドレスからの添付ファイル付きメールに注意するなど怪しいメールの特徴や見分けるコツなどを知っておくことは、簡単ですが非常に有効な方法です。

 

標的型メール訓練とは

そういった感覚を養うことを目的としているのが「標的型メール訓練」です。標的型メール訓練には大きく2つの目的があります。

1.標的型メールを判別する能力を養う

実際に業務でやり取りしているタイトルや内容を使ったり、時節の内容を織り交ぜたりするなど、年々手口が巧妙化している標的型メールを判別することは困難な場合もあります。ただ上記でも述べているとおり標的型メールの約90%はいわゆる「ばら撒き型」のメールであり、心当たりのない人からのメールや、全く関係のない内容が含まれているなど、怪しいと判断できる可能性は十分にあるといえます。

標的型メールを判別するためのいくつかの特徴を学習することで社内スタッフのセキュリティ意識向上が期待できます。

 

2.メール受信時・攻撃を受けた直後の動きのシミュレーション、対策

標的型メール対策では被害を防ぐことはもちろんのこと、被害の拡大を阻止することがより大切です。標的型と思われるメールを受信した、添付ファイルを開いてしまった、またはメール内のURLをクリックしてしまったなど攻撃を受けた後の動きが肝となります。

 

メール訓練を効果的に実施するには?

標的型メール訓練で送信するメールについて何を目的とした訓練なのかを明確にし、その目的にあったメールを送ることが重要です。

例えば初めて訓練を実施するため、現状の社内スタッフのセキュリティリテラシーがわからない場合は、実際の攻撃で使われているメールの内容に近い内容で訓練用メールを作成・送付し、スタッフが実際にどのような行動をするかをまず把握する必要があります。

より高度な対応力を養うのであれば、よりタイトルや文面を巧妙に調整し判別を難しくしたメールを使用することもあります。このような難易度の高いメールでの訓練の場合は、開封率はどうしても高くなりがちですが、実際の対応状況(開封後に適切な対応を取ったかなど)を重視します。

訓練で使用する疑似メールの内容も実施する訓練の目的を明確にし、その目的に見合うものかを十分検討した上で作成することで訓練の効果をより高めることができます。

 

外部の目線から訓練することも大切

また、内部のセキュリティ事情を理解している社内のスタッフが設定するよりも、外部の専門企業などに協力してもらう方が社内ではなかなか見えないセキュリティの弱点が見つかる場合もあります。訓練の難易度や目標の設定は標的型メールに対して知識を持った外部企業に協力を求めることも有効といえます。

 

標的メール型訓練の手順

標的型メール訓練は「防災訓練」とよく比較されます。

防災訓練の目的は「万が一災害が発生したときにどのように動くべきか」を体験しておくことで、いざというときに慌てずに行動できるようにすることです。例えば地震を想定した防災訓練の場合、以下のような手順に従って行動することを体験します。

  1. 揺れを感じたら火をすぐ切る
  2. 机の下に入って揺れが収まるのを待つ
  3. 揺れが収まったら避難経路に沿って避難する

 

このような訓練を定期的に繰り返すことで、災害時に適切な行動をスムーズに取れるようになることが期待できます。

標的型メール訓練でも、防災訓練と同様「標的型メールを受信したときにどのように動くべきか」を社内スタッフ各々が体験することが主な目的となります。仮に標的型メールを開いてしまった場合、応急処置として以下のような手順が考えられます。

  1. 端末のネットワーク回線を抜線しネットワークから遮断する
  2. 社内のセキュリティ担当部門へ状況報告をする
  3. セキュリティ担当者が分析・対応する
  4. 問題ないことを確認した上で元に戻す

このような手順について各社内スタッフが全く知らない場合、手順を知っているだけの場合、実際に訓練で体験したことがある場合では、感染や被害を低減できるかに大きな差が出ます。

 

最後に

標的型メール訓練は防災訓練と同様に的確な手法でおこなうことで、社内全体のセキュリティに対する意識を高めることができます。多くの企業が被害を受けている標的型メールへの対応として、できるだけ早めに実施しておくべきといえます。

SHARE

COLUMN LIST

CONTACT

お問い合わせはこちらから