突然ですが、あなたは以下のメールが攻撃メールであることに気づけますか？

『重要なメールだから、添付ファイルを開いて記入しよう』
と思ったそこのあなた！レッドカードです！！

この添付ファイルを開き、ExcelやWordなどの【編集を有効にする】や【コンテンツの有効化】をクリックしてしまうと、マルウェアに感染してしまいます！

メールは、企業間でのやり取り、社内でのやり取りで広く活用されているビジネスに欠かせないツールです。だからこそ攻撃者は、メールによる攻撃が有効であると考えます。

とくに標的に合わせてメールを巧妙化する「標的型攻撃メール」は見破りにくく、とても厄介です。正規のメールと思い込ませ、人を騙し、マルウェアに感染させます。

2022年、上記のような標的型攻撃メールによって配布されるマルウェアの「Emotet」が流行しました。

本記事では、Emotetを含めた標的型攻撃メールの感染事例を見ていきながら、その対策について解説します。

標的型攻撃メールとは？

標的型攻撃は、特定の個人や組織を狙った攻撃のことですが、そのなかで標的型攻撃メールとは、特定の個人や組織を狙った攻撃メールのことです。

この標的型攻撃メールは、実際の業務に関係するような巧妙なメールとなっており、以下のような特徴があります。

• 一見しただけでは不審な点がない
• 重要な情報を目的として、不正な添付ファイルや、Webサイトへのリンクをクリックさせる

標的型攻撃メールの被害事例とその影響

それでは、過去に発生した標的型攻撃メールの被害事例を一緒に見ていきましょう。

1）不動産仲介会社（手法：Emotet）

この事例は未公表ではありますが、URLをクリックしたか添付ファイルを開封してしまったことが起因していると考えられ、パソコンに感染しました。
Emotetの特徴である、アドレス帳の読み取りが行われ、氏名やメールアドレスの約300件が流出した可能性があります。
その後、抜き取ったアドレスを流用され、同社の社員を装ったメールが送信されました。

2）大学（手法：Emotet）

こちらの事例も未公表ではありますが、URLをクリックしたか添付ファイルを開封してしまったことが起因していると考えられ、教職員4人が利用するパソコンがEmotetに感染しました。
認証情報や個人情報が窃取され、同大のメールサーバー経由で9800件のスパムメールが送信される被害が発生しています。
同大では個人情報が流出したおそれのある関係者にメールで連絡を取るとともに、Webサイトでアナウンスを行いました。

3）研究機関（手法：標的型攻撃メール）

2022年7月中旬ごろ、標的型攻撃メールによって同センターで管理するパソコンがマルウェアに感染。
2023年1月下旬に個人情報が流出した可能性があることが発覚しました。
メールアドレスや住所、銀行口座などを含む事務手続き書類に関する情報23件などが流出した可能性があります。
また、ほかにも複数のメールアドレスが盗まれたおそれもあります。

Emotetは不正なメールから感染を広げていくマルウェアです。
情報の窃取を目的としており、感染事例からも分かる通りアドレス帳からメールアドレスの情報を盗み取り、感染したPCを踏み台に盗んだメールアドレスに対してさらなる送信を行っていきます。
メールの件名や本文、署名や差出人といった情報も盗まれるため、その情報を元に本人そっくりの巧妙なメールを送信します。
ほかにもWebブラウザに保存されたクレジットカードやパスワードも盗まれる対象となるため、一度感染すると認証情報も不正利用される可能性があると認識しておいてください。

Emotetについて詳しくはこちら：

標的型攻撃メールへの対策

標的型攻撃メールから自社の情報資産を守るためには、どのような対策が必要なのでしょうか。
具体的な対策についてご紹介します。

従業員への対策

脆弱性という言葉はご存じでしょうか。
脆弱性とは簡単に言うと、情報やシステムの安全性を脅かす恐れのある、弱い部分のことです。
脆弱性というとVPNであったりRDPといったシステム的なものと思われがちですが、企業にとって一番リスクの高い脆弱性は「人」になります。

メールの誤送信、内部不正、設定ミスなど人による操作の匙加減でセキュリティの強度がガラリと変わります。
標的型攻撃メールにも同じことが言えます。
メールに組み込まれたURLリンクのクリック、添付されたファイルの開封は全て人によるアクションで引き起こされる感染になります。

攻撃者からすれば標的へのメールを用意して、標的対象が騙されて罠を踏むのを待つだけです。
感染を引き起こすのは攻撃された側なのです。
従業員が一人でも感染すれば被害は広がります。
攻撃対象は誰か分かりませんし、いつ誰に降りかかってきても大丈夫なように企業全体のセキュリティリテラシーを向上させることが必要です。

従業員一人一人の意識改革で感染リスクを低減するために、しっかりとした教育を施していきましょう。

組織への対策

標的型攻撃メールは、誰が標的にされるか分からないものです。
もしかしたらあなたかもしれません。
たった一度の感染で情報は抜き取られてしまいますので、
実際のメールが届いた時に騙されないよう、しっかりとした対策を行いましょう。

• 従業員がマルウェアに感染してしまった場合に、すぐにエスカレーションできる環境を整えること
• 感染してしまったことに対する叱責や罰を与えるなどは決してしてはならない、なぜならそうすることで従業員が怯えてエスカレーションしなくなり、結果的に対策できずに、感染を広げてしまうことになるからである
• 従業員に感染が発覚した場合は、感染を広げないために、速やかに社内にアナウンスする必要もある
• 抜き打ちで模擬的な攻撃メールを送信する、メール訓練サービスを利用することも有効
• 従業員の開封率や、セキュリティ担当の初動対応などを把握し、セキュリティリテラシーの向上や組織ルールの見直しに役立つ

まとめ

今回は標的型攻撃メールの事例について解説しました。
標的型攻撃メールは、非常に巧妙になっています。

標的型攻撃メールはいつやってくるのかわかりません。
気づいたときには、重要な情報を漏洩させてしまうかもしれないのです。
そのため標的型攻撃メールへの対策として、従業員に対するメール訓練やセキュリティ教育が重要となります。

標的型攻撃メールは今回ご紹介したような対策を行うことで、感染リスクを低減させることができます。
しっかりと対策を行い、自社の情報資産を守りましょう。

『従業員に対するメール訓練や、セキュリティ教育の重要性は分かったけれど自社で対応するのは難しい・・・』
という企業の情報システム部門担当者の方は、是非一度アイエスエフネットまでお問い合わせ
ください。

＼標的型メール訓練サービス　資料ダウンロードはこちら！／

メール訓練による従業員トレーニング MIERUTRAP

標的型攻撃メール訓練 比較表

関連記事