標的型攻撃メールとは?被害事例の紹介や企業が取り組むべき対策を解説!

サイバーソリューションズ
サイバーソリューションズ


2023年9月15日

近年、「標的型攻撃」という言葉を耳にする方も多いのではないでしょうか。標的型攻撃は、特定の個人や組織に絞り仕掛けられるサイバー攻撃の1つです。手法としてメールを利用して仕掛けられるケースが多いため「標的型攻撃メール」とも呼ばれています。

場合によっては、機密情報の漏えいに繋がり多大な損害を受けてしまう非常に危険なサイバー攻撃であるため、他人事とは思わずに対策を講じる必要があるでしょう。

そこで、この記事では標的型攻撃メールの特徴や手口、被害事例などを紹介します。

また、標的型攻撃メールを受けないための対策や、実際に受けてしまった際の対応方法なども併せて紹介します。

標的型攻撃メールとは?

標的型攻撃メールとは、特定の個人や組織をターゲットに、内部の機密情報やクレジットカードの情報、銀行口座、仮想通貨などの窃取を目的としたメールを送付するサイバー攻撃です。金銭につながる情報や、顧客情報などの機密情報が狙われるため、もし被害を受けてしまった場合、経済的損失や社会的信用の低下などといった企業として致命的な損害を受ける可能性があります。

標的型攻撃は、一般企業だけでなく、政府や公的機関なども標的となります。主に、個人情報などの利用価値の高い情報を数多く保有している組織がターゲットになり、旅行会社や日本年金機構などの顧客データを多く保有している企業や機関が代表的な被害例として挙げられます。

標的型攻撃メールの主な手口

標的型攻撃メールは、従来の迷惑メールのように不特定多数に送っているものではなく、受信者の仕事内容に関わるようなタイトルや本文、添付ファイル名でメールが送られてきます。したがって、タイトルや本文で見極めるのが難しくなっています。

手口の種類として、IPA(情報処理推進機構)の「標的型攻撃メールの傾向と事例分析 」の中では、メールに悪質なファイルが添付されている「添付ファイル型」、悪質なサイトのURLが送られてくる「URLリンク型」、受信者と実際にやり取りを行い気を緩めてから悪質なファイルを送付する「やり取り型」と分類されており、添付ファイル型が全体の94%を占めています。

ファイルの開封やURLへのアクセスをしてしまうと、何かしらのウイルスに感染し機密情報が盗み取られてしまうものや、端末が遠隔操作されてウイルスを内部ネットワークに設置されるような仕組みになっています。

メールの文面は非常に巧妙で、IPA(情報処理推進機構)の「標的型攻撃メールの例と見分け方」で紹介されているように、新聞社や出版社からの取材申し込みを装ったメールに「質問事項」といったファイル名で添付ファイルが送られてくるケースや、日本マイクロソフトのような大手企業を装い、セキュリティに係る注意喚起のメールと同時に悪質なURLが送られてくるケースなどがあります。

参考:標的型攻撃メールの傾向と事例分析 <2013 年>|IPA(情報処理推進機構)

参考:標的型攻撃メールの例と見分け方|IPA(情報処理推進機構)

標的型攻撃メールの被害事例

ここまで標的型攻撃メールの手口について解説しましたが、この章では被害にあった場合にどのようなデータが盗まれ、どれほどの損害を受けてしまうか、実例をもとに紹介します。

約125万件の個人情報漏洩|日本年金機構の被害事例

2015年に日本年金機構をターゲットにした標的型攻撃メールによる大きな被害が発生して、約125万人分もの個人情報が漏洩しました。被害の原因は、日本年金機構の職員宛に送付された標的型攻撃メールです。ヤフーメールによって送付され、メールの件名も厚生年金制度の見直しに関する意見というものでした。対応した職員はこのメールに騙されてメールを開封して添付ファイルをダウンロードしてしまい、職員のPCにウィルス感染したのです。日本年金機構でも標的型攻撃メールについては注意喚起がありましたが、具体的な内容については提示がありませんでした。そのあとも何度も攻撃を受けてしまい、大規模な情報漏洩につながりました。

引用:不正アクセスによる情報流出事案に関する調査結果報告|日本年金機構

約793万件の個人情報漏洩|株式会社JTBの被害事例

2016年には大手旅行会社であるJTBをターゲットにした標的型攻撃メールによって、約793万人分もの個人情報が流出しました。被害の原因は、JTBの子会社の職員宛に送付された標的型攻撃メールです。メールの送付元は実際に取引のある会社を装ったもので、会社名や部署名、担当者名なども実在のものでした。航空チケットがファイルとして添付されていて、そのファイルにウィルスが混入されていたのです。その後、社内のサーバー内に不審な通信が発覚して大規模な情報漏洩につながりました。

引用:不正アクセスによる個人情報流出の可能性について―現状報告と再発防止策―|ジェイティービー

標的型攻撃メールの対策

標的型攻撃メールの対策としてIPA(情報処理推進機構)による「攻撃者に狙われる設計・運用上の弱点についてのレポート」では入口対策、エンドポイント対策、出口対策、内部対策の4カテゴリで分類しております。

この章では、該当の4つのカテゴリに沿って解説していきます。

不正アクセスをさせないための入口対策

入口対策は、そもそも外部からの不正アクセスに対して、入口のポイントとなる箇所に網を張っていき、サイバー攻撃を防御していく「境界型防御」とも呼ばれる考え方です。

入口対策で有効な手段としては下記が挙げられます。

  • スパムフィルタ
  • SPF
  • 次世代型ファイアウォール

スパムフィルタ

スパムフィルタは、メールの本文やURL、発信元が悪意のあるものではないか判定し、メールの振り分けを自動で行う機能を持っています。そもそも送られてきたメールが怪しいものであるかをシステムで判断できるため、その時点でメール受信者が疑う目を持てるため怪しいメールを開いてしまうリスクが軽減されます。

SPF

SPF (Sender Policy Framework)とは、メール送信社のドメインが詐称されていないかチェックできる機能です。前述したように、標的型攻撃メールは何かしらの企業名を名乗り、全く関係のないドメインのアドレスから送られてくるものが多いです。SPFを活用すれば、本当にその会社から送られてきたものかを確認し、受信を拒否することができます。

次世代型ファイアウォール

そもそもファイアウォールとは、社内ネットワークに対して、外部から不正アクセスをしてくる攻撃者の侵入を防ぐシステムです。逆に許可をしていない不正な通信に社内ネットワークからアクセスをできないようにするシステムでもあります。

次世代型の場合、更にアプリケーションを制御できるシステムやIPアドレスやポート番号を設定し、通信情報に一致しない場合遮断することができるなど守備範囲が広くなっています。

端末のセキュリティを強化するエンドポイント対策

エンドポイント対策とは、別名エンドポイントセキュリティとも呼ばれる対策で、ITシステムの末端にあるデバイス(各社員に配布されるクライアントPCなど)に対して、マルウェアの侵入や不正アクセス、情報漏洩を防ぐことが目的になります。

近年、リモートワークなどが盛んになり、クライアントPCなどの端末を社外に持ち運ぶことが増えたため、端末ベースでのセキュリティ対策に注目が集まっています。

主な手法としては下記が挙げられます。

  • EPP
  • EDR

EPP

EPPは、ウイルスやマルウェアに感染させないための対策で、アンチウイルスソフトが代表的な例です。デバイス内で検知されたウイルスやマルウェアを端末上で動かないようにでき、近年では人工知能や機械学習を利用し、より高い精度の感染予防ができるものも出てきています。

EDR

EDRは、ウイルスやマルウェアに感染した際に、ウイルスやマルウェアの不審な挙動を察知し、迅速に対処してくれる仕組みです。サイバー攻撃を完全に防ぎきり、ウイルスやマルウェアの侵入を0にすることはできないといった前提で対策していく考え方も重要です。

攻撃を受けたとしても外部流出させないための出口対策

出口対策は、侵入を防ぐことができない前提に立ち、攻撃を受けて不正アクセスされたとしても、外部への流出を抑えるための対策です。出口対策の代表例としては、入口対策でも紹介したファイアウォールに加え下記も挙げられます。

  • Webフィルタリング
  • 振る舞い検知

Webフィルタリング

Webフィルタリングとは、社内ネットワークから、悪意のある不正サイトへのアクセスや、情報の閲覧、発信を防ぐものです。特定のサイトの閲覧制限やアクセスログの管理と監視をすることができます。また、メールの送信、SNSへの書き込み、クラウドストレージへのアップロードを制限することもできます。

振る舞い検知

振る舞い検知とは、ウイルスやマルウェアを検出するために、挙動から悪意のあるプログラムを検知する方法で、未知のマルウェアも検知することができます。新型や亜種のマルウェアに対しても対応できるため、非常に有効な手段になると考えられています。

侵入されたときに内部で無効化するための内部対策

内部対策とは、出口対策と同様にウイルスやマルウェアの侵入を前提として行う対策の考え方です。外部対策が情報の流出を防ぐものに対して、内部対策は侵入したものの挙動を検知し駆除したり、データを守ったりすることが目的の対策です。内部対策の代表例は、下記が挙げられます。

  • ログ監視
  • ファイル暗号化
  • アクセス制御

ログ監視

内部対策で最も重要とされているのがログ監視です。社内ネットワークのアクセス状況を監視し、不正アクセスが検知された場合に警告を出すことができます。また、システムの動作異常も検知することが可能です。

ファイル暗号化

ファイル暗号化は、その名称の通り重要な機密情報などが入ったファイルを暗号化し、他のユーザーが読み書きできないようにすることを指します。仮に悪意のあるユーザーが社内ネットワークに侵入したとしても、暗号化されたファイルは閲覧できないようになります。

アクセス制御

アクセス制御は、ネットワークにアクセスできるユーザーを制御できる機能で、重要な機密情報などを保存しているネットワークに入る際に、ログインの許可が必要になる「認証」、アクセスできる範囲を制御できる「許可」、認証や許可のログを取ることができる「監査」などの機能があります。

まとめ

本記事で解説したように、近年の標的型攻撃メールの手口は巧妙になっており、属人的な対策だけでは防ぐことができず、場合によっては数万件にも及ぶ情報漏えいにつながり、多大な損害賠償と社会的信用の低下につながってしまいます。あなたの会社でもいつ同様の事件に発展してしまうかわからない身近なサイバー攻撃です。対策を講じていない方は、是非本記事を参考に対策を検討してみてはいかがでしょうか?

セキュリティソフトはCloud Mail SECURITYSUITE (クラウドメール セキュリティスイート)がオススメ

Cloud Mail SECURITYSUITE公式サイト