標的型攻撃メール対策

こんにちは。
日本コンピューターサイエンス株式会社 ( CSC ) から、セキュリティ情報をお届けします。

標的型攻撃におけるスパムメールの危険性

特定の企業やユーザーの機密情報を対象とした攻撃を標的型攻撃と言います。標的型攻撃を防ぐためには、スパムメールへの対策が重要です。
スパムメールへの対策自体は、古くから行なわれているセキュリティ対策の基本ですが、様々なセキュリティ製品が存在する現在においても、その重要性は変わりません。
その理由として、以下のようなものが挙げられます。

  • 標的型攻撃の侵入経路は現在でも9割以上がメールである
  • 過去には日本語が明らかに間違っていたり、文字化けをしているメールの割合が多かったが、現在では違和感のないものが多くみられる
  • 添付ファイルが存在しないメールでも危険である
  • 送信者 ( From ) 欄の内容が偽装されている可能性が非常に高く、送信者欄では判断できない

メールでの攻撃手段

実際にメールを介し攻撃を受ける場合、通常、メールを受信しただけでマルウェアに感染してネットワークやコンピューターに侵入されたり、情報を搾取されることはありません ( ※ ) 。
多くの場合は以下のような形で攻撃を受けることとなります。

  • 添付ファイルを閲覧者に実行させる
    添付ファイルがマルウェアのケース。
    実行ファイルだけではなく、マクロやスクリプトが埋め込めるExcelやWordのファイル、PDFの場合もあります。
  • フィッシングサイトに誘導し、個人情報を入力させる
    本文内に記載されたURLのリンク先に誘導するケース。
    フィッシングサイト上で2段階認証まで行なわせ、不正アクセスに利用する巧妙なサイトが存在します。
  • 取引先を装って、攻撃者の用意した口座に入金させる
    本文の文章のみでメールの閲覧者を巧みに騙し、偽の口座等に振り込みを行なわせるケース。
    なかなかそんなことは無いのでは?と考える方もおられると思いますが、実際に企業間のやり取りを巧妙に装い、被害が発生しています。

※メールを閲覧するソフトウェアの脆弱性を突き、メール本文を表示しただけで感染するマルウェアも過去には見つかっていますが、通常、ソフトウェアのアップデートですぐにセキュリティホールが修正されます。

メールクライアントやサービスでの対策方法

現在、多くのメールクライアントやサービスでは、「迷惑メール対策」のような形でスパムメールをフィルタリングする機能が存在します。うまく利用することで、ある程度メール経由での被害を軽減できます。
主に以下のようなフィルタが存在します。

  • メールクライアントやサービス独自のコンテンツフィルタ
    デフォルトでONになっていることが多く、検知の幅を持たせるため、強度を『低』『中』『高』のような形で設定できるケースもあります。
    ただし、設定によっては相応に誤検知もあり、正常なメールが迷惑メールに振り分けられたり、その逆でスパムメールがフィルタに掛からず届いてしまうなど、メールクライアントやサービスによる性能差もあります。
  • 手動設定の受信拒否フィルタ
    タイトル、送信者、本文に含まれる文字、添付ファイル、リンクの有無などからユーザーが指定した内容と一致するメールを拒否するフィルタ。
    必要に応じてユーザー自らで拒否する設定を追加する必要があります。

これらのフィルタを状況に応じて組み合わせてスパムメールを拒否します。しかしメールのサービスによっては多くのスパムメールがフィルタを素通りしており、手動で振り分けようにも、タイトルや本文だけでなく送信者欄も偽装されていることが多く、難しいという現状があります。

スパムメールを見分けるコツ

フィルタで一律にスパムメールを止められない以上、ある程度ユーザー側で正常なメールとスパムメールを見分ける必要があります。そのためには以下の点を注意しましょう。

  • 文法、スペルの間違い、画像が読み込まれない、レイアウト崩れ
    近年、見た瞬間に判断できる異常は少なくなってきていますが、細部に微妙な間違いがあるケースもあるため、よく確認しましょう。
  • 個人情報や認証情報を要求してくる
    通常、メールで口座番号や暗証番号、パスワード等の確認を行なうことはありません。
  • HTMLメールのリンクに気を付ける
    HTMLメールの場合、本文中に記載されているURLと実際のリンク先のURLを変えることができます。HTMLメールの場合はリンク先に注意しましょう。
  • 利用しているサービスに登録したメールアドレスとは異なるメールアドレスに届くメール
    多くのWebサービスでは、ユーザー登録を行なう際に、あわせてメールアドレスを登録しています。そのWebサービスからメールが届いた際には、Webサービスに登録したメールアドレスに届いているかを確認しましょう。
    複数のメールアドレスを持っており、もし異なるメールアドレスに届いているなら、ほぼスパムメールと言えるでしょう。
  • 急な期限を設定し、早急な対応を求めるメール
    「24時間以内に対応しないとアカウントを停止する」といった内容を含むメールは、多くの場合スパムメールです。
  • リンク先が「HTTPS」ではないメール
    個人情報を取り扱ったり、データの入力を行なわせたりするサイトでは、通常「HTTPS」が利用されます。URLを確認し、HTTPSとなっているか確認しましょう。
  • 心当たりがないタイミングで受信するメール
    ネットショッピングの注文完了メール、アカウント情報の変更、停止メール、不正アクセスが行なわれた旨のメールなどが存在します。実際にこれらのメールが届くような作業を直近で行なっていない場合、多くの場合はスパムメールです。しかし、第3者による不正アクセスが行なわれた結果である可能性が捨てきれないため、確認が必要です。
    確認をする場合にも、メール内のURLをクリックしてはいけません。

安易に無視できないメールの対処方法

アカウント情報が変更された、利用期間の終了が近いため更新の手続きが必要、といった不正アクセスが行なわれた可能性のあるメールは、本当に不正アクセスが発生した可能性を考えると、無視できないケースが存在します。
しかしながらスパムメールの可能性も非常に高いため、安易にメールを操作することは推奨されません。
アカウントの情報を確認したい場合は、以下の点に注意して対応します。

  1. 受信、送信者のメールアドレスを確認する
    受信に関しては、前述の通り、そのサービスに登録しているメールアドレスなのかをよく確認しましょう。異なっている場合は無視しても問題ないでしょう。
    送信者のアドレスに関しては、一見正常なアドレスのように見えても、実際には使われていないアドレスの場合もあります。一度インターネットで検索してみることで分かる場合もあります。
  2. メール本文に記載されたURLはクリックしない
    メールアドレスや本文でまったく判断できない場合は、実際に不正アクセスが行なわれたか、念のため確認する必要があります。しかしスパムメールの場合、情報を搾取するためのフィッシングサイトに誘導される可能性があります。そのため、メール本文に記載されたURLは信用してはいけません。
    必ず、ブラウザのブックマークやWeb検索から対象のサービスにアクセスしましょう。
  3. アクセス履歴や注文履歴を確認する
    現在多くのサービスにおいて、不正アクセス対策の一環でアクセス履歴の閲覧機能が存在します。ログイン処理を行なった時間やIPアドレス、IPアドレスから分かるおおよその場所等が確認できます。心当たりのない時間、場所からアクセスされている場合は、不正アクセスが疑われます。
    ショッピングサイトの場合は注文履歴を確認しましょう。
  4. 不安な場合はパスワードを変更する
    実際に不正アクセスの痕跡がある場合は、早急に安全性の高いパスワードに変更しましょう。
  5. 二段階認証やパスワードレス認証の機能を利用するよう変更する
    サービスの利用開始時には、IDとパスワードのみで認証を行なっていたサービスでも、セキュリティ対策が行なわれ、強力な認証機能が追加されているケースがあります。後から機能追加された場合はユーザーが能動的に機能をONにしないと利用できないことがあるため、アカウントの設定はよく確認し、より安全な認証方法がある場合には、可能な限り利用するようにしましょう。

まとめ

メールは現在、多くのWebサービスにおいてユーザーアカウントと紐づけされており、企業、個人に関わらず、メールを介してやり取りされる情報が多く存在します。このため、利用自体を大きく制限することは困難です。
また、スパムメール自体、年々偽装や文章が巧妙になっており、迷惑メールフィルタの性能が上がっているとしても、すべてのスパムメールを遮断することは難しい状態が継続しています。
このことから、ユーザー自身が届いたメールに対し注意を払う必要は常に存在します。添付ファイルだけでなく、メール内のURLに安易にアクセスしないなどのいくつかのポイントを押さえるだけで、多くの場合スパムメールの被害は避けることができます。
この機会にもう一度、怪しいメールの対処方法を確認しましょう。

最後までお読みいただき、ありがとうございました。