Skip to content

2015年、昨年の脅威動向から考える標的型メール攻撃対策

2014年に横行した社内ネットワーク侵入への対策

2014年に顕著だった脅威の一つ、標的型サイバー攻撃。そこで行われる攻撃者の巧妙な侵入手口から、侵入されないために必要となる対策の考え方、その方法をご紹介します。


2014年に顕著だった脅威、ネットワーク侵入。“人”を狙うことで従来対策の隙が突かれる

2014年には、「標的型サイバー攻撃」の攻撃手法が一般的な顧客情報を狙う攻撃でも見られました。この攻撃手法では事前に攻撃対象のセキュリティ上の弱点を調べ上げ、組織のネットワークに侵入します。この際に、最も使用される攻撃方法が「標的型メール」です。組織内の人間を騙し信用させる内容の電子メールにより、最終的に遠隔操作ツール(バックドア)をネットワーク内に侵入させます。

侵入されるとどうなる?2014年に発生した被害を考える

攻撃者の最終的な目的は侵入した組織が持つ情報であり、被害は「情報漏洩」という形で現れます。ネットワーク内に侵入した攻撃者は、遠隔操作により感染端末を踏み台にして、組織のネットワークを探索します。最終目的となる情報を保持するサーバやデータベースを探し当てるとそこから欲しい情報を盗み出します。盗み出される情報の量が増えるとともに、企業の活動を脅かすほどの二次被害を招いてるケースが確認されています。

参考情報:医療費通知に偽装した不審メールが法人利用者に遠隔操作ツールを拡散(セキュリティブログ)

2014年に確認された標的型サイバー攻撃による情報盗難被害事例(※)

業種 公表/報道日時 会社従業員数 直接的損失 二次的対応、対策費等
IT 2014年6月 不明 クラウド上の顧客データ・バックアップデータが消去 企業活動停止
飲食 2014年6月 約26,000名 33支店で顧客のクレジットカード番号が漏えい クレジットカード決済時にオフラインシステムの併用を余儀なくされる
製造・小売 2014年7月 約500名 約600件のクレジットカード情報と6万件の顧客情報が漏えい オンライン通販の停止
ホビーショップ 2014年8月 約80名 約900件のクレジットカード情報が漏えい オンラインでのクレジットカード決済停止
日用品小売 2014年9月 約30万名 約5,600万件のカード情報と約5,300万件のメールアドレス漏えいの可能性 情報漏洩に対する訴訟44件発生
映画製作・配給 2014年12月 約180名 社内の機密情報が漏えい 漏えいコスト1億ドル(戦略国際問題研究所の試算)

※ 2015年1月時点での公表データを基にトレンドマイクロが独自に集計

なぜ社内ネットワークに侵入されてしまうのか?攻撃の手口を考える

攻撃の第一歩は攻撃ではない――周到に計画された「やり取り型メール」と「パスワード付き圧縮ファイル」

やり取り型メールの例

攻撃者とターゲットの間でコミュニケーションを成立させた後に不正ファイルや不正URLを送る攻撃手法が「やり取り型メール」です。

いきなり不正ファイルが送られてくるのではなく、日々の業務に関連する内容でやり取りが発生するため、ターゲットは特に疑いを持つことなく送られてきた不正ファイルや不正URLを開いてしまいます。

従来対策の解析を避けるためにパスワード付きの圧縮ファイルを送付し、それを受信者側に解凍させる手段としてこうした攻撃が行われる場合もあります。
例えば、採用担当窓口に送られてきた採用応募メール、そして後送された履歴書.zipと解凍用パスワード。これらの送り主はサイバー犯罪者かも知れません。

攻撃者はあなたを知っている――事前に調べつくされた「なりすましメール」

なりすましメールの例

差出人をお客さまや上司・同僚に偽装して不正ファイルや不正リンクを送ってくる攻撃手法が「なりすましメール」です。

攻撃者は事前にSNSなどを利用しターゲットの職務内容や人間関係等を調べた上で攻撃を仕掛けてきます。攻撃者が送ったメールの差出人がお客さまや上司となっており、さらにメール本文には社内スラングや略語など、関係者しか知らないような内容を盛り込むこともあります。

日々の業務の中でお客さまや上司から送られてきたメールを疑うのは非常に難しく、ターゲットはメールに添付された不正ファイルやメール本文に記載された不正URLから社内ネットワークへの侵入を許してしまいます。

今、何が必要なのか?対策を考える

“攻撃はされるもの”と考える

今サイバー犯罪者によって狙われているのは、決して特殊な情報ではなく、あらゆる企業・組織や個人が持っている個人情報です。「うちの会社には盗まれて困るような情報はない」といった認識を持っている企業や経営層においては、まずこの認識を改める事が最優先課題となります。なぜなら、個人情報は、サイバー犯罪者に確実に利益をもたらすことができるからです。そして、その結果として、企業の信頼失墜や事業継続性の低下といった形で傷跡を残すことになります。

攻撃を見抜く仕組みが必要

「やり取り型メール」や「なりすましメール」はターゲットに疑いを持たせずにネットワーク侵入を実行する手口のため、受信者側でメール攻撃を見抜くのは非常に困難です。
社内ネットワークへの侵入を防ぐためには、こうした従来の対策で防ぐことが難しい、新たな脅威に対抗する、新たな対策の導入が求められます。

「道の不正プログラム、脆弱性を狙った攻撃」「パスワード付き圧縮ファイル」「限定的な対象を狙った不正サイト」などの脅威には新たな対策が必要

トレンドマイクロが提案する解決策

Deep Discovery™ Email Inspector

Deep Discovery Email Inspectorは、従来のメールセキュリティ製品では防ぐことが難しい脅威からお客さまの情報資産を守る、次世代メール攻撃対策製品です。未知の脅威を含む不正添付ファイルや不正サイトへ誘導するURLを含んだメールを検知しブロックします(※)。また、パスワード付き圧縮ファイルの解析も行います。

本製品の主な特長

  • パターンファイルが通じない、未知の脅威を検出(※)
  • クリックしないと不正かどうかがわからないURLリンクを複数の解析手法を用いブロック
  • パスワード付き圧縮ファイルを解析

製品の詳細はこちら

※ 全ての未知の不正プログラム脆弱性に対応するものではありません。

標的型メール攻撃対策に関連した資料のご案内

なぜ今、あらためてメール対策なのか?
――「次世代メール攻撃対策」が必要な3つの理由

巧妙化・高度化する今日のメール攻撃――従来対策をすり抜ける攻撃者

  • 思わず開かずにはいられない昨今の偽装メール
  • 特定のターゲットに向けてカスタマイズされた未知の攻撃
  • パスワード付き圧縮ファイルでセキュリティチェックをすり抜ける手口
  • 正規サイトのURLであっても安心できない

従業員に仕掛けられる、未知のメール攻撃に対抗するために

  • ヒューリスティック分析とサンドボックス技術による「未知脅威」の検出
  • パスワード付き圧縮ファイルの解析も可能
  • 正規サイトを経由したマルウェア感染もブロック

資料ダウンロードはこちら(PDF:882KB)

/jp/business/case-study/articles/20141209065729.html

対策事例:三菱電機インフォメーションシステムズ株式会社

巧妙化するメール攻撃を既存の対策だけで防御するのは困難。Deep Discovery Email Inspectorは、カスタムサンドボックスやパスワード付き圧縮ファイルの解析にも対応しており、未知の脅威も検出可能。実際、検証作業では、2週間で、未知のマルウェア2件、不正なURL3件が検出された。

事例の詳細はこちら(PDF:535KB)

最新の脅威動向、セミナーなどの情報をメールでお届けしています

トレンドマイクロ DIRECTION ニュースレター

トレンドマイクロではIT/システム/セキュリティ管理者・責任者の方向けに最新の脅威動向と対策、導入事例、イベント・セミナー、セキュリティクイズなど、独自の情報を毎月1度、無料でお届けしています。ぜひご登録ください。

配信メールサンプル   配信登録はこちらから