information-security-frontline_tab
- 標的型メール攻撃とは- selected tab,
- 標的型メール攻撃の傾向と対策のヒント
第1回目となる今回は、「標的型メール攻撃」をテーマに、その特徴や傾向、防御対策のヒントなどについて解説します。
標的型メール攻撃とは?
IBMのSOCで観測したセキュリティー・イベントの最新情報によれば、日本における2011年の注目すべき脅威として「標的型メール攻撃」の検知数が2.5倍に急増したことが挙げられます。特に東日本大震災発生後には、震災や原発事故に関連する情報を偽装したメールが複数の企業、組織を対象に送信され、その一部には、開くとウィルスに感染する攻撃コードが含まれる不正なファイルが添付されていました。
標的型メール攻撃は、特定の企業や組織に狙いを絞って、ウィルス本体や攻撃コードの含まれるファイルを添付したり、不正なリンクを記載したメールを送信する攻撃です。この攻撃は、ターゲット範囲が絞られているために実態が表面化しづらく、また、被害に遭っても気付きにくいことから、影響が長期化してしまうという問題があります。攻撃者はターゲットから盗んだ情報を不正に利用したり、転売したりして利益を得ようとします。
標的型メール攻撃の流れ
Step1
標的型メールの多くは、特定のターゲットに対して、その相手が関心を持ち不自然さを感じさせないような内容のメールを送って添付ファイルとしてウィルスや攻撃コードを送り感染させる。
Step2
感染したコンピューター群は、C&Cサーバー(Command and Control server)と呼ばれる攻撃者によって操作されるサーバーとネットワークを構成する。
Step3
感染源のPCからほかのノード(PCやサーバー)にネットワークを介して感染や侵入を行い、各ノードから目標とする情報が保存されているノードの情報を収集する。
Step4
目標のノード(サーバーやシステム)に到達し情報の窃取、システム破壊などのコマンドを実施する。
標的型メールにはウィルス本体が exe(Windows 実行ファイル)、zip(圧縮ファイル)などの形式で直接添付されている場合と、ウィルス感染を行う攻撃コードが含まれる Word (doc) やExcel (xls) 、PDF (pdf) などのドキュメント・ファイルが添付されているケースがあります。
標的型メールに記載された、件名やメール本文、添付ファイルには以下のような傾向があります。
- イベントに関連していると見せかける: 国際会議、シンポジウム、選挙、VIP会合日程、役員人事異動、来訪者情報、社内ウィルス調査
- 報告書の資料に見せかける: 国際情勢、海外資源、情報セキュリティー調査、会議資料
- ニュース・注意喚起の内容に見せかける: 東日本震災、金融情勢、国際情勢、外交情報、事故、新型インフルエンザ
震災情報に便乗した不正な標的型メール
こうした標的型メール攻撃に対抗するためにはどうしたらよいのでしょうか?「標的型メール攻撃の傾向と対策のヒント」でご紹介します。
