Digital Arts News Watch

ますます高度化・巧妙化する標的型メール攻撃

年明け早々、大手産業ガス企業による大量の個人情報漏洩事故のニュースが流れました。また昨年末には、IPAが「サイバーセキュリティ経営ガイドライン解説書」を公開し、企業により一層のセキュリティ対策を促すなど、2017年も昨年に引き続きサイバーセキュリティに関する話題が世間を騒がせることになりそうです。

中でも、メールを使った標的型メール攻撃による被害が相変わらず後を絶ちません。警察庁が2016年9月に発表した「平成28年上半期におけるサイバー空間をめぐる脅威情勢等について」によると、警察がサイバーインテリジェンス情報共有ネットワークを通じて把握した標的型メール攻撃の件数は1,951件で、前年同期件数の1,472件と比較し1.3倍に増加、うち実に81％が社外に公開していない非公開メールアドレス宛に送られたものだったそうです。

この調査結果によれば、2015年に50%以上を占めていたWord文書ファイル添付による標的型メール攻撃から、以前のように「実行ファイルを圧縮したファイル」添付による攻撃が多くを占め（99%）、特に実行ファイルの中でも「.exe形式ファイル」が大半を占める中、javaスクリプトを使った「.js形式ファイル」を添付した攻撃手法が急増しています。さらに、これら標的型メールの送信元アドレスも、かつては一見して“怪しい”アドレスが多数だった傾向が、昨今では攻撃対象企業のメールドメインを騙るなど、巧妙に偽装しているものが増えています。

さらに同調査では、ターゲットに定めた企業内の不特定多数のユーザーに同じ内容を送りつける「ばらまき型」の標的型メール攻撃が依然として多いものの、それ以外の攻撃手法、特に問い合わせや取材依頼などを装って特定の従業員と何度かメールのやり取りを重ね、信頼させて社外秘情報を得た後に、マルウェアを仕掛けた添付ファイルを送りマルウェア感染させたり、不正送金させるなどの「やりとり型」の標的型メール攻撃が増えてきていることが報告されています。

「m-FILTER」を使って「ばらまき型」標的型メール攻撃の被害を未然に防ぐ

デジタルアーツのメールセキュリティ製品「m-FILTER」では、この「ばらまき型」と「やりとり型」、どちらのタイプの標的型メール攻撃に対しても有効な対策を打つことができます。

「ばらまき型」への最も有効な対策は、社外から送られてきたメールの添付ファイルのみ削除し、本文だけを宛先に転送することです。「m-FILTER」は、メールフィルタリングルールであらかじめ設定した条件に合致するメールの添付ファイルのみ削除できるようになっています（「m-FILTER メール無害化」機能の一部）。そのため業務に与える影響を最小限に抑えながら、添付ファイル経由でのマルウェア感染リスクを極小化できます。

一昨年暮れから昨年にかけては、総務省から各自治体向けに公開された「総務省セキュリティガイドライン」に要件として記載のあった「メール無害化」に関する自治体からの問い合わせが弊社にも数多く寄せられ、上記機能を搭載する「m-FILTER」を多くの自治体で導入いただきました。このような導入実績のある「m-FILTER」メール無害化機能ですが、自治体のみならず民間企業においても大変有効です。

「m-FILTER」のメール無害化機能（イメージ）

ただし民間企業の中には、メール無害化機能のうち、上述した「添付ファイル削除機能」はメール環境や企業ポリシーによって運用が難しいケースもあります。自治体では2017年7月までに、総合行政ネットワーク（LGWAN）と、住民基本台帳ネットワーク、インターネット接続が可能なインターネット接続系ネットワークを3分割する「ネットワーク分離」の施策を実行する必要があります。一方、民間企業においても、大手金融企業を中心にこのネットワーク分離の構成をとる企業もありますが、全業種で見ると数としてはごく一部です。そして「m-FILTER」の「添付ファイル削除機能」は、ネットワーク分離が行われていない環境下では運用が難しいケースも出てくるのです。

とはいえ、「ばらまき型」の標的型メール攻撃に対処できる機能は、何も添付ファイル削除だけではありません。「m-FILTER」には上記の図の赤枠のような、HTML／リッチテキストメールをテキストメールに変換する機能や、ついうっかりクリックしそうになるメール本文（および件名）中のリンクを自動的に無効化したりと、さまざまな面から標的型メールを自動的に無害化してくれる機能が備わっています。ネットワーク分離を行っていない企業であっても、これらは標的型メール攻撃対策として極めて効果が大きいものばかりです。

BECでも使われる「やりとり型」標的型メール攻撃にも対応

一方、「ばらまき型」以外のタイプの標的型メール攻撃も、「ばらまき型」と比べると発生件数は少ないものの、前出の警察庁の調査によると2015年下半期から2016年上半期の件数が倍増するなど、今後被害の拡大が予想されています。中でも「やりとり型」の標的型メール攻撃に関しては、近年話題に上ることが多い「BEC（Business E-mail Compromise：ビジネスメール偽装詐欺）」の主要な手口としても、対策が急がれています。

「m-FILTER」は、このBECなどにおける「やりとり型」攻撃の被害を未然に防ぐ上でも極めて効果的です。例えばBECでは、CEOのメールアドレスを騙って、決裁権を持つCFOなど幹部社員に対して高額の送金指示を行うような手口がよく使われます。このようなケースでも、事前に「CFO宛のメール」で「送金に関連するキーワードが本文に含まれている」というフィルタ条件に合致時は、「メールを特定アドレス宛にBccで転送する」といったようなポリシーを「m-FILTER」に設定しておくことで、不正送金の指示が疑われる内容のメールを第三者がチェックできるようになります。

「m-FILTER」のBcc自動転送機能で、疑わしいメールの内容を第三者がチェック

このように、「m-FILTER」は複数のタイプの標的型メール攻撃に対処する機能を備えています。本コラムで紹介した機能以外にも、スパムメール対策製品「m-FILTER Anti-Spam」とメール無害化機能を組み合わせ、スパムメール判定されたメールの添付ファイルのみ削除するなど、標的型メール攻撃の被害を低減するための機能が備わっていますので、興味をお持ちの方はぜひ製品ページをご覧ください。
＜「m-FILTER」製品担当：三浦＞

高度化・巧妙化する標的型メール攻撃対策には「m-FILTER」をおすすめします。