Digital Arts Security Reports

2019/09/17   
サイバー攻撃    標的型攻撃メール    i-FILTER    m-FILTER   

「気を付けます」は通用しない!累計170社もの企業・団体が攻撃メールの添付ファイルを開封し、マクロを有効化している

2019年1月から本稿執筆時点までに弊社では標的型(ばらまき型)攻撃メールキャンペーンを27回観測しました。中でも、Officeファイルを添付し、業務に関連した内容だと思わせる攻撃メールキャンペーンを19回観測しております。

「Officeファイルを添付し、業務に関連した内容だと思わせる攻撃メールキャンペーン」概要

『請求書』『申請書類』『発注依頼書』など、業務に関連した内容だと思わせる件名を用いた攻撃メールを観測しました。

観測した件名例

4月1日ご契約の件・初期費用のご請求書のご送付
4月分請求データ送付の件
【仮版下送付】
備品発注依頼書の送付
写真送付の件
出荷明細添付
出資金請求書(2019年1月24日)
契約書雛形のご送付
【2019年5月】請求額のご連絡 指定請求書
支払明細通知書
毎月の請求書
注文書、請書及び請求書のご送付
添付がコストです
申請書類の提出
紙看板送付の件
請求書を添付いたします
運賃請求書の件
(5月分)請求書の送付

全く関係が無く身に覚えがないメールは「怪しい、開かないでおこう」と判断できますが、このようにビジネスワードが用いられていることから受信者が業務に関係があると誤認してしまい、開きかねません。また、普段は気を付けていても年度末から新年度にかけての決算の時期などにこういったメールを受信し、つい開いてしまうことも考えられます。

メールを開くと、以下のような内容が表示されます。

【図1】攻撃メール例
【図1】攻撃メール例

「請求書を送付したので確認してくださいといった内容が書かれており、添付ファイルの開封を促しています。

添付ファイルを開封すると請求書のようなものが表示されています。

【図2】添付ファイル例1
【図2】添付ファイル例1
【図3】添付ファイル例2
【図3】添付ファイル例2

このファイルには悪性の通信先へアクセスを行い、マルウェアをダウンロードさせることを目的としたマクロが仕込まれています。通常、ファイルを開封した時点では警告バーが画面上部に表示されマクロは起動しませんが、ファイルに記載された【「編集を有効にする」-「コンテンツの有効化」をクリックしてください。】などの指示に従って有効化することでマクロが起動、悪性の通信が発生し、マルウェア感染へと繋がります。

添付ファイルを開封し、マクロを有効化した企業・団体

このように、攻撃メールは受信するだけでマルウェアに感染するものではありません。メールを開き、添付ファイルを開封し、マクロを有効化することでマルウェア感染へと繋がります。このステップだけ見れば「どこかで気付き、マルウェアへの感染は防げるだろう」と考えるかもしれません。ところが、弊社Webセキュリティソフト「i-FILTER」Ver.10導入企業・団体のうち、観測した上記19回のキャンペーンに用いられる悪性の通信先へアクセスした(※1)企業・団体を集計したところ、意外な結果となりました。

その数なんと累計170社

つまり、これだけの企業や団体が、受信メールの添付ファイルを開封しマクロを有効化してしまったということです。

(※1)「i-FILTER」Ver.10にてホワイトリストDB運用を行っている場合、既知の悪性URLに加えてキャンペーンに用いられる未知の悪性URLへのアクセスもブロックされるため、添付ファイル開封時のURLにアクセスした際、またはC2サーバとアクセスしようとした際にブロックすることが可能でした。

注意していても開いてしまう。必要なのは根本的な対策

日頃から注意していても、時期的な影響や、見慣れたファイル形式であることから添付ファイルを開封し、感染してしまうことがあります。
2019年1月から本稿執筆時点までにバンキングマルウェアへの感染を狙った攻撃メールを多く観測しており、感染することで情報の窃取や不正送金の被害が考えられます。たった1人が感染してしまうことで企業の損害は非常に大きなものとなるため、攻撃メールを受信しない環境、また添付ファイルを開封してしまっても感染または流出経路を防げる環境を作ることが大切です。

「m-FILTER」Ver.5では多重拡張子やマクロ含有などをチェックする添付ファイル偽装判定、不正URLチェックや本文偽装判定など複数の判定を行い、標的型攻撃メールを隔離します。更に、弊社では安全なIPアドレスとメールドメインの組み合わせを収集しており、SPF認証をベースに、独自技術により送信元の偽装判定も行います。
「i-FILTER」Ver.10では安全と確認されたURLをDBに登録しており、ホワイトリストDB運用を行うことで既知の悪性URLに加えてDBに登録されていないURLもアクセス禁止となるため、万が一メール本文や添付ファイル内の悪性の通信先またはC2サーバへのアクセスがあってもブロックすることができます。
この「m-FILTER」Ver.5と「i-FILTER」Ver.10の連携ソリューションにより、「m-FILTER」Ver.5の偽装メール対策 「i-FILTER連携」が可能となります。これにより、受信したメールの本文内や添付ファイルから取得したURLを「i-FILTER」Ver.10のホワイトリストDBで判定することができ、偽装判定がより強固なものとなります。

  1. Digital Arts Security Reports をダウンロード

ダウンロードにはお客様情報の入力が必要となります。

<関連リンク>

「i-FILTER」Ver.10と「m-FILTER」Ver.5は、これまでにない標的型攻撃対策機能を搭載し、外部からの攻撃対策と内部からの流出対策をひとつのソリューションで圧倒的なコストパフォーマンスのもと実現します。

サイバーリスク情報提供「Dアラート」は「i-FILTER」Ver.10、「m-FILTER」Ver.5、「i-FILTER@Cloud」「m-FILTER@Cloud」の機能を利用して、マルウェア感染の疑いのあるお客様や弊社のお客様以外へも感染情報やホームページの改ざん情報をお知らせする、登録不要の無償の情報提供サービスです。

最近の記事
Recent Entry

RSS

イベント・セミナー情報

「やってはイケナイ」をやってみよう 第3弾 in 大阪

日程
2019年10月29日(火)
会場
アットビジネスセンター PREMIUM 大阪駅前

Solution Forum 2019

日程
2019年11月19日(火)~20日(水)
会場
リコージャパン株式会社 浜離宮事業所

DIS ICT EXPO
ダイワボウ情報システムがお届けするICT機器総合展示会・イベント

日程
宮崎:2019年9月3日(火)
札幌:2019年9月10日(火)
金沢:2019年11月6日(水)
瀬戸内(山口):2019年11月19日(火)
関西:2020年1月29日(水)
名古屋:2020年2月14日(金)
会場
宮崎:JA・AZMホール
札幌:札幌コンベンションセンター
金沢:金沢流通会館
瀬戸内(山口):海峡メッセ下関
関西:グランフロント大阪
名古屋:ウインクあいち