標的型攻撃メールとは
標的型攻撃メールとは不特定多数の対象にばらまかれる通常の迷惑メールとは異なり、攻撃対象の組織から重要な情報を盗むことなどを目的として、ウィルスに感染するように巧妙に作りこまれたメールのことを指します。
今回は標的型攻撃メールについて紹介します。
目次
標的型攻撃メールとは?簡単にいうと
標的型攻撃メールは、特定の組織のセキュリティを侵害することを目的としたフィッシングメールの一種です。標的型攻撃メールの目的は、機密情報にアクセスしたり、金銭を盗んだり、その他の損害を引き起こすことです。
最近のサイバー犯罪者は、機械学習アルゴリズムを使用して公共および民間のデータベースを分析し、ターゲットに関する機密情報を見つけ AI を使用して、正当に見える本物に見えるメッセージを作成することもあります。
標的型攻撃メールは、さまざまな方法を使用して標的のネットワークにアクセスする長期的な行動の一部であることがよくあります。一般的な方法には次のようなものがあります。
スピアフィッシング
企業のシステム管理者や役職者など、特定の個人またはグループに送信される標的型電子メール。
フィッシング攻撃
多くのユーザーをだまして個人情報を漏らすことを目的として、多数のユーザーに送信される広範囲にわたる電子メール。
ホエーリング攻撃
誰かを騙して送金などの特定の行動をとらせる試み。
標的型攻撃メールの特徴
標的型攻撃メールでは、悪意のある電子メール、侵害されたサイトや悪意のあるサイト、マルウェアなど、従来のオンライン脅威に見られるような手法が用いられることがよくあります。
標的型攻撃は、従来のオンライン型の脅威行為とは多くの点で異なります。
- 標的型攻撃は、ターゲットのネットワークに徐々に深く侵入するための、時間の経過とともに失敗と成功を繰り返す一連の試みであるため、孤立した独自のインシデントではありません。
- 通常、攻撃者は企業、政府機関、政治団体などの特定の業界をターゲットにします。攻撃者は長期的な目標を念頭に置いていることが多く、その動機には政治的利益、金銭的利益、ビジネス データの盗難などが含まれますが、これらに限定されません。
攻撃者は、標的のセクターの性質に応じて、また実装されているセキュリティ対策を回避するために、攻撃方法をカスタマイズ、変更、改善することがよくあります。
スピアフィッシング
竿を使った釣りでは、水面下のさまざまな魚を釣り上げることができます。一方、槍(スピア)を使った釣りでは、特定の魚を狙うことができます。これがスピアフィッシングの名前の由来です。
広範囲のフィッシング攻撃とは異なり、スピアフィッシングは特定の個人や組織を標的としたフィッシングです。また標的型攻撃メールと異なり、攻撃組織の対象の個人のSNSやSMS、などの侵害も攻撃手法の1つとして挙げられます。
サイバー犯罪者は十分な調査を行っており、被害者が興味を持ちクリックすると被害が発生します。
スピアフィッシングの手順
スピアフィッシング攻撃は計画的で、標的を絞っています。攻撃者は通常、ソーシャルエンジニアリングを通じて、広範囲にわたる調査を行っています。詐欺メールの信憑性を高めるために、受信者の名前、出身地、勤務先などの個人情報を入手している場合もあります。
スピアフィッシング攻撃、つまり偽の電子メッセージでは、被害者は一見無害なメールを受け取ります。人事部からのメッセージや銀行からの警告、場合によっては親族からの連絡のように見えるかもしれません。
あまり深く考えずに、実際には悪意のあるリンクや添付ファイルをクリックするのは簡単です。しかし、一度クリックすると、被害は発生します。
スピアフィッシングのメッセージ内のリンクを開いたり、添付ファイルをダウンロードしたりすると、悪意のあるコードがコンピュータに侵入します。アカウントが侵害されると、犯罪者は情報を盗んだり、デバイスを制御したり、ネットワーク内の他のコンピュータにウイルスを拡散したりする可能性があります。
スピアフィッシングの例
スピアフィッシング メッセージは、一見すると信頼できる送信元からのように見えます。送信元は、よく買い物をするブランドや同僚からの内部メールや友人からのSNSメッセージのように見えるかもしれません。しかし、実際には、これらのメールは、コンピューターに感染しようと待ち構えているマルウェアが満載の偽の Web サイトに誘導する可能性があります。
スピアフィッシングメールの例をいくつか示します。
- インターネットプロバイダーから自宅住所の確認を求めるメール
- 銀行口座番号の入力を求める銀行からのメール
- 人事担当者から仕事用アカウントのパスワードを確認するよう求めるメール
- 親族からのメッセージ
- リンクドインなどの転職型SNSからのメッセージ
これらの情報を一切入力しなくても、フィッシングメール内のリンクをクリックするだけで、コンピューターにマルウェアが侵入する可能性があることに注意してください。
スピアフィッシングメールは一見説得力があるように見えるかもしれませんが、よく見ると、簡単に見分けられる危険信号がいくつかあります。
たとえば、ほとんどのスピアフィッシング メッセージは非常に下手に書かれています。いくつかのタイプミス、低品質のグラフィック、疑わしい URL のリンクに気付くかもしれません。そのため、受信したすべてのメールを注意深く調べてから、メール内のリンクをクリックすることが非常に重要です。
スピアフィッシングとフィッシングの違い
スピアフィッシングとフィッシング攻撃は非常によく似ています。どちらのシナリオでも、犯罪者は受信者に悪意のあるコードを知らないうちに受け入れさせようとします。違いは、これらのメッセージを送信する方法にあります。
フィッシングメールは、一度に複数の受信者に送信されます。犯罪者は、同じメールを長いターゲットリストに送信するという大まかなアプローチを使います。これらのメッセージは一般的な内容で、指定された受信者の個人情報は含まれていません。
一方、スピアフィッシングはよりターゲットを絞っています。犯罪者は調査を行い、メールの送信先の個人情報を記載します。ターゲットは個人、企業、または組織である可能性があります。
これがスピアフィッシング攻撃をより危険なものにしているのです。スピアフィッシング攻撃には受信者の私生活や職業生活に関する個人情報が含まれているため、受信者はメールを信頼し、リンクを開いたり添付ファイルをダウンロードしたりする可能性が高くなります。
スピアフィッシングとホエーリングの違い
同様のタイプのサイバー攻撃は、ホエーリングと呼ばれます。ホエーリング攻撃では、犯罪者は 1 人の著名人をターゲットにします。これは、企業の CEO、著名人、またはその他のよく知られた公人である可能性があります。ホエーリング攻撃の目的は、他のほとんどのサイバー攻撃と同様に、金銭を盗むことや機密情報を入手することです。
ホエーリング攻撃では、送信者はメッセージを送信する前に、ターゲットについて調べるためにかなりの時間を費やします。送信者は、ターゲットのソーシャルメディア アカウントをくまなく調べたり、目立たないスピア フィッシング攻撃を実行して、ターゲットの同僚や従業員に関する情報を入手したりします。
送信者は、ターゲットの周囲の人々に関する情報を入手することで、メッセージの説得力を高めることができます。送信者は、別のチームが取り組んでいる特定のプロジェクトについて確認を求める別の上級役員を装うこともあります。攻撃者が組織内の特定の名前やプロジェクトに言及するため、ターゲットが詐欺に引っかかる可能性が高くなります。
スピアフィッシングは、ターゲットが知名度の低い人物であるという点で異なります。
スピアフィッシング攻撃から組織を保護するための方法
サイバー犯罪者は狡猾でずる賢く、常に従業員を騙して機密情報を漏らす新しい方法を開発しています。ここでは、スピアフィッシング攻撃から組織を保護するためのベストプラクティスをいくつか紹介します。
- 従業員のトレーニング:組織内のすべての従業員がスピアフィッシングとは何か、フィッシングの試みを見分ける方法を理解していることを確認します。さらに、従業員は危険と思われるメールを受信した場合の対処方法を知っておく必要があります。
- フィッシング ドリル:従業員のトレーニングが完了したら、スピアフィッシング ドリルを実行して従業員の知識をテストできます。この演習では、IT 管理者はフィッシング攻撃のシミュレーションを使用してエンド ユーザーをテストするセキュリティ ドリルを実行できます。
- サイバーセキュリティツールへの投資:企業のニーズに合わせたサイバーセキュリティ ツールに投資して、攻撃者の一歩先を行きましょう。これらのツールには、ウイルス対策ソフトウェア、ファイアウォール、脅威検出などが含まれます。
- 定期的な更新の実行:投資したセキュリティ技術を実装、維持、更新することが重要です。定期的な更新を実行しないと、システムが攻撃に対して脆弱になる可能性があります。従業員の多い企業では、IT 部門にソフトウェアの定期的な更新を強制させると効果的です。これにより、従業員がソフトウェアの更新を拒否したり、必要な更新を遅らせたりすることがなくなります。
フィッシング攻撃
「フィッシング」とは、ユーザー名、パスワード、クレジットカード番号、銀行口座情報、その他の重要なデータなどの機密情報を盗み、盗んだ情報を利用したり販売したりする行為を指します。信頼できる情報源を装って魅力的なリクエストを送信することで、攻撃者は被害者を誘い込み、騙します。これは漁師が餌を使って魚を捕まえるのと同じです。
メール フィッシングは最も一般的なタイプのフィッシングであり、1990 年代から使用されています。
フィッシング攻撃はソーシャルエンジニアリングの一種です。ネットワークやリソースを直接標的とする他のサイバー攻撃とは異なり、ソーシャルエンジニアリング攻撃では、人為的ミス、偽のストーリー、圧力戦術を利用して、被害者を操作し、意図せずに被害者自身や組織に危害を加えさせます。
典型的なフィッシング詐欺では、ハッカーは同僚、上司、権威ある人物、有名ブランドの代表者など、被害者が信頼する人物になりすまします。ハッカーは、被害者に請求書の支払い、添付ファイルの開封、リンクのクリック、その他のアクションの実行を指示するメッセージを送信します。
ユーザーはメッセージの送信元を信頼しているため、指示に従い、詐欺師の罠に陥ってしまいます。その「請求書」はハッカーのアカウントに直接つながる可能性があります。その添付ファイルは ユーザーのデバイスにランサムウェアをインストールする可能性があります。そのリンクはユーザーをクレジットカード番号、銀行口座番号、ログイン認証情報、またはその他の個人データを盗むWebサイトに誘導する可能性があります 。
メール内の言語には文法の誤りが含まれることが多いため、これらの攻撃は通常簡単に見分けることができます。しかしながら、一部のメールは、特に言語や文法が慎重に作成されている場合、フィッシング攻撃であると認識するのが困難です。メールの送信元とリンク先の疑わしい言語をチェックすると、送信元が正当であるかどうかの手がかりが得られます。
前払い詐欺
この一般的なメール フィッシング攻撃は、海外においては「ナイジェリアの王子」メールによって広まりました。このメールは、窮地に陥ったナイジェリアの王子と称する人物が、少額の前払いで多額の金銭を被害者に提供するというものです。当然ながら、料金を支払っても、多額の金銭が届くことはありません。興味深い歴史は、この種の詐欺が 100 年以上にわたってさまざまな形で発生しているということです。1800 年代後半には、もともとスペイン人囚人詐欺として知られていました。これは、詐欺師が被害者に接触して貪欲さと同情心を食い物にする詐欺です。詐欺師は裕福なスペイン人囚人を密かに連れ出そうとしていると言われています。囚人は、刑務所の看守に賄賂を贈るお金と引き換えに、被害者に多額の報酬を支払います。
この攻撃は、身元不明の相手から、見返りに金銭を支払わなければならないようなリクエストには応じないことで軽減されます。あまりにも良すぎる話に聞こえる場合は、おそらく詐欺です。リクエストのテーマやテキスト自体の一部を Google で検索するだけで、詐欺の詳細が見つかることがよくあります。
アカウント無効化詐欺
重要なアカウントが無効化されるのではないかと考える被害者の切迫感を利用することで、攻撃者は一部の人々を騙してログイン認証情報などの重要な情報を渡させることができます。例を挙げると、攻撃者は銀行などの重要な機関から送信されたように見えるメールを送信し、被害者がすぐに行動を起こさなければ銀行口座が無効化されると主張します。次に、攻撃者は無効化を防ぐために被害者の銀行口座のログインとパスワードを要求します。巧妙な攻撃では、情報を入力すると、被害者は正規の銀行の Web サイトに誘導され、不自然な点が一切ありません。
この種の攻撃は、問題のサービスの Web サイトに直接アクセスし、正規のプロバイダーがユーザーに同様の緊急アカウントステータスを通知しているかどうかを確認することで対処できます。また、URL バーをチェックして Web サイトが安全であることを確認することも重要です。安全でないログインとパスワードを要求する Web サイトは真剣に疑うべきであり、ほぼ例外なく使用すべきではありません。
ウェブサイト偽造詐欺
このタイプの詐欺は、アカウント無効化詐欺などの他の詐欺と組み合わせられることがよくあります。この攻撃では、攻撃者は、被害者が利用する銀行などの企業の正規の Web サイトと実質的に同一の Web サイトを作成します。ユーザーが、電子メールフィッシングの試み、フォーラム内のハイパーリンク、検索エンジンなど、どのような手段であれ、そのページにアクセスすると、被害者は、詐欺的なコピーではなく正規のサイトだと信じて Web サイトにアクセスします。被害者が入力したすべての情報は、販売またはその他の悪意のある使用のために収集されます。
インターネットの初期の頃は、こうしたタイプの複製ページは、その粗雑な作りのため、かなり簡単に見分けることができました。今日では、詐欺サイトは、オリジナルを完璧に再現しているように見えるかもしれません。Web ブラウザで URL を確認すると、詐欺サイトを見分けるのは通常かなり簡単です。URL が通常の URL と異なる場合は、非常に疑わしいと見なす必要があります。ページが安全でないと記載されていて、HTTPSが有効になっていない場合、これは危険信号であり、サイトが壊れているか、フィッシング攻撃を受けていることがほぼ確実です。
ホエーリング攻撃
ホエーリングは、魚よりもさらに大きな海洋生物であるクジラを狙う、さらにターゲットを絞ったタイプのフィッシングです。これらの攻撃は通常、業界または特定の企業内の CEO、CFO、または CXX をターゲットにします。ホエーリングのメールには、会社が法的措置に直面しており、詳細情報を取得するにはリンクをクリックする必要があると記載されている場合があります。
ホエーリング攻撃は、多くの場合、ソーシャルエンジニアリングの手法に依存しており、攻撃者はハイパーリンクや添付ファイルを送信して、被害者にマルウェアを感染させたり、機密情報を要求したりします。攻撃者は、特に CEO やその他の企業役員など、価値の高い被害者をターゲットにすることで、ビジネスメール詐欺の手法を使用して、詐欺的な電信送金を承認するように誘導することもあります。場合によっては、攻撃者は CEO やその他の企業役員になりすまして、従業員に金銭の送金をさせるよう説得します。
これらのサイバー攻撃は、攻撃者がその潜在的利益が高いため、攻撃の構築に多くの時間と労力を費やすことをいとわないため、被害者を騙すことができます。攻撃者は、ホエーリング フィッシング攻撃をより現実的にするために、Facebook、Twitter、LinkedIn などのソーシャルメディアプラットフォームを使用して被害者の個人情報を収集することがよくあります。