1818件の攻撃メールの中に35件の標的型――2016年4〜6月期の動向

企業が受信した攻撃メールの大半は無差別に狙うばらまき型だったものの、35件の標的型が確認された。セキュリティシステムの検知を逃れる細工も確認されている。

» 2016年07月29日 16時43分 公開
[ITmedia]

 情報処理推進機構(IPA)は7月29日、2016年4〜6月期に「サイバー情報共有イニシアティブ(J-CSIP)」を通じて企業や組織と共有したセキュリティ脅威動向などの状況を発表した。大量のばらまき型攻撃メールが確認されたが、その中に巧妙な手口の標的型攻撃メールが見つかっている。

 J-CSIPは、IPAと重要産業や重要インフラ関連の企業・組織の間でサイバー攻撃などの情報を共有する仕組み。期間中にIPAから参加組織に提供・共有した情報は1818件で、前四半期の177件から激増。1818件のうち1584件が日本語によるばらまき型メールとなっている。

J-CSIPでの情報提供・共有の状況(IPAより)

 ばらまき型メールは、2015年秋頃から継続的に出回っており、2016年4〜6月期は日本郵政やヤマト運輸など、実在する組織から送信されたように見せかけ、ウイルスファイルを添付して送り付ける攻撃が横行した。件名には「残高」「ご確認をお願い致します。」「状況一覧表」「製造依頼」などと付けられ、本文は簡潔で受信者に違和感を与えない文章が記されているなど、手口が洗練化している。

実際に送信されたウイルス付きメール(警視庁より)

 IPAでは、件名に「残高」「ご確認をお願い致します。」とあったる522件のメールについて分析。件名は同じながら、ほぼ全てのメールで送信元アドレスや添付ファイル名などが異なっていた。多数の送信元アドレスで日本人の姓名やインターネットサービスプロバイダー名が使われており、攻撃者は日本でよく使われるアドレスのパターンや、日本人特有のやり取りの仕方などを理解した上で、メール攻撃を実行していることがうかがえるという。

日本語のばらまき型メールの例(IPAより)

 また、確認された35件の標的型の攻撃メールでは、zip形式で圧縮した添付ファイルの中に解凍パスワードを記載したテキストファイルや、さらにrar形式の圧縮ファイルを入れているものが見つかった。これらは手作業で中身を確認するなどの対応が必要なことから、セキュリティシステムによる検知を逃れるための細工とみられている。

 この他にも、有名なオンラインストレージサービスのドメインに似せたURLをメールに記載して受信者にクリックさせようとする手口や、文書ファイルにぼかした画像を貼り付けて「確認するためにはOfficeのマクロ機能を有効にして」と促し、受信者に不正なマクロを実行させてウイルスに感染させたりする手法もあった。

 35件の標的型メールのうち33件では国内ドメインのフリーメールサービスのアドレスが使われていた。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ