ランサムウェアが日本でブレークした理由と感染対策をふりかえるこれからも続く脅威(2/4 ページ)

» 2016年08月12日 08時00分 公開
[國谷武史ITmedia]

メール攻撃が増える背景とは?

 ランサムウェアの感染にメールが使われる背景には、さまざまな要因が関係していると考えられます。シマンテックでセキュリティレスポンス シニアマネージャを務める浜田譲治氏は、その1つとして、2011年〜2014年頃に国内で被害が多発した不正ログイン事件の影響を疑います。

 同社の観測によると、国内では2015年秋からスパムメールの流通が異様に増え、現在ではスパム流通量で世界上位の米国をはるかに超えています。これは過去にみられない状況で、国内の通信事業者などが提供しているアドレスも多数確認しているといいます。

 不正ログイン事件は、ポータルサイトやオンラインサービスに対する不正アクセスが相次ぎ、大量のユーザー情報(メールアドレスやパスワード、個人情報など)が盗み取られた可能性のある事件でした。

 浜田氏は、一連の事件から膨大な数の日本に関するユーザーの情報が闇市場に流出し、その情報がランサムウェアの拡散に悪用された可能性を指摘します。

 というのも、攻撃者は感染メールをばらまくために実在の有無に関わらずアドレスを機械的に大量生成してメールを配信します。通常なら生成されるアドレスはランダムですが、上述のように国内に実在するアドレスが多数使われていることから、機械的にランダムに生成されたとは考えにくいとのこと。メールアドレスは1件あたり1円にもならない金額で売買されるため、ランサムウェアの感染を広げたい攻撃者は、大量の日本のユーザー情報を安価に入手したのかもしれません。

 浜田氏によれば、流通するスパムメールのアドレスは国内のものだけでなく、海外のアドレスも大量に確認されています。

 加えて、メールを受け取った相手にファイルを開かせる内容も巧妙になりました。以前は英文ばかりで普段見慣れないメールに警戒するユーザーが多かったものの、日本語メールが出現し、警戒心が次第に低下したと考えられます。攻撃者側は、どこかのタイミングで「日本人はメールの内容を信頼しがちだ」と理解したのかもしれません。

 当初は日本語としての言葉のつながり方などに不自然さがみられましたが、短期間で洗練され、直近では日本郵政やヤマト運輸の正規の配送通知メールの内容をほぼ丸ごとコピーしたものが見つかるなど、相手に違和感を与えないよう工夫しています。また、実在企業になりすまさない場合では、「確認依頼」「入金先」といった件名や短い本文を用いるケースもあります。攻撃者側は、短い文章なら相手に不自然さ与えないほどに日本語を使いこなすようになってきた可能性があります。

右:実在企業のメールになりすましたメールの一例(出典:キヤノンITソリューションズ)。左:攻撃メールに名称を悪用されたヤマト運輸では「添付ファイル付きのメールをお送りすることはありません」と注意を呼び掛けている

 これらの点の多くは状況証拠の域にとどまるかもしれませんが、いずれにしても過去のサイバー攻撃事件の影響や攻撃者側のテクニックの高度化といった要因が重なり、日本がランサムウェア攻撃に狙われやすい状況につながったとみられます。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ