メールの“違和感”に注目すべし、IPAが標的型攻撃を解説

IPAは、2009年12月に国内で発生したメールを用いる標的型攻撃の解説資料を公開した。

[國谷武史，ITmedia]

　情報処理推進機構（IPA）は6月2日、特定の組織や人物を狙うサイバー攻撃（標的型攻撃）の特徴と対策に関する資料「脆弱性を狙った脅威の分析と対策について Vol.3」（PDF資料）を公開した。2009年12月に国内で出回った不審なメールによる攻撃手法について解説している。

　この攻撃は、実在の官公庁を名乗る不審なメールが、ある組織の業務用メーリングリストに送り付けられたもの。メールには細工されたPDFファイルが添付されていたという。メールに不審な点があるとして受信者がIPAに届け出た。

実際に流通した標的型攻撃のメール。不審な点は1.メールの受信者が信頼することを狙った、官公庁をかたる署名、2.あて先は業務用メーリングリスト、3.メーリングリストの用途に合わない件名、4.添付ファイルはPDFファイル（実態はマルウェア）、5.件名と結びつかない本文（IPAの資料より引用）

　IPAによれば、メールの件名は「私信」とあり、本文には特定の人物に向けたようなあいさつ文や要件が記載されていたという。官公庁を名乗る送信者が本人であった場合、このような内容のメールを業務用メーリングリストに送信する可能性は低く、業務用メーリングリストで流通するには不審な点が多いことが攻撃発覚のきっかけになった。

　添付ファイルは、Adobe Readerに存在する脆弱性を突くマルウェアであることも分かった。この脆弱性はメールが流通した時点では修正されておらず、実行されていれば受信者のコンピュータに甚大な影響を及ぼす恐れがあった。

　IPAはこの攻撃の事例から、標的型攻撃では「受信したメールの違和感に気付くこと」と「違和感に気付いた後の対策」が重要になると解説する。この事例での違和感は、「送信者と名乗る人物の行動が受信者の想定し得ないもの」「メーリングリストあてにもかかわらず、件名が“私信”だったこと」「送信者に心当たりがないのに、不審な書き出しで始まること」という。

　違和感に気付いた後の対策として、「差出人の所属先が存在するか調査する」「メールを受信する可能性のある関係者に、添付ファイルを開くことなくメールを削除するよう連絡する」「IPA運営の“不審メール110番”などの相談窓口に連絡する」を挙げている。

企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック

過去のセキュリティニュース一覧はこちら