「あやしいメール」 開く人を減らすには？

標的型サイバー攻撃でマルウェアを送り込むために使われる巧妙な「なりすましメール」。開いてしまう人をゼロにするのは難しいが、減らすことができる道筋はある。

[國谷武史，ITmedia]

　情報処理推進機構（IPA）などによると、国内の企業や組織を狙った標的型サイバー攻撃ではマルウェアを送り込むために「なりすましメール」（標的型メール）がよく使われている。その巧妙な内容から、うっかり開いてマルウェアに感染してしまうケースが絶えない。

　先の日本年金機構で発生した情報漏えいでも、まず「医療費通知」を名乗るなりすましメールが複数送り付けられ、メールと添付ファイルを開いてしまった職員のPCが「Emdivi」と呼ばれる遠隔操作型のマルウェアに感染した。攻撃者はマルウェアを使って、基礎年金番号や氏名など約102万人分の個人情報を盗み出したとされる。社会保障関連の仕事をする人が「医療費通知」を名乗るメールを開いてしまう可能性は高いかもしれない。

　なりすましメールを開いてしまう人は、一定の割合で存在する。セキュリティ会社のNRIセキュアテクノロジーズが毎年公表している「サイバーセキュリティ傾向分析レポート」によると、同社の標的型メール攻撃訓練を実施した企業では2割前後の人が、巧妙な標的型メールを開くという。

標的型メール攻撃訓練でメールを開く人の割合の推移

　最新版レポートによると、2014年度は約50社が訓練を実施。約14万通の訓練メール（標的型メールを模した内容で本物のマルウェアは添付しない）を開いてしまった人は19％いた。また、メールを開いてしまう人の割合は、従業員よりも役員の方が1.5倍も多い。テクニカルコンサルティング部の寺田亮一氏は、「役員が万一メールを開いてマルウェアに感染すれば、例えば、M&Aに関連するようなメールの内容を攻撃者に盗み見され、経営に危機的な影響が生じかねない」と指摘する。

標的型メールを開いてしまうのは役員の方が多い

　しかし、標的型メール攻撃の訓練を重ねることで、メールを開いてしまう人が確実に減ることも分かった。訓練を初めて実施した企業では約25％（4人に1人の割合）がメールを開いてしまうが、5回実施した企業では4％にまで低下した。

訓練の積み重ねで危険に対応する能力を“鍛えられる”ようだ

　訓練を初めて実施した企業では4人中3人は標的型メールを開かなかったことになる。寺田氏によれば、受信者が開かなかった理由は「件名がおかしいと感じた」「自分には関係のない内容だった」「多忙でメールに気が付かなかった」といったものが多い。

　標的型メールの“あやしい”特徴に気が付くことができれば、マルウェア感染から身を守れる可能性が高まる。標的型メールの訓練を重ねることでも、“あやしい”特徴に気が付ける能力を養っていけるようだ。特に標的型メールを開いてしまいがちな役員は、「従業員以上に訓練によって標的型メールの危険性を認知しておくことが大事。組織を守るには、企業の重要情報に関わる役職員全員について訓練を通じてセキュリティ意識を高め、基本動作を徹底することが重要」とアドバイスしている。

　ただ、訓練を5回実施した企業でも平均4％が標的型メールを開いてしまう。標的型サイバー攻撃では一人でもマルウェアに感染すれば被害が広がっていくため、寺田氏は「メールを開いてしまうことを前提にした対策に必要」と説く。

　標的型メールを通じてマルウェアに感染させる方法は、主にマルウェアを仕込んだ添付ファイルを開かせるものと、メールに記載したリンク（URL）を受信者にクリックさせてWebサイトに誘導し、Webサイトからマルウェアを送り込む「ドライブ・バイ・ダウンロード」と呼ばれるものの2つがある。

正規サイトも悪用する標的型サイバー攻撃。「あやしいメール」を無視するだけでは防げないのが対策の難しさの1つになっている

　NRIセキュアの調査では、メールの受信者が誘導される先のWebサイトのうち41％が、企業やブログなどの正規サイトだった。正規サイトが攻撃者によって改ざんされ、マルウェアを送り込む仕組みになってしまっていたという。

　寺田氏によると、改ざんされる正規サイトや不正サイトは次々に出現するため、「不正サイト情報が頻繁に更新されるURLフィルタリングや、怪しいファイルなどを詳しく解析して攻撃を検知するサンドボックスといった対策の導入が現実解になるだろう」と解説する。