NTT DATA

DATA INSIGHT

NTT DATAの「知見」と「先見」を社会へ届けるメディア

キーワードで探す
カテゴリで探す
サービスで探す
業種で探す
トピックで探す
キーワードで探す
カテゴリで探す
サービスで探す
業種で探す
トピックで探す
background-image-careers
2017.6.22技術トレンド/展望

どう見分ける?増える「ばらまき型攻撃メール」

ばらまき型攻撃メールとは、ランサムウェアやトロイの木馬ウイルスなどへの感染を誘発する、不特定多数へ送りつけられる不審な電子メールのことです。最近、このばらまき型攻撃メールが増加しています。 あなたのアドレスにも届いていませんか?

背景

2016年国内で確認されたマルウェアスパムアウトブレイク(検出台数400件以上)による検出台数推移(トレンドマイクロ)(※1)

2016年国内で確認されたマルウェアスパムアウトブレイク(検出台数400件以上)による検出台数推移(トレンドマイクロ)(※1)

機密情報の搾取などを目的として、特定組織や個人を対象に送りつけられる標的型攻撃メールは、受信者について調査し、無防備に受け入れそうな件名や本文を巧妙に作成します。そのため、標的となった受信者は業務に関係するメールや知人からのメールだと思いこみ開封してしまいます。その特性から標的型攻撃メールは受信者が少ないため情報収集しにくく、注意喚起が困難です。

一方、ばらまき型攻撃メールは、同じ件名や本文のメールを不特定多数に送りつけるため、情報が集まります。本レポートでは、ばらまき型攻撃メールの特徴や見分けるためのポイントを紹介します。

  1. ※1 加速するランサムウェアの脅威、2016年第3四半期の脅威動向を分析
    http://blog.trendmicro.co.jp/archives/14021(外部リンク)

ばらまき型攻撃メールの特徴

攻撃者は件名や本文の情報量を抑えて、受信者がメールの真偽を判断できずに、うっかり添付ファイルを開くよう仕向けてきます。日本国内での受信例は、日本語または英語のものが大半です。最近は、業務で日常的に受信する件名と類似しているものが多く、件名や本文が自然な日本語のため、見分けることが難しくなってきています。ばらまき型攻撃メールには、例えば、以下のような特徴があります(※2)(※3)。

  • 件名だけで本文がない、または本文が数行しかない
  • 業務で日常的に受信する「見積書」「請求書」などの件名を使っている
  • 実在する企業や団体名、またはそれらに類似した名称を差出人に使用する
  • 「緊急」などと急がせる内容を記載して、メールの真偽を吟味させないようにしている
  • 普段から業務で使用していて、開きやすいWordやExcelファイルを使ってウイルスを添付する
  1. ※2 サイバーレスキュー隊(J-CRAT)活動状況[2016年度上半期]
    https://www.ipa.go.jp/files/000055231.pdf(外部リンク)
  2. ※3 巧妙化する日本語ばらまき型攻撃メールに注意喚起―J-CSIP
    http://it.impressbm.co.jp/articles/-/13768(外部リンク)

ばらまき型攻撃メールの見分け方

同時に大量に出回るばらまき型攻撃メールは、独立行政法人情報処理推進機構(IPA)や日本サイバー犯罪対策センター(※4)、送信元に詐称された組織が、注意喚起をWebページに掲載している場合があります。IPAからは、標的型攻撃メールの例と見分け方のレポート(※5)が公開されました。

不審メールを受信したら、インターネットの検索エンジンで件名や本文のキーワードを検索すると、同じ事例が多数見つかったり、注意喚起が見つかったりします。不審メールを受信したら、まずは、こんなポイントを確認しましょう。

───

1.差出人を確認する

  • 差出人の名前やメールアドレスに見覚えがない
  • 差出人が、業務で日常的に受信する差出人ではない
  • 差出人メールアドレスのドメインや送信元の組織名をwhoisサービスや検索エンジンで調査しても実在しない
  • 差出人が自分のメールアドレスになっている

2.件名や本文を確認する

  • 本文が空、もしくは数行以下で、添付ファイルが付いている
  • 署名がない、または署名の内容が間違っている。架空の名前である
  • 組織内の話題なのに、外部のメールアドレスから届いている
  1. ※4 インターネットバンキングマルウェアに感染させるウイルス付メールに注意
    hhttps://www.jc3.or.jp/topics/virusmail.html(外部リンク)
  2. ※5 IPAテクニカルウォッチ「標的型攻撃メールの例と見分け方」
    http://www.ipa.go.jp/security/technicalwatch/20150109.html(外部リンク)

ばらまき型攻撃メールの例

では具体的に、ばらまき型攻撃メールの例とその見分け方を見てみましょう。

<ここに注意!>
本文を空白にして真偽を判断できる情報を与えず、反射的に日常業務で見慣れているExcelやWordの添付ファイルを開かせる手口です。

  • 業務上の取引がない差出人
  • 差出人がフリーメールアドレス
  • 差出人が自分自身のメールアドレスになっていることもある
  • 本文なしでファイルのみが添付されている

<ここに注意!>
自然な日本語で、件名や本文を実在の通知文に類似させているため、正当な通知メールと誤認させ、添付ファイルを開かせる手口です。(※6)

  • 本文に「電子署名をつけて」との説明があるが、電子署名はない
  • 具体的な銀行名の記載がない

<ここに注意!>
実在する企業名に類似した名前をメールの差出人として使用し、「請求書」という件名で業務連絡と誤認させ、添付ファイルを開かせる手口です。(※7)

  • 差出人が実在しない企業名
  • 業務上取引のない企業からの「請求書」は不自然
  1. ※6 国内ネットバンキングを狙う「URSNIF」が再び日本語メールで拡散
    http://blog.trendmicro.co.jp/archives/13560(外部リンク)
  2. ※7 注意喚起:悪意あるWordファイルが添付された日本語メールについて
    https://blog.kaspersky.co.jp/alert-japanese-emails-with-malicious-docs/9322/(外部リンク)

まとめ

ばらまき型攻撃メールの被害にあわないためには、普段から一人ひとりが注意して差出人、件名や本文を確認する基本的な動作が大切です。受信したメールの差出人の名前やメールアドレス、件名や本文の内容など、複数の情報を使って総合的に判断しましょう。

また、ばらまき型攻撃メールに限らず、不審なメールの添付ファイルやメール本文のURLを万が一開いてしまった場合は、そのコンピュータを直ちにネットワークから切り離すなどの適切かつ速やかな対応が、被害の最小化につながります。

お問い合わせ

続きを読む