2017. 06. 22 Update !

イマ旬

どう見分ける?増える「ばらまき型攻撃メール」

ばらまき型攻撃メールとは、ランサムウェアやトロイの木馬ウイルスなどへの感染を誘発する、不特定多数へ送りつけられる不審な電子メールのことです。最近、このばらまき型攻撃メールが増加しています。
あなたのアドレスにも届いていませんか?

坪井 繁幸
株式会社NTTデータ 技術革新統括本部セキュリティ技術部
課長代理 坪井 繁幸

イマ旬の注目キーワード
ばらまき型攻撃メール

背景

2016年国内で確認されたマルウェアスパムアウトブレイク(検出台数400件以上)による検出台数推移(トレンドマイクロ)※1

2016年国内で確認されたマルウェアスパムアウトブレイク(検出台数400件以上)による検出台数推移(トレンドマイクロ)※1

機密情報の搾取などを目的として、特定組織や個人を対象に送りつけられる標的型攻撃メールは、受信者について調査し、無防備に受け入れそうな件名や本文を巧妙に作成します。そのため、標的となった受信者は業務に関係するメールや知人からのメールだと思いこみ開封してしまいます。その特性から標的型攻撃メールは受信者が少ないため情報収集しにくく、注意喚起が困難です。

一方、ばらまき型攻撃メールは、同じ件名や本文のメールを不特定多数に送りつけるため、情報が集まります。本レポートでは、ばらまき型攻撃メールの特徴や見分けるためのポイントを紹介します。

ばらまき型攻撃メールの特徴

攻撃者は件名や本文の情報量を抑えて、受信者がメールの真偽を判断できずに、うっかり添付ファイルを開くよう仕向けてきます。日本国内での受信例は、日本語または英語のものが大半です。最近は、業務で日常的に受信する件名と類似しているものが多く、件名や本文が自然な日本語のため、見分けることが難しくなってきています。ばらまき型攻撃メールには、例えば、以下のような特徴があります※2※3

───
・件名だけで本文がない、または本文が数行しかない
・業務で日常的に受信する「見積書」「請求書」などの件名を使っている
・実在する企業や団体名、またはそれらに類似した名称を差出人に使用する
・「緊急」などと急がせる内容を記載して、メールの真偽を吟味させないようにしている
・普段から業務で使用していて、開きやすいWordやExcelファイルを使ってウイルスを添付する
───

ばらまき型攻撃メールの見分け方

同時に大量に出回るばらまき型攻撃メールは、独立行政法人情報処理推進機構(IPA)や日本サイバー犯罪対策センター※4、送信元に詐称された組織が、注意喚起をWebページに掲載している場合があります。IPAからは、標的型攻撃メールの例と見分け方のレポート※5が公開されました。

不審メールを受信したら、インターネットの検索エンジンで件名や本文のキーワードを検索すると、同じ事例が多数見つかったり、注意喚起が見つかったりします。不審メールを受信したら、まずは、こんなポイントを確認しましょう。

───
1.差出人を確認する
 ・差出人の名前やメールアドレスに見覚えがない
 ・差出人が、業務で日常的に受信する差出人ではない
 ・差出人メールアドレスのドメインや送信元の組織名をwhoisサービスや検索エンジンで調査しても実在しない
 ・差出人が自分のメールアドレスになっている

2.件名や本文を確認する
 ・本文が空、もしくは数行以下で、添付ファイルが付いている
 ・署名がない、または署名の内容が間違っている。架空の名前である
 ・組織内の話題なのに、外部のメールアドレスから届いている
───

ばらまき型攻撃メールの例

では具体的に、ばらまき型攻撃メールの例とその見分け方を見てみましょう。

figure1

<ここに注意!>
本文を空白にして真偽を判断できる情報を与えず、反射的に日常業務で見慣れているExcelやWordの添付ファイルを開かせる手口です。
 ・業務上の取引がない差出人
 ・差出人がフリーメールアドレス
 ・差出人が自分自身のメールアドレスになっていることもある
 ・本文なしでファイルのみが添付されている

figure2

<ここに注意!>
自然な日本語で、件名や本文を実在の通知文に類似させているため、正当な通知メールと誤認させ、添付ファイルを開かせる手口です。※6
 ・本文に「電子署名をつけて」との説明があるが、電子署名はない
 ・具体的な銀行名の記載がない

figure3

<ここに注意!>
実在する企業名に類似した名前をメールの差出人として使用し、「請求書」という件名で業務連絡と誤認させ、添付ファイルを開かせる手口です。※7
 ・差出人が実在しない企業名
 ・業務上取引のない企業からの「請求書」は不自然

まとめ

ばらまき型攻撃メールの被害にあわないためには、普段から一人ひとりが注意して差出人、件名や本文を確認する基本的な動作が大切です。受信したメールの差出人の名前やメールアドレス、件名や本文の内容など、複数の情報を使って総合的に判断しましょう。

また、ばらまき型攻撃メールに限らず、不審なメールの添付ファイルやメール本文のURLを万が一開いてしまった場合は、そのコンピュータを直ちにネットワークから切り離すなどの適切かつ速やかな対応が、被害の最小化につながります。

※1 加速するランサムウェアの脅威、2016年第3四半期の脅威動向を分析

http://blog.trendmicro.co.jp/archives/14021

※2 サイバーレスキュー隊(J-CRAT)活動状況[2016年度上半期]

https://www.ipa.go.jp/files/000055231.pdf

※3 巧妙化する日本語ばらまき型攻撃メールに注意喚起―J-CSIP

http://it.impressbm.co.jp/articles/-/13768

※4 インターネットバンキングマルウェアに感染させるウイルス付メールに注意

https://www.jc3.or.jp/topics/virusmail.html

※5 IPAテクニカルウォッチ「標的型攻撃メールの例と見分け方」

http://www.ipa.go.jp/security/technicalwatch/20150109.html

※6 国内ネットバンキングを狙う「URSNIF」が再び日本語メールで拡散

http://blog.trendmicro.co.jp/archives/13560

※7 注意喚起:悪意あるWordファイルが添付された日本語メールについて

https://blog.kaspersky.co.jp/alert-japanese-emails-with-malicious-docs/9322/