標的型メールの攻撃はなぜ見破れない?
登録日:2016-06-16
実際は万事休す?

もうね、先に謝っておきます。
標的型メールを100%見破るなんて、事実上無理じゃないかと思ってます。ごめんなさい。
こんな事書いたら、「おい、モリ!情けないぞ!」と怒られそうですが、なぜそういう結論になるかを逆説的に説明します。
おさらい、標的型攻撃メールとは
標的型攻撃というのは、特定の組織や個人を狙って行われるサイバー攻撃で、中でも「標的型メール」ってのは、狙った人にウィルスメールなんかを送りつける手法です。
今時は事務所のパソコンはほとんどネットワークに繋がってるわけで、その中のどれか一台に侵入できれば、そこを基点に様々な情報を引っこ抜かれてしまうわけです。
昔からあるウィルスメールと違うのは、不特定多数を相手にしたイタズラ的な愉快犯ではなく、犯行目的が明確なわけです。
なぜ、引っ掛かるのか?
ここが重要なんですが、実在する(または実在してそうな)取引先や人物を装ったり、業務に関係りそうな内容であったり、思わず信じてしまうメールが飛んできます。
なんと最近では、メールのやりとりをずっと盗み見て、頃合のいいところで攻撃してくるケースも出てきました。
もともと取引のある業者から発電機を大量購入しようと、メールのやりとりをしていたら、請求の段階で、悪いヤツが横から偽の振込先を送りつけてきて、気づかず830万払ってしまったというもの。
メールアドレスが本来の相手とほんの一文字違いだったということです。よほど普段から注意していないと気がつかないですわな。
そして、先日のJTBの793万件の時は、
メールアドレスは、「ごくごく普通のありがちな日本人の苗字@実在する国内航空会社のドメイン」だった
http://headlines.yahoo.co.jp/hl?a=20160615-00010000-bfj-sociより
とニュースには載っていました。
確かに yamada@ana.co.jpなんてメールアドレスだったりしたら、ふつう不審には思わないですね。
というように、非常に巧妙なメールで飛んでくるので、つい引っ掛かってしまうわけです。
それに、自分が狙われるなんて幹部クラスでもない限り、普段から考えもしないんじゃないでしょうか。
会社のメールは会員登録などに使わないようにしてください。
標的型攻撃メールの見分け方
この手の情報といえば、IPA(独立行政法人 情報処理推進機構)が筆頭に上がりますね。
もちろんIPAでは以下のようなPDFを配布しています。
(PDF)IPAテクニカルウォッチ「標的型攻撃メールの例と見分け方」
そして、総務省
この他にも、ちょっと検索すると、非常に沢山のサイト等で解説されています。
・hotmailなどフリーメールから添付ファイル付きのもの
・日本語が不自然なメール
・存在しない組織名や電話番号
・送り元のメールアドレスと、署名のメールアドレスが違う
・送り元のメールアドレスと、返信しようとした際に表示されるアドレスが違う
・添付ファイルにZIPやEXEファイルがついている
・メール本文に記載のあるURL(ホームページアドレス)と、実際の飛び先のURLが違う
・メールヘッダーを見て中継サーバーを確認する
などなど、数々の方法が出てきます。
もちろん、これらの方法で100%見分けられるわけではありません。
じゃぁ、セキュリティソフトではどうか
こちらも、数々のソフトが出てます。
パナソニック「FFR yarai(エフエフアール ヤライ)」
ざっと見ましたが、価格も安くはないですし、操作も簡単ではなさそうです。
一定の効果は出るのかなぁとは思いますが、絶対的ではなさそうです。
そりゃそうですね、ウィルスバスター使っててもウィルス感染するときはするんですから。
現実的に考えると
こういうニュースが流れると、企業の意識が低いとか、担当者のリテラシーが低いとか、マスコミやネットでえらく叩かれますが、現実的にIT・コンピュータ業界じゃない企業や団体のスタッフ全員に「メールヘッダーの確認方法を覚えなさい」「IPAの資料を熟読して怪しいメールを見破る方法を習得しなさい」とか言うのも、非現実的な話でしょう。
自動車に乗る人全てに「走る度に自分でボンネット開けて、オイルゲージを確認しなさいよ!」と言ってるようなモンです。
しかも、集団なわとびのように、たった一人がポカしただけでも全部がパーってことは十分にあり得る話。
ポカした人を責めても仕方が無いし、責めるのが解決になるわけでもないし・・・
もうね、万事休すといったカンジです。
じゃぁモリはあきらめるのか?
いえいえ、あきらめてはいません。
(2017年1月11日に新しい案を書きました→コチラ)
こんなこと書いたらオマエはアホかと言われそうですが、所詮人が人相手に仕掛けている攻撃なので、
単純に
「脈絡の無い添付ファイル付きのメールは、相手に電話して生声で確認する!」
がベスト?ベター?じゃないかと思うわけです。
え?時代に反してます?
不確実な方法で逆に業務の効率が悪くなったり、使っているパソコンの速度がイライラするほど遅くなったり、社員に教育する時間を取られる位なら、これを徹底する方が現実的で安く済むと思うんですが。
なんかね、「ネットはネットで完結するのが当たり前」みたいな風潮があるような気がします。
先日、セキュリティに関するセミナーに行きましたら、IPAの人も「電話が現実的」と言ってました。
ちょっと、ホッとしました。
古くは「ネチケット」という、ネット上でのエチケットを指す言葉があったように、ビジネスマナーとして、「添付メールは電話で確認」ってのを根付かせる方が早いんじゃないかと思います。
「初見の訪問先で出されたお茶は飲まない」みたいにね。
あ~今回は「いいね」が付かないだろうなぁ。。
2017年1月11日追記
安全な添付ファイルの開き方を考えた
標的型攻撃メールの見分けられないならば、せめて添付ファイルを安全に開くことはできないかと考えていたところ、まだ色々試しきれていないので確約はできませんが、
添付ファイルをGoogleドライブに一旦アップする
のはどうかとやってみました。
長くなるので、別ページにしましたので、ぜひそちらもご覧ください!
この記事はお役に立ちましたか?
役に立たなかった | 役にたった | |