こんにちは、 阿部 巧です。
そういえば、2月1日から3月18日は『サイバーセキュリティ月間』ですね。
皆さんもこの期間は特にサイバーセキュリティに対しての情報が入りやすい時期だと思います。
SOC でアナリストをしていると、監視している環境内で、マルウェアに感染した端末が不審な通信先にアクセスしているというアラートを日々目にします。すぐに調査・処理を行っていますが、メールの開封を起因とするものが増加傾向にあり、このような不審メールが日々大量に出回っていることを身近に感じています。
今回はそんな不審なメールについてのお話しをしていこうと思います。
不審なメールの種類はたくさんあります。
こういった多種多様なメールが日々多くの方に届いているのですが、アンチウイルス製品等をパソコンやスマートフォンに導入していればある程度の不審なメールに対抗できるようになっています。
ですので、攻撃者はアンチウイルス製品の検知をすり抜けるようなメールを作成し、製品の検知をすり抜けたメールを端末の使用者に開封させるように仕向けてきます。
最近海外で報告された事例で、マイクロソフト、Facebook を騙るフィッシングメールを2つご紹介します。
1つ目は、マイクロソフトの Outlook を騙った送信者から、「Office 365」のアカウント情報が古くなったから再確認してくださいといった内容のメールです。
メールに記載されたリンクにアクセスすると、Outlook Web App のログイン画面を模した偽サイトに飛ぶ仕組みになっており、E メールアドレスやパスワードを盗む仕組みになっています。
2つ目は、Facebook のビジネスチャット機能「Workplace」を騙った送信者から、Workplace の通知内容をクリックさせるという内容のメールです。
メールに記載されたリンクにアクセスすると、Office 365 のログイン画面を模した偽サイトに飛ぶ仕組みになっており、E メールアドレスやパスワードを盗む仕組みになっています。
上記2つをフィッシングサイトだと見抜くのに困難な問題があります。
それはフィッシングサイトが Azure Blob Storage にホストされているため、フィッシングサイトのドメインに「windows.net」が含まれてしまい、フィッシングサイトであると気づきにくいという点です。
しかしながら、唯一見抜けるポイントとしては、マイクロソフトや Office 365 の正規のアカウントログインページのドメインには、
さらに不審なメールの中でも特に増加傾向にあるばらまき型メールについて触れていこうと思います。
※ ばらまき型メールとは、『同じ文面や不正プログラムが10か所以上に送付されていた標的型メール攻撃』であると定義されています。
参考:https://www.npa.go.jp/publications/statistics/cybersecurity/data/H30_kami_cyber_jousei.pdf
ばらまき型メールでは、メールに添付してあるファイルを開封させたり、本文に記載された URL にアクセスさせることにより、不正送金マルウェア(Ursnif 等)に感染させたりします。
突然ですが、以下の件名の中に不審なばらまき型メールに使用された件名があります。
一体どれだと思いますか?
セキュリティ対策のひとつとして「不審なメールを開封しない!」という注意喚起がなされたりしますが、
上記のようなメールを『不審である』と全員が判断できるとは私は思えません。
例えば、発注処理などを行なう部署の方々であれば、上記のような内容に似た本物のメールを日々処理しているはずなので、件名や本文などから不審だと判断するのは難しいかもしれません。
結論から言わせていただくと、今回ご紹介したような不審なメールは『開封してしまう』のが当たり前だと私は思っています。
多くの方は『メールを開封したくない』『端末を感染させたくない』と思っているはずです。
ただ、攻撃者のほうがどうしても一歩先を進んでいるのが現状です。
メールを開封させようとしたり、添付ファイルを開かせようとする件名や本文のメールを攻撃者は送ってきます。
ですので、不審なメールだと気づかず開封してしまうのは仕方のないこと、なんです。
ただ、大事なのはメールを開封した『後』にどうするのか、ということです。
例えば、今もし不審なメールを開封してしまったと気づいたときに、どこに連絡すればいいか把握できていますか?
そのような対応や対策については、次回以降で説明したいと思います。
ではでは。