本文へ移動します

SBTのスベテ

不審なメール、見抜けますか?

阿部 巧

阿部 巧

こんにちは、 阿部 巧です。
そういえば、2月1日から3月18日は『サイバーセキュリティ月間』ですね。
皆さんもこの期間は特にサイバーセキュリティに対しての情報が入りやすい時期だと思います。

SOC でアナリストをしていると、監視している環境内で、マルウェアに感染した端末が不審な通信先にアクセスしているというアラートを日々目にします。すぐに調査・処理を行っていますが、メールの開封を起因とするものが増加傾向にあり、このような不審メールが日々大量に出回っていることを身近に感じています。

今回はそんな不審なメールについてのお話しをしていこうと思います。



そもそも不審なメールとはどういったものなのか?

不審なメールの種類はたくさんあります。

  • 迷惑(広告系)メール
  • フィッシングメール
  • やりとり型メール
  • 標的型メール
  • ばらまき型メール


・・・など

こういった多種多様なメールが日々多くの方に届いているのですが、アンチウイルス製品等をパソコンやスマートフォンに導入していればある程度の不審なメールに対抗できるようになっています。
ですので、攻撃者はアンチウイルス製品の検知をすり抜けるようなメールを作成し、製品の検知をすり抜けたメールを端末の使用者に開封させるように仕向けてきます。



最近起きた不審なメールの事例をご紹介

最近海外で報告された事例で、マイクロソフト、Facebook を騙るフィッシングメールを2つご紹介します。

1つ目は、マイクロソフトの Outlook を騙った送信者から、「Office 365」のアカウント情報が古くなったから再確認してくださいといった内容のメールです。
メールに記載されたリンクにアクセスすると、Outlook Web App のログイン画面を模した偽サイトに飛ぶ仕組みになっており、E メールアドレスやパスワードを盗む仕組みになっています。

2つ目は、Facebook のビジネスチャット機能「Workplace」を騙った送信者から、Workplace の通知内容をクリックさせるという内容のメールです。
メールに記載されたリンクにアクセスすると、Office 365 のログイン画面を模した偽サイトに飛ぶ仕組みになっており、E メールアドレスやパスワードを盗む仕組みになっています。

上記2つをフィッシングサイトだと見抜くのに困難な問題があります。
それはフィッシングサイトが Azure Blob Storage にホストされているため、フィッシングサイトのドメインに「windows.net」が含まれてしまい、フィッシングサイトであると気づきにくいという点です。

しかしながら、唯一見抜けるポイントとしては、マイクロソフトや Office 365 の正規のアカウントログインページのドメインには、

  • microsoft.com
  • live.com
  • outlook.com

が、含まれるというポイントがありますので参考にしてみてください。

参考:
https://www.edgewave.com/phishing/feeling-blue-about-phishing/
https://www.bleepingcomputer.com/news/security/outlook-and-microsoft-account-phishing-emails-utilize-azure-blob-storage/

このようにメールや SMS を経由し、個人情報やクレジットカード情報、銀行口座情報を盗むフィッシング行為は日々止むことがありません。
配達業者を騙った SMS や、ショッピングサイト、銀行などを騙ったフィッシングメールが広く出回っています。

参考:https://www.antiphishing.jp/news/alert/


増加傾向にあるばらまき型メールについて

さらに不審なメールの中でも特に増加傾向にあるばらまき型メールについて触れていこうと思います。
※ ばらまき型メールとは、『同じ文面や不正プログラムが10か所以上に送付されていた標的型メール攻撃』であると定義されています。
参考:https://www.npa.go.jp/publications/statistics/cybersecurity/data/H30_kami_cyber_jousei.pdf

ばらまき型メールでは、メールに添付してあるファイルを開封させたり、本文に記載された URL にアクセスさせることにより、不正送金マルウェア(Ursnif 等)に感染させたりします。

実際にばらまかれているメールの中身とは!

突然ですが、以下の件名の中に不審なばらまき型メールに使用された件名があります。
一体どれだと思いますか?

  1. 請求書送付
  2. 出荷明細添付
  3. 立替金報告書の件です
  4. 納品書フォーマットの送付
  5. Re:

…1番?

……2番?

………5番は無いかな?

はい、正解は『すべて』なんです。
ではこの5つの中の2番目、【出荷明細添付】というメールの本文を見てみましょう。

件名========================================
出荷明細添付

本文========================================
いつもお世話になっております。
添付のファイルをご確認の上処理いただきますようよろしくお願い致します。

よろしくお願い致します。

*****秘密保持について*****************************
この電子メール(添付ファイル等を含む)は、宛先として意図した特
定の相手に送信したものであり、秘匿特権の対象になる情報を含
んでいます。もし、意図した相手以外の方が受信された場合は、こ
のメールを破棄していただくとともに、このメールについて、一切の開
示、複写、配布、その他の利用、または記載内容に基づく、いかな
る行動もされないようにお願いします。
**************************************************

===========================================
添付ファイル
27294_2019年2月18.xls
===========================================


セキュリティ対策のひとつとして「不審なメールを開封しない!」という注意喚起がなされたりしますが、
上記のようなメールを『不審である』と全員が判断できるとは私は思えません。
例えば、発注処理などを行なう部署の方々であれば、上記のような内容に似た本物のメールを日々処理しているはずなので、件名や本文などから不審だと判断するのは難しいかもしれません。



「そもそも」の考え方を変えてみよう

結論から言わせていただくと、今回ご紹介したような不審なメールは『開封してしまう』のが当たり前だと私は思っています。

多くの方は『メールを開封したくない』『端末を感染させたくない』と思っているはずです。
ただ、攻撃者のほうがどうしても一歩先を進んでいるのが現状です。
メールを開封させようとしたり、添付ファイルを開かせようとする件名や本文のメールを攻撃者は送ってきます。

ですので、不審なメールだと気づかず開封してしまうのは仕方のないこと、なんです。
ただ、大事なのはメールを開封した『後』にどうするのか、ということです。
例えば、今もし不審なメールを開封してしまったと気づいたときに、どこに連絡すればいいか把握できていますか?

そのような対応や対策については、次回以降で説明したいと思います。
ではでは。


お問い合わせ

製品・サービスに関するお問い合わせはお気軽にご相談ください。

ピックアップ

セミナー情報
クラウドエンジニアブログ
clouXion
メールマガジン登録