脅威はメールからやってくる――いますぐできる対策は？

近年、機密情報などの窃取を目的とし、特定の企業や組織を狙い撃ちにする「標的型攻撃」が、情報セキュリティの大きな課題となっている。「標的型攻撃」はさまざまな手法が存在するが、その中でも組織の関係者や顧客などを装い、メールを送信する「標的型メール攻撃」と呼ばれる攻撃が現在の主流となっており、手口も巧妙化、多様化の一途をたどっている。

本稿では、従来型のセキュリティ対策では防ぐことが難しいといわれる「標的型メール攻撃」に対し、費用負担も少なく容易に導入可能な、攻撃を緩和する対策について考察する。

標的型メールの手口を整理する

警察庁が2014年2月に公表した「平成25年中のサイバー攻撃の情勢および対策の推進状況について」から、最新の標的型メールの手口について見てみよう。

標的型メールの手口は、近年ますます巧妙化、多様化しており、複数回のメールのやりとりを通じて信頼関係を構築する「やりとり型」攻撃が拡大している。また、職員が情報交換に利用している掲示板などのサービスに潜入し、名簿やメールアドレスなどの情報を入手して周到に準備した上で、標的型メール攻撃を行っていたと見られるケースも確認されているという。いずれも人の心理につけ込んでメール受信者を信用させ、マルウェアを仕込んだ添付ファイルをいかにして開かせるかという、ソーシャルエンジニアリングの工作だ。

添付されるファイルの傾向についても変化が見られる。不正プログラムを含んだOfficeやPDFなどの文書ファイルを添付する手口が減少する一方で、実行ファイルやショートカットを圧縮して添付する手口が増加している。2013年下半期では標的型メールの95％が圧縮ファイル形式で、圧縮ファイル解凍後のファイル形式は、実行ファイルが87％、ショートカット（LNK）が6％となっている。

このように、実行ファイルやショートカットを圧縮して添付する手口が増えている理由としては、WindowsやOffice、Adobe Readerなどで自動更新機能が実装されたことによるパッチ適用率の向上や、Adobe ReaderやOfficeの保護ビュー（サンドボックス）機能の導入により、脆弱性を悪用した攻撃の成功率が低下していることが考えられる。また、実行ファイルやショートカットの直接の添付は、多くの組織のメールサーバーやメールクライアントでブロックされることから、ブロックを回避するために圧縮したファイルを添付して、標的型メールとして送信しているのであろう。

サードパーティ製のアーカイバー利用の問題点

このような圧縮ファイルを添付する手口が主流になってきた原因として、筆者が注目しているのが、Windows標準以外の「サードパーティ製のアーカイバー」の利用が増加していることである。

オンラインソフトの流通サイトである「窓の杜」と「ベクター」のダウンロード数ランキングでは、いずれも圧縮、解凍のフリーソフト「Lhaplus」がダウンロード数でトップになっている他、複数の圧縮、解凍ソフトが上位にランクインしている。

【関連記事】 窓の杜 2013年「年間かうんとだうん窓の杜」 http://www.forest.impress.co.jp/docs/serial/countdown/20131225_629072.html ベクター 2013年 年間総合ランキング（Windows） http://www.vector.co.jp/magazine/softnews/131227/n131227rank_year_win.html



プライバシーマークやISMS／ISO27001への対応などのために、個人情報や機密情報を含んだ添付ファイルを外部に送信する場合には、パスワードを付けて暗号化することが、多くの企業、組織でルール化されている。Windows XPでは、標準のアーカイバーでパスワード付き圧縮ファイルの作成が可能であったが、Windows Vista以降、この機能が削除されたため（パスワード付き圧縮ファイルの解凍は可能）、XPからの移行に伴い、サードパーティ製のアーカイバーを導入する組織、企業が増えていることが考えられる。

1|2|3|4 次のページへ