ホーム > Global Perspective 2013 >
Global Perspective 2013
2013年8月26日掲載

サイバー攻撃の新たな兆候としての「やりとり型」

(株)情報通信総合研究所
グローバル研究グループ
佐藤 仁

2013年8月22日、警察庁は2013年上半期におけるサイバー攻撃情勢について発表した(※1)。同一のメールを複数の組織に送り付ける「ばらまき型」が減少したことによって標的型メール攻撃全体の件数は減少する一方で、「やりとり型」という巧妙化した手法の攻撃が増加した。

標的型メール攻撃は「ばらまき型」から「やりとり型」へ

警察庁と約5000社の事業者で構成する「サイバーインテリジェンス情報共有ネットワーク」を通じて警察庁が把握した標的型メール攻撃の件数は、2013年上半期は201件。2012年上半期が552件、同年下半期が457件だったのに比べて63.6%(351件)減少した。

(表1)警察が把握した標的型メール攻撃の件数

(表1)警察が把握した標的型メール攻撃の件数

(出典:警察庁)

「ばらまき型」とは、同じ文面や不正プログラムが10か所以上に送付されていた標的型メール攻撃を指している。そして「やりとり型」は、攻撃対象にいきなり不正プログラムを送付するのではなく、業務に関するメールを何通か「やりとり」して、ファイル添付メールが送られてきても不自然ではない状況を作った上で、不正プログラムを送付してくる手口である。

「やりとり型」は2012年の1年間で2件だったのに対し、2013年上半期は半年で33件へと増加した。「やりとり型」のメールの約8割は、企業がホームページに公開したアドレスに送信されている。内容は採用に関する質問が5割、製品の不具合についての問い合わせが3割だった。具体的には、「採用窓口はこちらですか」とメールを送り、担当者とやりとりをした後、「履歴書を送ります」と添付ファイルにウイルスを仕込んだメールを送っていたケースがあった。やりとりを開始する1通目のメールの内容は、約7割が問合せ先のメールアドレスを確認するものであった。

送信元はすべてフリーメールアドレスで、標的型メール全体でも62%(昨年同期26%)はフリーメールが使われていた。また送付されてくる添付ファイルも2012年ではほぼ半数に偽装が施されており、そのほとんどがWord文書ファイルのアイコンを表示するよう偽装されていた。これに対し2013年上半期には、ほぼ全ての不正プログラムに偽装が施されており、半数がWord文書ファイル、約3割が画像(JPEG)ファイルのアイコンを表示するよう偽装されていた。

(表2)ばらまき型とそれ以外の標的型メール攻撃の割合

(表2)ばらまき型とそれ以外の標的型メール攻撃の割合

(出典:警察庁発表資料を元に筆者作成)

(表3)標的型メールに添付された不正プログラムのファイル形式

(表3)標的型メールに添付された不正プログラムのファイル形式

(出典:警察庁発表資料を元に筆者作成)

(表4)2013年上半期の標的型メール攻撃に使用された不正プログラム等の接続先

(表4)2013年上半期の標的型メール攻撃に使用された不正プログラム等の接続先

(出典:警察庁発表資料を元に筆者作成)

新しいサイバー攻撃「やりとり型」に備える

今までのようなメールによる標的型攻撃は「ばらまき型」であった。メール受信者側も警戒するようになったのだろう。そして新たに「やりとり型」というスタイルで、送信先の組織に「まず問い合わせ」を行うことによって、「相手の確認」と「相手の警戒心を解除」をする。警戒心が解除された受信者側(標的とされた組織)は、何回かの「やりとり」を経てメールで添付ファイルを受け取ることによってマルウェアが組織内に侵入してしまう。ホームページに掲載されているメールアドレスであるため、多くの問い合わせメールがくることだろう。このような「やりとり型」はますます対応が面倒になるだろう。「採用窓口はこちらですか」とメールを送り、担当者とやりとりをした後、「履歴書を送ります」と添付ファイルにウイルスを仕込んだメールを送っていたケースがあったそうだ。これでは添付の履歴書を開封してしまうことだろう。そしてファイルを開封されると同時にマルウェアが組織内に侵入されることとなる。しかも、組織のホームページに公開しているアドレスに対して、問い合わせを行うために送付してくることから、そのメールが一般の方の問い合わせか、サイバー攻撃かはメールの「やりとり」だけでは区別がつかない。それが攻撃側の手口である。巧妙に組織内のネットワークに侵入してマルウェアを動作させ、情報窃取やシステム破壊を行う。

警察庁では、このように不特定多数からのメールを受信する機会が多いPCは、組織内の通常業務用PCのネットワークとは分離した専用PCとすることによって、マルウェアが組織のネットワークへ侵入しにくい仕組みを導入するなどの対策を講じることが重要だとしている。これから、サイバー攻撃の手法はますます巧妙化してくる。たとえ侵入されたとしても機密情報が外部に出ていかない出口対策が今後ますます重要になってくるだろう。

*本情報は2013年8月23日時点のものである。

※1 警察庁(2013年)「平成25年上半期のサイバー攻撃情勢について」(2013年8月22日)
http://www.npa.go.jp/keibi/biki3/250822kouhou.pdf

このエントリーをはてなブックマークに追加
▲このページのトップへ
InfoComニューズレター
Copyright© 情報通信総合研究所. 当サイト内に掲載されたすべての内容について、無断転載、複製、複写、盗用を禁じます。
InfoComニューズレターを書籍・雑誌等でご紹介いただく場合は、あらかじめ編集室へご連絡ください。