情報セキュリティコラム第16回

手口がさらに巧妙化:
進化する標的型攻撃メール

Office365乗っ取り・「.wiz」ファイル悪用など
騙しメールの手口に注意

  1. トップ
  2. 情報セキュリティコラム「The ANGLE」
  3. 第16回 手口がさらに巧妙化:進化する標的型攻撃メール

企業への標的型攻撃メールは今も続いています。最近の特徴はOffice365などのクラウドサービスが狙われていること。Office365のID・パスワードを盗み取ったり、正規メールサーバーを乗っ取る、Officeの古いファイル形式でマルウェアに感染させるなどの手口があります。
(ITジャーナリスト・三上洋)

本コラムでご紹介している内容のまとめ

サイバー情報共有イニシアティブ・J-CSIP報告の標的型攻撃メール最新手口

標的型攻撃メールの目的は、犯人が「ターゲットを騙すこと」。騙すためには新しい手口を次々に使っていく必要があります。過去の手口は注意喚起されるため、少しずつ手口を変えていくのです。これらの新しい手口について「サイバー情報共有イニシアティブ・J-CSIP(ジェイシップ)」が注意喚起を出しています。

サイバー情報共有イニシアティブ・J-CSIP(ジェイシップ)は、IPA・情報処理推進機構と重工・重電・重要インフラなどの業界と連携した組織です。これらの業界は国の重要産業であるため、標的型攻撃メールでもっとも狙われやすいターゲットと言えるでしょう。J-CSIPでは3ヶ月ごとに運用状況レポートを出しています。

サイバー情報共有イニシアティブ(J-CSIP(ジェイシップ))

運用状況レポートにある標的型攻撃メールの相談件数をまとめたのが下のグラフです。

標的型攻撃メール J-CSIP相談件数

図1:標的型攻撃メール J-CSIP相談件数

標的型攻撃メールは2017年後半がピークで、その後2018年は落ち着きました。しかし2018年10月から12月の3ヶ月は、再び増えています。大量メール送信が行われたこともあり、標的型攻撃が増える兆候があります。

J-CSIPが紹介している標的型攻撃メールの最近の特徴を見ていきます。なおこの連載での以前の記事でも標的型攻撃メールの手口を紹介しているので、合わせてご覧ください。

サイバーレスキュー隊・J-CRATによる標的型攻撃の最新手口(本連載記事)

次々と利用されるOfficeの旧ファイル形式。今度は「.wiz」ファイル

標的型攻撃メールのもっとも古典的な手口は、Officeファイルを添付するやり方です。添付されたファイルを開かせ、WordやExcelのマクロを実行させてマルウェアに感染させる手口です。以前はWordそのもののファイル(.doc .xlsなど)が使われていましたが、ここ数年は他のファイル形式も標的型攻撃メールで悪用されています。

たとえばIPAが警告しているのは「.wizファイル」(2018年7月~9月の運用状況)。Wordなどで利用する「ウィザード」と呼ばれるファイルで、マクロの実行が前提になっています。

Officeの旧マクロ「.wiz」を使った標的型メールに注意

図2:Officeの旧マクロ「.wiz」を使った標的型メールに注意

Officeの旧マクロ「.wiz」を使った標的型メールに注意(PDFファイル:IPA)

この「.wiz」ファイルは、以前のWordでテンプレートを実行するために使われていました。たとえばWordでオリジナルのカレンダーを作ったり、定型文書を作成するためのファイル形式です。最新のWordでは作成できませんが、以前のバージョンで作られた「.wiz」ファイルは読み込むことができます。

犯人はこの「.wiz」ファイルをメールに添付して、メール受信者に開かせようとします。添付された文書には英語で「このコンテンツを開くには黄色いバーのボタンを押してください」と書いてありました。

「黄色いバーのボタン」とは、Officeが出すコンテンツの有効化(保護ビュー)です。保護ビューはインターネットからダウンロードしたファイルを開く前に出るもので、マクロの実行でマルウェア感染しないために表示されます。犯人はこの保護ビューでの警告を無視させて、マクロ実行からマルウェアに感染させようとしているのです。

IPAは「2018年9月に海外で発見された手口。今後日本語のメールで攻撃が行われる可能性があるので注意してほしい」と呼びかけています。

この他にも「.iqyファイル(エクセルでWebサイトのデータを読み込む)」「.ppsxファイル(パワーポイントのスライドショー実行)」などの添付ファイルによる攻撃も確認されています。いずれもOfficeの保護ビュー機能で回避できますので、「コンテンツの有効化」を押さないように気を付けてください。

Office365乗っ取りでの大量スパムメール送信

最近増えているのがOffice365などのクラウドサービスを狙った攻撃です。攻撃と言っても手口はシンプルで「IDとパスワードを盗み出す」だけ。フィッシングサイトでIDとパスワードを入力させて窃取し、その後にアカウントを乗っ取って再び標的型攻撃メールを大量送信します。

Office365乗っ取りでの大量スパムメール送信

図3:Office365乗っ取りでの大量スパムメール送信

J-CSIPが報告しているのは国内企業A社の事例で、4つのステップでスパムメールが大量送信されています(J-CSIP運用状況2018年10月~12月による)。

①フィッシングメールが送られ被害者のアカウント窃取
アメリカ企業のメールアドレスからA社の従業員あてにフィッシングメールが届く。グループウェアを悪用してアップロードされたファイルにID・パスワードを入力させるものだった。A社の従業員は騙されてID・パスワードを入力してしまう。
②Office365+アドレス帳でフィッシングメール大量送信
犯人はA社従業員のOffice365アカウントを乗っ取る。アドレス帳に登録されていた社内・社外のメールアドレスに対して、約1万通のフィッシングメールを7分間のうちに送信。アクセス元はナイジェリアのIPアドレスだった。
③フィッシングサイトへ誘導しID・パスワード窃取
大量送信されたフィッシングメールにはWordファイルが添付されており、「クラウドサービス上にメッセージがある」という内容でURLリンクが書かれていた。リンクを開くとフィッシングサイトへ誘導され、メールのログインのためにIDとパスワードを入力せよと表示。Office365やAOLのメールアカウントのIDとパスワードを盗み取ろうとする。
④問い合わせメールに自動返信する設定になっていた
巧妙なことに問い合わせメールに対する自動返信も用意していた。大量送信したフィッシングメールの受信者から返信が来ると、自動的に「確かに送付したものなので、内容を確認してほしい」というメールを送る。Outlookの「仕分けルール」の機能を悪用したものと思われる。

このように犯人は周到な準備をしています。Office365のアカウントを乗っ取ることで、Outlookのアドレス帳データを盗み取る。それを元にフィッシングメールを大量送信し、さらに多くの人のOffice365などのクラウドサービスのID・パスワードを盗む。受信者が不審がって「本物ですか?」などと返信を送った場合でも、自動返信で安心させることまでしています。

Office365のアカウントはとても重要です。メールが乗っ取られるだけでなく、保存されているファイル、アドレス帳なども盗み取られてしまうからです。被害を防ぐには、2段階認証を設定する、Office365のメールフィルタリングサービス(Office 365 Advanced Threat Protection サービス)を利用するかメール対策のソリューションを導入するなどの対策が必要です。

正規メールの返信を装った標的型攻撃メール

J-CSIPによれば2018年11月に興味深い手口が発見されています。下の画像を見てください。

正規メールへの返信を装うウイルスメールの例(J-CSIPによる)

図4:正規メールへの返信を装うウイルスメールの例(J-CSIPによる)

下側には過去のメールが引用されています。受信者にとっては自分が送った正規のメールであり、相手から返信が来たように見えるのです。しかしこれは攻撃者によるなりすまし(乗っ取り)でした。実際には攻撃者がメールアカウントを乗っ取り、過去のメールに対して返信の形で攻撃メールを送っていたのです。

添付されていたのはWordファイルで、マクロを実行させてマルウェアに感染させるものでした。このWordファイルには日本語で「このドキュメントは以前のバージョンで作成されたWordなのでコンテンツの有効化を押してください」という趣旨の説明が書かれてしました。Officeの保護ビューを解除させ、マクロを有効化する操作をするように誘導する日本語の文章です。これによってマルウェアに感染させようとしています。

なりすましで返信メールを送っていた(J-CSIPによる状況説明図)

図5:なりすましで返信メールを送っていた(J-CSIPによる状況説明図)

なりすましメールを送った手口は、J-CSIPによれば「正規のメールサーバーから送信されたものもあった」とのこと。メールアカウントが何らかの原因で不正アクセスされ、乗っ取りの形でウイルスメールが送られています(乗っ取り以外の方法も考えられるとのこと)。本物のアドレスから、正規メールの返信が来るのですから信じてしまう人もいそうです。

J-CSIPは「日本語にはまだ不自然な点があるものの、過去の正規メールに対する返信であるために不審なメールだと見破りにくい。注意を要する手口である」と注意を呼びかけています。

あらためて標的型攻撃メールの対策をチェック

このように標的型攻撃メールの手口は少しずつ進化してきています。騙すための心理的仕掛けが巧妙になっていると言っていいでしょう。あらためて対策をまとめておきます。

1:Officeの「保護ビュー」を必ず有効に
マクロを実行させないために必ずOfficeの「保護ビュー」機能を有効にする。その上で従業員に対し、保護ビューでは「コンテンツの有効化」を押さないことを周知する。
2:身に覚えのない警告ウィンドウが表示されたら
メールや文書ファイルの閲覧中、身に覚えのない警告ウィンドウが表示された際、無視して操作を進めるのでなく、警告の意味が分からない場合は操作を中断、システム管理部門などに連絡してもらうことを周知する。
3:ID・パスワードの管理を厳重に
従業員一人一人に、パスワードの重要性を周知すること。できるだけ長くする、同じパスワードを使いまわさないなどを徹底。社外のIPアドレスからアクセスする場合のために二段階認証や多要素認証を活用することも大切だ。
4:入口対策・出口対策・検知を含めた多層防御
メールフィルター・ウイルス対策ソフトだけでなく、通信検知・イベントログ解析などを含めた多層防御を導入する。

今後もOffice365などのクラウドサービスを狙った攻撃が続くと思われます。従業員に対してはID・パスワードの入力前に「止まって考えて、いつもと同じサイトか確認すること」「フィッシングサイトにID、パスワードを入力してしまった場合の連絡先」を周知することが大切です。

掲載日:2019年5月8日

執筆者プロフィール

ITジャーナリスト・三上洋(みかみよう)

セキュリティ、ネット事件、スマートフォンを専門とするITジャーナリスト。読売オンラインでセキュリティ連載「サイバー護身術」を長期連載するほか、テレビやラジオでの軽妙な語り口による分かりやすい解説に定評あり。

情報セキュリティコラムThe ANGLE情報漏えい対策の視角

第1回 Windows 10対応とハードディスク暗号化

第1回Windows 10対応とハードディスク暗号化

「BitLocker(ビットロッカー)」で十分!?安全性・運用からの考察

第2回 競合他社に勝つ!内部不正に強いWebシステムを目指して

第2回競合他社に勝つ!内部不正に強いWebシステムを目指して

新規開発システム、現行システムのいずれにも組み込みが容易な対策とは

第3回 迫る法改正!個人情報の在処(ありか)を把握せよ!

第3回迫る法改正!個人情報の在処(ありか)を把握せよ!

すべての企業に厳格な個人情報保護が求められる時代へ

第4回 従来型ウイルス対策製品とCylancePROTECTの違いに迫る!

第4回従来型ウイルス対策製品とCylancePROTECTの違いに迫る!

未知のサイバー攻撃への対処法、人工知能(AI)の活用による次世代型マルウェア対策

第5回 「サイバーセキュリティ経営ガイドライン(Ver.1.1)」ポイント解説

第5回「サイバーセキュリティ経営ガイドライン(Ver.1.1)」ポイント解説

企業経営とサイバーセキュリティ
経営者なら、これだけは押さえておきたい!

第6回 CSIRT立ち上げ後にやるべきことは?~インシデントレスポンス向上への取り組み~

第6回CSIRT立ち上げ後にやるべきことは?~インシデントレスポンス向上への取り組み~

標的型サイバー攻撃の監視、リアルタイム分析へ インシデントレスポンス向上への取り組み

第7回 大学・研究所における情報漏えい対策

第7回大学・研究所における情報漏えい対策

「情報資産」保護に有効な対策とは

第8回 ランサムウェア対策に有効なアプローチとは?

第8回ランサムウェア対策に有効なアプローチとは?

脅威の傾向を理解し、プロアクティブな対応を

第9回 適切な投資で損失を防ぐ中堅・中小企業のセキュリティ対策

第9回適切な投資で損失を防ぐ
中堅・中小企業のセキュリティ対策

まず、何から取り組むべきか

第10回 BEC=ビジネスメール詐欺は「メール監視」から始まっている

第10回BEC=ビジネスメール詐欺は
「メール監視」から始まっている

ビジネスメール詐欺は、たんなる詐欺メールではありません。

第11回 企業でのパスワード管理:社員頼りのアナログ管理はやめよう

第11回企業でのパスワード管理:社員頼りのアナログ管理はやめよう

増え続けるパスワードに対して、企業はどう対応すればいいのか。

第12回 サイバー攻撃手法の最新事例(1) ランサムウェアの最新事例

第12回サイバー攻撃手法の最新事例(1) ランサムウェアの最新事例

ランサムウェアの感染手口・資金回収方法が巧妙に進化

第13回 最新版ガイドラインでわかる企業のセキュリティ方針

第13回最新版ガイドラインでわかる
企業のセキュリティ方針

「サイバーセキュリティ経営ガイドライン2.0」と「中小企業の情報セキュリティ対策ガイドライン第2.1版」の活用法

第14回 サイバーレスキュー隊・J-CRATによる標的型攻撃の最新手口

第14回サイバーレスキュー隊・J-CRATによる
標的型攻撃の最新手口

4つの巧妙手口「ファイルを開かせる心理的攻撃」「ファイルレス攻撃」「長期潜伏」「クラウド攻撃」を見る

第15回 サイバー攻撃手法の最新事例(2)宅配便偽SMSで大量拡散する不正アプリ

第15回サイバー攻撃手法の最新事例(2)宅配便偽SMSで大量拡散する不正アプリ

スマートフォンで「スミッシング」が拡散・不正アプリで情報窃取も

第16回 手口がさらに巧妙化:進化する標的型攻撃メール

第16回手口がさらに巧妙化:進化する標的型攻撃メール

Office365乗っ取り・「.wiz」ファイル悪用など騙しメールの手口に注意

第17回 インシデント対応の切り札「SOAR」とは何か?

第17回インシデント対応の切り札「SOAR」とは何か?

チャート形式の手順書でインシデントに自動対応できる

第18回 Wordの「OLE機能」を悪用したメール添付ファイルに注意

第18回Wordの「OLE機能」を悪用したメール添付ファイルに注意

Officeマクロ利用の新しい手口

第19回 相次ぐ不正ログイン被害:クラウド時代には二要素認証の導入を

第19回相次ぐ不正ログイン被害:クラウド時代には二要素認証の導入を

 

第20回 不正ログイン被害を減らすためにリスクベース認証を

第20回不正ログイン被害を減らすためにリスクベース認証を

ログイン履歴・ふるまいを機械学習することで不正ログインを減らす

第21回 メール攻撃がより巧妙に:プラント事業者狙いの日本語メールとEmotet

第21回メール攻撃がより巧妙に:プラント事業者狙いの日本語メールとEmotet

ターゲットを絞って執拗に攻撃・あらゆる手法を用いて侵入しようとする

第22回 ビジネスメール詐欺=BECのヘッダー偽装・攻撃手法

第22回ビジネスメール詐欺=BECのヘッダー偽装・攻撃手法

総務・経理担当者にも周知したいビジネスメール対策

第23回 リモートワーク時代は「統合ログ管理」でセキュリティ対策・働き方改革を

第23回リモートワーク時代は「統合ログ管理」でセキュリティ対策・働き方改革を

クラウド基盤・サービスからもログ収集できる統合ログ管理

第24回 対策が後手になっていませんか?Active Directoryのセキュリティ対策

第24回対策が後手になっていませんか?Active Directoryのセキュリティ対策

Active Directoryを守ることの重要性

第25回 クラウドサービス利用時のセキュリティ対策

第25回クラウドサービス利用時のセキュリティ対策

~不安の原因解明と解決に向けたアドバイス~

第26回 IoT機器のセキュリティ対策を考える

第26回IoT機器のセキュリティ対策を考える

~身近な機器がインターネットにつながることの脅威~

第27回 ログの活用はできていますか?

第27回ログの活用はできていますか?

情報漏えいの兆候把握、攻撃の早期検知に役立つログ管理の勧め

第28回 サイバー攻撃のリスクから事業継続を考える

第28回サイバー攻撃のリスクから事業継続を考える

~自然災害とは異なるIT-BCPの考え方とそのポイント~

第29回 業務で扱う個人情報の増加に伴う見落としがちなリスクと対策手順

第29回業務で扱う個人情報の増加に伴う見落としがちなリスクと対策手順

製造・卸売・小売業の事例を踏まえて

第30回 Azure Active Directoryのハイブリッド環境におけるリスクと対策

第30回Azure Active Directoryのハイブリッド環境におけるリスクと対策

オンプレミス環境とクラウド環境の双方を守るためには

第31回 制御システム向けペネトレーションテスト

第31回制御システム向けペネトレーションテスト

模擬攻撃でサイバーリスクを明確化し、適切な対策を検討

第32回 終わりなきセキュリティ対策の「ゴール」の見つけ方

第32回終わりなきセキュリティ対策の「ゴール」の見つけ方

“最高にうまくいって何も起こらない”にお金をかける価値

第33回 セキュリティ対策は情報収集が不可欠な時代へ

第33回セキュリティ対策は情報収集が不可欠な時代へ

脅威インテリジェンスとは何か

第34回 クラウドのセキュリティリスクと求められる対策とは?

第34回クラウドのセキュリティリスクと求められる対策とは?

注意すべき「設定ミス」によるセキュリティインシデント

第35回 「SBOM」とは

第35回「SBOM」とは

ソフトウェアの安全性を確保するセキュリティの新たなスタンダード

セミナー・イベント情報

資料ダウンロード

企業の情報漏えい対策に役立つ情報をPDF形式の資料として無償でダウンロードしていただけます。

サイバー脅威からお客様の資産・ビジネスを守る

サイバーセキュリティ対応のポイント リーフレット

サイバーセキュリティ対応のポイント リーフレット

NECソリューションイノベータのサイバーセキュリティサイトをA4裏表でコンパクトにまとめた紹介リーフレット。

(A4・全2ページ)

ダウンロードする

情報セキュリティ対策の特集/業界トレンド情報をご提供

ホワイトペーパー

  • IT部門 意思決定者を対象とした調査結果レポート

    IT部門 意思決定者を対象
    とした調査結果レポート

    (A4/全8ページ)
  • 「終わりなきITセキュリティ対策」に必要な2つの視点とは

    「終わりなきITセキュリティ対策」
    に必要な2つの視点とは

    (A4/全4ページ)
  • 21世紀のセキュリティにAIが果たす役割

    21世紀のセキュリティに
    AIが果たす役割

    (A4/全6ページ)

資料を請求する

情報漏えい対策ソリューション

製品ご紹介リーフレット

本サイトでご紹介している製品のご紹介リーフレットを無料でまとめてダウンロードしていただけます。導入ご検討の際にぜひご活用ください。

  • NonCopy2 リーフレット

    NonCopy2(A4・全2ページ)

  • 4thEye Professional リーフレット

    4thEye Professional(A4・全2ページ)

  • Tripwire Enterprise リーフレット

    Tripwire Enterprise(A4・全2ページ)

  • CylancePROTECT リーフレット

    CylancePROTECT(A4・全2ページ)

  • Webコンテンツ保護・情報漏えい対策リーフレット

    Webコンテンツ保護・情報漏えい対策リーフレット(A4・全4ページ)

資料を請求する

サイバー脅威からお客様の資産・ビジネスを守る

サイバーセキュリティ

サイバー攻撃が加速度的に高度化・巧妙化し続ける今、
個所を守るセキュリティ対策だけでは対応することが困難になっています。
NECソリューションイノベータは、エンドポイントからクラウドまでシステムを
知るシステムインテグレータの視点で、組織全体のセキュリティ対策強化と、
お客様のビジネスの継続および重要データの保護をサポートします。

サイバーセキュリティ・トップ

情報漏えい対策をお考えの企業様へ

お問い合わせ・ご相談フォーム

「すでにセキュリティ対策はしているつもりだが、対策に漏れがないか不安だ」
「セキュリティをより強固にするため複数の施策を組み合わせたいが、機能の重複などがあって迷っている」
など、情報漏えい対策についてのご質問・ご相談などございましたら、何でもお気軽にお問い合わせください。

フォームから問い合わせる