1. はじめに
どうも、趣味でデータ分析している猫背なエンジニアです。
今回はAdvent Calendarの参加中の記事を書いていこうと思います。
みなさんは詐欺的なものに引っかかったことはありますか?
私は幸運なことにいまのところないのですが、今後あるかもしれないという戒めのため、この記事を書いていこうと思います。
2. メールを使った攻撃の大分類
まず、メール経由の攻撃は大きく3つに分かれます。
■ フィッシング(Phishing)
最もよくある手口。偽のメールでユーザを誘導し、パスワードなどの情報を入力させる攻撃です。
リンク先が攻撃者の偽サイトで、ログインすると情報が盗まれます。
例:
「あなたのアカウントがロックされました」
「荷物の再配達はこちら」
「請求書の確認が必要です」
コメント:
見た目は本物そっくりです。ロゴ、文面、差出人名…かなり自然なので慣れていないと気付けません。
最近でいうと証券系の事件があったのが新しいですね。
■ スピアフィッシング(標的型)
フィッシングの高精度版。特定の企業・人物に狙いを絞ってメールを送ってきます。
例:
社長になりすまし「至急振り込みをしてほしい」
取引先になりすまし「請求書フォーマットが変わりました」
社内の新人を狙い「研修資料を確認してください(偽ファイル)」
社内の人事を装って「年末年始の飲み会アンケートのお願い」
■ マルウェア配布型
メールに添付されたファイルを開くとウイルスに感染するタイプ。
感染するとPCが乗っ取られたり、最終的にランサムウェアに発展することも。
よくあるファイル形式:
ZIP(パスワード付き含む)
Excel(マクロ付き)
Word
OneNote
IMG/ISO
コメント:
最近ではアサヒやアスクルが攻撃を受けて大損害が出ていますね。
こちらに関しては標的型と組み合わせた場合も多いみたいで、バックドアなど作られて攻撃とかも多いと聞いたことがあります。
3. 最近の傾向・高度化ポイント
■ AIにより文章が自然になっている
昔は「日本語が変だから怪しい」で気付けました。しかし今は違います。文章生成AIによって、敬語や業務っぽい文章、メールの流れ(挨拶・署名)などを簡単に書いてくれて、日本の文化風習を良くとらえた文章が生成されます。
初心者ほど「普通っぽいから安心」と勘違いしがちです。
■ フィルタ回避テクニックが増えている
攻撃者はセキュリティ製品を避けるための工夫もします。HTMLメールでフィルタをすり抜けるQRコードやパスワード別送でウイルス検査を回避、メールだけで判断が難しくなってきています。
■ 奪ったアカウントで社内に攻撃を展開
メールでパスワードを奪われると、その人のクラウドアカウント(Microsoft 365など)が乗っ取り、乗っ取った本人の名前で社内に「本物そっくりな」攻撃メールが送られるという流れが非常に多くなっています。
4. 実際の攻撃フロー(イメージ)
■ 攻撃例①:フィッシング → 情報窃取 → クラウド侵害
1.偽メールが届く
2.偽ログインページに誘導
3.パスワードが盗まれる
4.クラウドアカウントが乗っ取り
5.社内ユーザに二次攻撃が展開
■ 攻撃例②:添付ファイル → マルウェア → ランサムウェア
1.「請求書です」と添付ZIP送付
2.展開 → EXCELマクロ実行
3.ダウンローダが別のウイルスを取得
4.最終的にランサムウェアで暗号化
どちらも「最初はメール1通から」です。
5. 偽メール対策の基本
■ 技術的な対策
企業が整える部分ですが、ユーザ側が知っておくと理解が深まります。
対策例:
SPF / DKIM / DMARC(送信者なりすまし対策)
添付ファイルの自動検査
URLフィルタ
メールゲートウェイ(不審メールを自動振り分け)
もっとも効果的なのは「企業側がこういう対策をしているんだ」と理解しておくと良いです。技術的に守られている部分を知ることで、それ以外はブロックできないという逆張りの発想ができるので、対策できます。
■ 組織的対策
大企業では、訓練メールによる気づき向上により日々の訓練ができ、いざというときに気づくことも可能と思います。
また、相談窓口がどこかを明確にすることや受信者が不審に思ったらすぐ確認できる文化づくりも大切です。
■ ユーザ側の対策
最低限のポイントはこれだけと思ったので、書いてみました。
〇 不自然な点が1つでもあれば開かない
差出人が知らない
添付・リンクが急
明らかに急かしている
日本語が不自然
〇 誤クリックしても「すぐ報告」すれば被害は最小
誤ってURLをクリックしただけでは、まだ大丈夫なケースが多いです。
とにかく 黙って放置が一番危ない。
6. メール以外でも増えている新手口
最近はメール以外の連絡ツールも攻撃対象になっています。
例:
SNS DM
チャットアプリ(Teams / Slack)
ブラウザの通知
サプライチェーン攻撃(取引先経由)
「メール以外でも不審なリンクには注意」が基本です。
7. 今後の予測
AIによる攻撃文面の自動生成がもっと増え、フィッシングページもAIで“本物そっくり”になると思われます。パスワードレス認証の普及によりパスワードを盗む攻撃が減少しましたが、その代わりMFA(多要素認証)回避手法が増え、攻撃と防御がイタチごっこになる流れは続く可能性があります。
楽天証券でも実際にあったと報告があります。
8. おわりに
メールは依然としてサイバー攻撃の入り口として最強であり、攻撃は「自然な文章」「フィルタ回避」など高度化しています。
初心者でも「不審な点があれば開かない」「誤クリックはすぐ報告」で被害を防げます。
一度引っかかってしまうと蔓延は早く、ビジネス機会も失うと思いますので、気を付けていきたいと思います。
参考
今回、blastmailのAdvent calendarに参加しました。
以下にblastmailで公開されている記事も参考にさせていただきました。
以下も併せて読んでみてください👍