近年、標的型攻撃が劇的に増加しています。大企業、政府機関、政治団体が軒並み標的になったことを報告しています。おおよその目安として、組織が扱う情報の機密性が高いほど、攻撃の標的になる可能性が高くなります。
ここでは、悪質な電子メールの送信元、標的にされる組織、電子メールの送信元ドメイン(なりすましかどうかにかかわりません)、電子メールに添付される悪質なファイルの種類など、標的型攻撃に関する数々の重要な問題への考察を試みます。次の図に示すように、シマンテックが解析したデータによると、標的型メール攻撃は、平均して増加傾向にあります。
図 1. 標的型攻撃の傾向
送信元
この解析では、まず電子メールの送信元を確認しました。電子メールは、全世界中 91 カ国にわたり 6,391 個の一意の IP から発信されていました。シマンテックが持つ標本データセットによると、電子メールを用いた攻撃の地域別内訳は、次のとおりです。
図 2. 悪質な電子メールの送信元(地域別)
全般的な標的
では、最も標的にされやすい業種は何でしょうか。電子メールの宛先ドメインから導き出した、最も標的にされやすい組織の業種トップ 10 は、次のようになっています。
図 3. 悪質な電子メール攻撃の標的(業種別)
最も標的とされたトップ 10 のうち、3 つの組織が政府機関でした。残りの 7 つの組織のうち 4 つは、地方自治体か国際政府機関のいずれかと密接な関係にあります。また、2 つは(6 番目と 10 番目)は、政府の管理下にはありませんが、その事業内容は規制を強く受けており、政府機関によって影響される可能性があります。
政府機関が、その政治的機密情報のために標的となっているのは明らかです。では NPO や民間企業が標的となるのはなぜでしょうか。それは、ひとまず足がかりとするためです。政府機関と密接な関係を持つ企業に侵入することにより、攻撃者は政府要員の連絡先を手に入れ、盗んだ情報を元に次の攻撃を企てます。
最も標的にされた組織リストの 7 番目に入ったある組織について、次のことが確認されました。
• 41 人が 10 件以上の電子メールを受信しており、それが、その組織宛てに送信された攻撃メール全体の 98% を占めていた。
• 残りの 2% の電子メールは、その他の 13 人に宛てられたもので、1 人あたりの受信件数は平均 2 件以下だった。
このことから、おそらくは、プロフィールや組織内の特定の地位により、ある特定の人々が、他の人よりも標的にされやすいことがはっきりと分かります。この組織では、社長、副社長、部長、課長、役員秘書のすべてが標的になっていました。電子メールアドレスや役職名を含む彼らのプロフィールはすべて公表されており、それが悪質な攻撃者の最初の情報源となった可能性が高いとみられます。
とはいっても、組織の上層部を標的にすることは攻撃者にとって必須ではありません。しばしば、個人秘書や IT スタッフ(標的とするインフラの管理者権限を持つ場合が多い)も標的とされます。組織内のコンピュータ 1 台の感染もしくは侵入に成功すれば、同一ネットワーク上の他のコンピュータやデバイスに侵入できる可能性が生まれます。攻撃者は、このようにしながら、(他の組織に属する)さらなる連絡先情報を入手し、他の組織に対する将来的な攻撃へとつなげます。攻撃者に必要なのは、最初の足がかりだけなのです。
具体的な標的
シマンテックが収集した電子メールデータから、最も標的にされた業種について考察してきましたが、それでは個人はどうでしょうか。次のグラフは、過去 2 年間のトップ 5 の標的メールアドレス(ドメインではありません)の受信件数を示しています。
図 4: トップ 5 の標的メールアドレスにおける受信メール件数
すべての標的アドレスにおいて、規則的な増加と減少が見られます。これは、基本的には、ユーザーが悪質な電子メールをある時点で受信しない場合、近い将来に受信するだろうということを意味します。おそらく、攻撃者は、休止することでユーザーを安心させ、油断したすきに攻撃しようとしているのでしょう。
次のグラフにおいて、標的アドレス Victim 3 と Victim 4 は同じ組織に属しています。受信した電子メールの時期と件数について、非常に似通った傾向があることが見て取れます。
図 5: Victims 3 と 4 は同一組織に属している
このことから、この 2 つの標的アドレスは、同一の攻撃者により、おそらくは同一の理由によって標的とされたと考えられます。次のグラフは、ユーザー数に対する電子メール件数の分布を示しています。
図 6: 受信者数に対する電子メールの分布
10 件未満の電子メールを受信したユーザーが 23,529 人いました。大半の電子メールが、これらの宛先によって受け取られたように思えます。ところが、興味深いことに、受信件数の少ない 23,529 人が受け取ったメールが攻撃メール総数の 69.44% を占めるのに対し、受信件数が 11 件以上の 833 人が受け取ったメールは、30.55% を占めています。ここでも、受信者全体のごく一部(3%)が、送信された電子メール全体の多くの部分(3 分の 1)を受信したことが分かります。
ファイルの種類
ここまで、最も標的にされた組織を明らかにし、これらの組織の一部の個人について考察してきました。次は、電子メールを用いた攻撃で使用される悪質な添付ファイルの最も一般的な種類を確認しましょう。
図 7: 上位 10 の添付ファイルの種類
PDF が最も多く、次に Microsoft Word の .doc 形式が続いています。少々驚くことに、実行可能ファイル(.exe)が 10% 近くを占めています。ほとんどの組織では、もっともな理由により実行可能ファイルをゲートウェイで遮断しているため、攻撃者がとるにはかなりお粗末な手口に思えます。PDF と Microsoft Word による攻撃は、通常、アプリケーションの脆弱性を悪用するか、ドキュメントに埋め込まれた悪質なファイルを使用するかの 2 つの異なる感染パターンを辿ります。いずれの場合でも、受信者がドキュメントを開くことが必要です。前者はパッチがリリースされたらすぐに適用することで防止でき、後者は教育と啓蒙によって防止できます。
標的とされたトップ 10 の組織に送信された、トップ 10 の悪質な電子メールから、次のことが分かります。
• 95% のケースで、10 件以上の電子メールが同一の組織に送信されている。
• これらの組織に送信された電子メールの約 60% は、各組織用に(より興味深い内容になるよう)カスタマイズされていると思われる。これによって、電子メールが読まれ、添付ファイルが開かれる確率が上がります。
このことから、攻撃者は、組織内の特定の個人を狙っているのではなく、組織に潜入する確率を最大化するために電子メールをばらまいていることが分かります。これは、攻撃者の巧妙なやり口です。このブログで繰り返し指摘しているように、標的にさらなるダメージを与えるのに必要なのは、足がかりを作ることだけだからです。
まとめ
ここまで、このフィッシング電子メールの比較的大きなサブセットから分かるいくつかの傾向を見てきましたが、これらの電子メールは、実際には 1 通たりとも標的には届いていないことを指摘しておきます。これは、Symantec.cloud テクノロジによって遮断されたためです。
要約:
• 平均して、標的型メール攻撃は今回考察した 2 年間で増加した。
• 組織が扱う情報の機密性が高いほど、標的にされる確率は高まる。
• 最も標的にされる業種は、政府機関や公共機関である。
• ごく一部の人々が大量の電子メールを受信する。
• よく使用される添付ファイルの種類は .pdf と .doc で、合わせて、すべての標的型メールの添付ファイルの 67% を占める。
• 一部の標的型攻撃は、極めて巧妙であり、非常に高い説得力を持つ。
• 特定の組織および企業が、他の組織よりも標的として魅力的である。
• 攻撃者にとって「高価値な標的」は、添付ファイルやリンクを含む電子メールの取り扱いに特に注意を払う必要がある。
疑わしい電子メールを受け取ったら、慎重過ぎるくらい慎重に対処し、クリックする前に IT 部門にアドバイスを求めてください。
電子メールの傾向やデータに関する詳細情報については、シマンテックインテリジェンスレポート(PDF 形式)を次の場所に無償で公開しています。
http://www.symanteccloud.com/ja/jp/globalthreats/overview/r_mli_reports
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。