手口が巧妙になってきている「標的型メール攻撃」の実態

takaです。最近、メールでの不正アクセスが非常に巧妙になってきている気がします。

昔は、不特定多数をターゲットにして、いかにも怪しい英文や中国語のタイトル。おおよそ意味不明なメールの内容。添付ファイルも「.exe」などの拡張子のファイルや怪しい名前の添付ファイルでした。

しかし、今では「人材募集の件」「お世話になっております」「お見積もりの件」「ご請求の件」「お問い合わせ」などの日常の業務に関連したタイトルで、メールの文書も一般の業務メールと大きな違いが発見しにくい内容です。

そして、添付ファイルも圧縮ファイルやエクセル、PDFファイルだったりします。

これでは、セキュリティのリテラシーをある程度持つ人でも、うっかり添付ファイルを開いてしまう可能性がありますね。

JTBの子会社から793万人分の個人情報が漏えいのニュース

最近、JTBで大量の個人情報が漏えいしたとの報道がありました。
最大で約793万人分の氏名や住所、メールアドレス、パスポート番号などの顧客の個人情報が流出した可能性があるとの事です。

子会社の社員が3月、標的型メールに添付されたファイルを開いたため、パソコンやサーバーがウイルスに感染し、顧客情報約793万件が流出したという内容です。

一般の人がこのニュースを耳にしても、単にJTB子会社の社員のミスが原因だろうとか?社内の情報教育や管理体制のレベルが低いのだろう?とか思うだけかもしれません。

でも、詳しく内容を確認してみると、どの企業でも笑いごとですまされない危険な状況にある事に気が付きます。

JTBの情報漏えいに見る「標的型メール攻撃」の手口の巧妙さ

問題となったウイルスが仕込まれていたメールは、実在する航空会社との業務上のやり取りを装って送られていたようです。

しかも「差出人名は偽装」され「メール本文も巧妙に書かれていて自然な内容であり」簡単に偽装を見破ることが難しいメールのようです。

—– <偽装メールの内容> ————————————————————–

偽装メールの内容は、以下のようなものだったそうです。

件名:「航空券控え 添付のご連絡」

送信元:実在する取引先の会社名、部署名、担当者名は偽装

本文:挨拶の定型文 「お世話になっております」「eチケットを送付しますのでご確認ください」
  「お客様の旅行内容を確認したい」といった内容であり不自然な文面ではないようです。

添付ファイル:圧縮ファイル
       「E-TKT控え」という名称のPDFファイル 
        (EXE形式の実行ファイルをPDFアイコンで偽装 )
 
マルウェアの種類:  ELIRKS、 Korplug の2種類
         ※ 発見時は、ウィルス対策ソフトでは発見できない新種

感染したPC: PC 6台  サーバー 2台

—————————————————————————————————————–

不特定多数から特定のターゲットを狙う手口

あきらかに、何者かがターゲットを認識した上で、旅行業界の業務内容を周到に調べたして、巧妙な偽装メールを送り付けたと考えられます。

この「標的型メール」は香港を経由しており、全日空から送られたように装っていたいて、2015年におきた日本年金機構の大量の情報漏えいの時と同様の手口のようです。

2015年の日本年金機構の大量の情報漏えい事件を調べていくと、日本年金機構と同様の手口で数千の企業や公的機関や病院などが同時期に被害にあっているようです。
犯人は、個人レベルではなく組織や国家?(中国系)と推測されているようです。cat_7.gif

このような不正アクセス被害の事実を外部から指摘された企業の割合は、7割ぐらいで、つまり、ほとんどの企業が、不正アクセスの検知が自社でできていないのが実態のようです。

今後は、不特定多数にばらまかれるウィルスメールから
特定のターゲットを意図的に狙う手法に方向性が変わってきていますね。
狙われている事を知らないでいると、とても危険ですね。まるで、オレオレ詐欺が特定の高齢者を狙うのと同様ですね。sayonara.gif

トラックバックURL