企業や組織に届いた「怪しいメール」は、標的型攻撃の端緒である可能性がある。セキュリティ担当者は、細心の注意を払って調査する必要がある。

 メールを調べた結果、実際には正規のメールだったと確認できれば調査は終了。該当パソコンのネットワーク接続を復旧させる。

 攻撃メールの可能性がゼロではない場合は、攻撃メールだと想定して作業を進める。次にすべきは、社内での情報共有だ。自社が攻撃対象になっている恐れがあること、不審なメールが送られていること、添付ファイルを安易に開かないことなどを注意喚起する。

 というのも、本当に標的型攻撃だった場合、別の攻撃メールが送られてくる可能性が高いためだ。報告者以外に既に送られている恐れもある。標的とした企業に複数の攻撃メールを送信して、成功率を高めるのが常とう手段だ。

 例えば、2015年5月の日本年金機構への標的型攻撃では、124通の攻撃メールが送られている(表1)。検証報告書によると、最初の攻撃が判明した際、日本年金機構では、職員に対して注意喚起したものの、攻撃メールの具体的な内容は伝えなかった。不審なメールを受け取った際の具体的な対応方法(例えば、「添付ファイルを開かない」)も指示しなかったという。

表1●標的型攻撃メールはたくさん送られてくる
標的型攻撃では、ターゲットとした企業・団体に対して複数の攻撃メールが送られてくる。例えば日本年金機構には124通の攻撃メールが送られた。
[画像のクリックで拡大表示]

 その結果、攻撃メールの添付ファイルを5人の職員が開き、最終的に31台のパソコンがウイルスに感染した。攻撃メールの件名は4種類。そのうち1種類については98件送られているので、情報を共有すれば、被害を抑えられた可能性が高い。

 注意喚起では、できるだけ具体的に知らせるのが重要だ(次ページの図2-7)。同じような内容の攻撃メールが送られてくる可能性は高い。注意喚起に説得力を持たせる効果もある。今後、怪しいメールを受け取った場合の対応方法や連絡先も記載する。

 該当のメールを受け取った従業員が、既に添付ファイルを開いている場合もある。そういった従業員が報告しにくくなるので、「該当の添付ファイルを開いたら厳罰に処す」などと脅しの文句を注意喚起に入れてはいけない。

 加えて、別の文面や添付ファイル名の攻撃メールが送られる可能性があることを強調するのも重要だ。日本年金機構の例でわかるように、メールの内容や添付ファイルを変えてくるケースもあるからだ。件名や本文が異なる攻撃メールを確認した場合は、注意喚起の内容を更新し、再度周知させる。

▼検証報告書
厚生労働大臣が立ち上げた第三者検証委員会「日本年金機構における不正アクセスによる情報流出事案検証委員会」が2015年8月21日に公表した検証報告書(http://www.mhlw.go.jp/kinkyu/dl/houdouhappyou_150821-02.pdf)。
出典:日経NETWORK 2016年3月号 pp.33-34
記事は執筆時の情報に基づいており、現在では異なる場合があります。