ご存じですか？標的型メール

「標的型メール」（または「標的型攻撃メール」）といえば、IT関連のニュースなどでは頻繁に登場する言葉なのですが、ご覧になったことはあるでしょうか？

情報セキュリティ対策にかかわっている方なら、目にしたことがないということはないと思いますが、IT関連の業種ではない、また、日常生活の中で、情報セキュリティに関するニュースなどを参照するような機会は滅多にないといった方だと、「標的型メール」という言葉は聞いたことがないとしても、不思議ではありません。

実際、IT関連とは異なる業種の方とお話しをすると、ウィルスは知っていても、「標的型メール」については知らないという方は結構いらっしゃいます。

もし、あなたが「標的型メール」について、今回初めて知ったとしても、何らおかしなことではありません。しかし、標的型メールは、およそ仕事でインターネットを利用している方なら、必ず知っておくべき言葉であり、知らないということ自体が、仕事をする上でリスクとなり得るものです。

この機会に是非、標的型メールについて知っていただき、周囲にもし、知らない方がいらっしゃるようなら、是非、標的型メールがもたらすリスクについて、共有していただければ幸いです。

標的型メールは、特定の相手をターゲットに送られる、ウィルス付きのメールです

プライベートでメールを受け取っていれば、怪しいメールの一つや二つは受け取ったことがあると思います。

添付ファイル付きのメールの中には、ウィルスが混入しているケースもあり、ウィルス対策ソフトが検知して自動駆除された。という経験もお持ちかもしれません。

標的型メールもこれと同じように、ウィルス（正しくはマルウェアと呼んでいます）が添付されたメールであるのですが、不特定多数に送られるウィルス付きのメールと大きく違う点は、送り先となる相手（ターゲット）を研究し、ターゲットがウィルスプログラムである添付ファイルを開いてしまうよう、巧妙な内容のメールを送ってくる点です。

不特定多数に向けたウィルスメールは、確率論に基づいて送られるもので、どこかの誰かが添付ファイルを開いてくれればそれで良し。とするものですが、標的型メールは、ターゲットとなる企業や組織をピンポイントで狙い、ターゲットがどのような内容のメールであれば騙されやすいか？を研究し尽くし、確実に添付ファイルを開かせようと、虎視眈々と狙いを定めて、メールを送ってくるものです。

と言うと、ウチは大手企業と違って、ピンポイントで狙われたりするような会社じゃないから関係ないや。と思われるかもしれませんが、さにあらず。

最近はウィルス対策製品の機能も向上し、確率論に基づくウィルスメールは通用しなくなってきている。ということで、不特定多数を相手にしつつも、ターゲットを騙しやすい内容のメールを研究して送ってくる、ばらまき型と標的型の要素を足し合わせたようなメールを送ってくるような事例も増えてきました。

つまり、

ウチは大手企業と違って狙われたりしなから、
送られてくるのはせいぜい、怪しい日本語のスパムメールくらい。
そんなメールなんて開かなければいいだけだから全く問題ない。

なんてタカをくくっていると、顧客情報が流出したり、パソコンを乗っ取られて業務に影響が出たりと、突然、痛い目に遭うかもしれません。

実際、そうした企業が毎日のように発生していることは、情報セキュリティ関連のニュースを扱うWebサイトを見ればすぐにわかります。

何故、ターゲットを定めてメールを送ってくるのか？

「ターゲットとなる企業や組織」と書くと、ミッションインポッシブルなどのスパイ映画を思い浮かべて、狙われるのは政府組織やハイテク企業などを想像されるかもしれませんが、それは思いこみです。

空き巣はどこでも手当たり次第に留守と思われる家に侵入しようとするでしょうか？

というと、そうではないですよね。何の下調べもせず、思いつきでどこぞの家に侵入しようとすれば、防犯カメラやら警備システムやらにひっかかってあえなくご用。となってしまいます。だから、コソ泥と言われる人達だって、入念に下調べを行い、安全と思われる所を狙って侵入を試みるというやり方をしています。

ネット犯罪もリアルの世界と同じように、手当たり次第にアタックしようとしたのでは、セキュリティシステムに検知されたり、警察に追跡されたりしてあえなくご用となってしまいます。頭の良い犯罪者は、あえて捕まるようなリスクは冒したりしません。

もちろん、政府組織やハイテク企業を狙うケースもあるでしょうが、単純にお金目当ての犯罪者はそんなところを狙わなくとも、セキュリティ知識に疎く、たいした対策もしてなさそうで、それでいてお金を持っていそうなところを狙えば、比較的ローリスクで目的を達成することができます。

盗まれるものなど何も無いからウチなんて狙われないと考えることは間違い

じゃあ、ウチは儲かっていないから大丈夫だな。などと思っていると、これも間違いで、犯罪者は身元を特定されることを極端に嫌うので、身元を特定されないためには、他人のパソコンやネットワークを使ってコトに及ぶのが一番です。

他人のパソコンを何台も乗っ取って、バケツリレー方式でターゲットにアタックすれば、身元を辿ることは非常に困難になります。なぜなら、調査にかかる手間と時間が膨大なものとなるからです。

被害件数が多くなれば捜査に関わる人出も足りなくなるので、結果として、少額の被害の捜査にそこまでの時間と手間をかけるのは非現実的という話になります。犯罪者側からすれば、セキュリティ知識に疎く、たいした対策もしてなさそうな組織のパソコンを沢山乗っ取り、それらのパソコンを悪用して、お金を持っている組織を狙って少額の犯罪を沢山行えば、警察に捕まるリスクなしに稼げるというわけです。

実際、そういった犯罪が既に行われており、企業が広告代理店に支払っているネット広告費の何割かは、こうした犯罪者たちによってかすめ取られているという現実があります。

ウチは小さい会社だし、盗まれるような情報なんて何もないから、標的型メールなんて来ないでしょ。と考えることは間違いです。犯罪者にとっては、ネットに繋がっているパソコン、しかもセキュリティ対策がユルユルで、悪用してもバレない環境があれば、それだけで魅力的なターゲットになり得るのです。

日本年金機構の情報漏洩事件では、海運会社のサーバーが悪用されていましたが、これなどは典型的な例でしょう。あなたが今使っているパソコンも、もしかしたら犯罪者達のお金稼ぎの道具として利用される事になるかもしれないのです。

悪意を持った輩にとっては、不特定多数を狙うより、ピンポイントで狙う方がやりやすい

不特定多数に向けてウィルスメールを送る方法は、数打ちゃ当たる方式なので、作業を自動化すれば、後はほったらかしでよいのですが、ウィルス対策ソフトを作成しているベンダーにも届くことになってしまうため、ウィルス対策ソフトによってすぐに対処されてしまいやすいという欠点があります。

大量にメールを送るのもそれなりに時間がかかるため、不特定多数にメールを送っているうちにウィルス対策ソフトによって検知されるようになってしまい、折角送っても無駄骨になってしまうというわけです。

その点、特定の相手にしかメールを送信しない「標的型メール」は、ウィルス対策ソフトを作成しているベンダーにその存在を知られることがないため、ウィルス対策ソフトに検知されないウィルスを送りつけることができるという利点があります。

ウィルス対策ソフトでは検知できないのですから、ウィルス付きの添付ファイルが自動駆除されてしまうことがありません。このため、後は、メールを送った先の相手をまんまと騙して添付ファイルを開かせてしまえば、パソコンを乗っ取って思い通りのことをすることができるということになります。

特に、メールを送った先の相手が情報セキュリティに疎く、ウィルスに感染したことに気がつかなければ、パソコンを乗っ取ったことがバレてしまうこともありません。

あなたがこのページを読んでいる間にも、標的型メールにまんまと騙され、パソコンが乗っ取られていることに長期間気がつかず、ウィルス付きメールの送信元にされてしまったり、様々な情報を抜き取られてしまったりしている会社が多数存在しているかもしれないのです。

何故、標的型メールのようなものが存在するのでしょうか？

標的型メールを送る目的は様々です。政治的な目論見のために送る場合もあれば、お金目当てであったり、自分の技術力を試してみたいだけだったり、いたずら目的だったりと、その目的は種々雑多で、送られてくるメールのレベルも、すぐにそれとわかってしまうような幼稚なものから、すぐにはそれと気がつかないような高度なものまで、様々なものがあります。

実に多種多様ではあるのですが、レベルの高いものになると、それを送ってくる側は高度に組織化され、チームワークを組んでターゲットを狙ってきます。その組織形態と人員は、IT技術系の会社のそれと何ら変わりありません。振り込め詐欺の集団がそうであるように、標的型メールを送る輩も、高度な技術者集団であるということです。

組織として標的型攻撃に従事しているのですから、当然、お金を稼がなければ組織として存続していくことができません。

まっとうな会社が売り上げを上げなければならないように、そうした集団もお金を稼ぐことが大命題になります。そうなれば当然、稼ぎやすい方法を採用することになりますから、狙いやすい相手をピンポイントで狙ったり、多額の報奨金を提供してくれるスポンサーの要望に合わせてターゲットを狙うということになります。

普通の会社が、見込み客にアタックをかけるように、標的型メールを送る集団も、見込み客に相当するターゲットを狙ってアタックをかけてくるというわけで、やっていることは、それが犯罪であることを除けば、まっとうな会社と何ら変わりないのです。

あなたは博士号を持っているような優秀な人物を相手に勝てますか？

標的型メールを送ってくるような組織には、博士号を持っているような優秀な人材が何人もいるといわれています。頭脳ひとつで、会社勤めするよりもずっと多くの報酬を得られるのなら、犯罪に手を貸すことを厭わない人たちがいてもおかしくはありません。

実際、日本においても、インターネット上で詐欺まがいのことをしている人たちは数多く存在します。金さえ稼げれば、何をやっても気にしないという人たちがいることは悲しいことですが、それが現実です。

標的型メールを送ってくる輩は、私たちよりもずっと優秀で、狡猾な人物である可能性は十分あります。そんな輩を相手にして、何らの知識を持たない人が勝てるでしょうか？

彼らが高度な知識で武装してくるのであれば、私たちも彼らに対抗するための知識を身に着ける必要があります。

標的型メールに関して学ぶことをせずに、セキュリティ対策ソフトをインストールしておけば大丈夫でしょ。とタカをくくっているのは、柵さえあれば、オオカミが入ってくることはないでしょ。とタカをくくっているヤギのようなものです。そして、そうした状況にある会社が、実際に標的型メールによる被害を被っているのです。

あなたの会社は、そして、あなたの取引先はどうでしょうか？

「標的型メール」によって狙われる対象は大手企業ばかりではありません

以前、ある社長さんと話をする機会があったのですが、コンピュータウィルスについては知っているし、会社のパソコンにはセキュリティ対策ソフトも入れているけれど、「標的型メール」という言葉は初めて聞いた。と言われました。

「標的型メール」という言葉に対する馴染みが薄いということもあるせいか、「標的型メール」という言葉を聞いても、ウチには関係ないとか、周りで対策しているという話も聞かないし、ウチがやる必要もないか。と考える方が多いのも、また現実です。

自社には重要といえるような情報が無いとか、ウチなんて狙ったって意味ないでしょ。というのが、主な理由ですが、犯罪者側からすると、このような認識を持っている企業ほど、つけ込みやすい相手になります。

まず、「標的型メール」の対象に企業規模の大小は関係ありません。実際、当方にも「標的型メール」の類いが送られてくることがあります。「標的型メール」の狙いは、その多くは「お金」です。「お金」を得るために送ってくるのですから、狙う側からすると、回りくどかったり、面倒くさい事をするより、手っ取り早くお金に換えることができるのが一番です。

となると、一番狙いやすいのは、

セキュリティに関する知識がほとんどなく、
たいしたセキュリティ対策をしていなくて、
「標的型メール」なんて知らない。

つまり、ウチには関係ないとか、今は忙しいから対策なんて後回しでいいや。と思っている会社ほど、狙う側からするとカモにしやすい。ということです。

あなたの会社も、既にカモにされているかもしれません

セキュリティ対策をそこそこ行っていれば、今や「標的型メール」について聞かないわけはないので、標的型メールについて知らないということは、たいしたセキュリティ対策はしていないと告白しているようなものです。狙う側も人間なので、楽で安全な方法で目的を達成できるのが一番です。そうなると、騙しやすい相手を騙すのは、鉄則中の鉄則ということになるわけです。

では、どうやってそのような会社を見分けるか？それは実に簡単です。その会社のホームページや、問い合わせフォームなどを見る、また、その会社の事務所をのぞいてみる。これで大体わかります。その会社のセキュリティレベルの程度は、様々なところに滲み出るので、多くの会社や自治体を狙っているプロからすれば、騙しやすい相手かどうかは、すぐにわかってしまいます。

キレイにデザインされたホームページだから、とか、多額の費用をかけてシステムを構築しているから、とかいったことは関係ありません。

セキュリティ的に抑えるべきところをきちんと抑えているかどうか？

それはほんのちょっとしたところですが、セキュリティレベルが高くない会社は、その、ほんのちょっとしたところに気づかないので、見る人が見れば、すぐにその程度が知られてしまうというわけです。

実際、標的型メールなどによって、社内のパソコンがウィルスなどに感染させられているかどうかを調べてくれるサービスが有りますが、そうしたサービスを受けた会社の実に６割から感染の事実が見つかっているという報告もあります。あなたの会社のパソコンも、既に気づかないうちに被害に遭っているかもしれません。

間違った認識を持っていると、「まぬけ税」を払わされるかもしれません

ウィルス対策ソフトをパソコンに入れておけば安心。これも間違った認識の一つです。

ウィルス対策ソフトをパソコンに入れてさえおけば被害に遭わないのなら、有名な企業が被害に遭ったという話題が未だにマスコミに取り上げられることなどあり得ないはずです。中小企業よりもずっと予算がある大手企業がセキュリティ対策を全くしていないわけがありません。

それでも被害に遭うのは、犯罪者側がウィルス対策ソフトの裏をかいた方法を使ってくるということと、従業員がウィルスを実行してしまう。ということがあるからです。

　
こうした事件が表面化しないのは、被害に遭ったことを公表してしまえば取引先などにも知られることとなってしまい、信用が失墜して、今後の業務に多大な影響が及んでしまうの恐れるということと、数十万～数百万円の損失で済むなら、払ってコトを済ませたい。と考える方が多いためです。

犯罪者と真っ向対峙しても、会社としての信用を失ってしまえば将来はありません。そんなリスクを冒すくらいなら、お金を払って許してもらおうと考えるのが経営者の心理でしょう。犯罪者もそこをわかっているので、べらぼうな金額は要求したりしません。

弱みがあるので警察に通報されることもなく、また、知識も無いので居所を追跡されることもない。犯罪者にとってはまさに思うツボというわけです。

標的型メールの被害を補填してくれる保険はない

ウィルス対策ソフトの裏をかいてくるような巧妙な標的型メールに対して、為す術がないのなら、保険をかけておいて、万一の際には保険でなんとかしてもらえれば。とは誰もが思うことだと思います。

こうした状況に対して、保険会社側も保険商品を用意していますが、そうした保険でまかなえるのは、被害状況を調査するなどの費用だけで、犯罪者に払った身代金などは補填してくれません。

また、「保険金をお支払いできない条件」として、「保険契約者または被保険者の故意」という条件があります。標的型メールに騙され、従業員が自らの意志でウィルスを実行してしまった場合、この条件に抵触して保険を適用してもらえないこともありえます。

会社側が従業員に「標的型メール」に関する知識を与えず、それがために被害が発生したとすれば、それは起こるべくして起こったことと解釈されても仕方ないでしょう。

保険会社側も商売なので、何の対策もしていない会社に、おいそれと保険金を支払ってくれるはずがありません。

ちなみに、標的型メールにやられてしまったことがわかり、情報が漏洩しているかどうか、また、他にどんな被害が発生しているか急いで調べなければならないという事態に陥ってしまったら、一体幾らの費用がかかるかご存じでしょうか？

もちろん状況にも拠るでしょうが、こうした被害の状況調査を迅速に行うことができる専門家は多くありません。しかも、状況を放置しておけば被害が拡大する恐れがあるため、調査は一刻一秒を争います。ただでさえ数少ない専門家に、緊急の仕事を依頼するとなれば、値段を交渉する余地はほとんどありません。少なくとも数百万円単位の費用がかかってしまうことは覚悟しなければならないでしょう。

とにもかくにも、従業員全員が最低限の知識を身につけておくことは必須です

セキュリティに関する被害から会社を守るには、システムでしっかり防御するようにすればいい。標的型メールを人の目で見分けることは難しいのだから、システムで対処するべきである。この考えは間違ってはいないのですが、捉え方を間違えてしまうと、誤った認識となってしまいます。

システム担当者がウィルス対策ソフトなどをしっかり吟味し、有効な対策を打っておいてくれれば大丈夫なはず。とか、他の従業員が気にしなくても大丈夫なようにするのがシステム担当者の仕事だろ。といった主旨のことを言われる方がいますが、「システムでどうにかできるでしょ？」という認識がそもそも間違っています。

システムだけではどうにかできないから、何社もの大手企業が被害に遭っているのです。もちろん、システムでどうにかできるよう、何社ものベンダーが頑張ってはいますが、犯罪者側とのイタチごっこの繰り返しで、システムだけでどうにかできるような状況にはなっていません。

システムでできることは、人をアシストすることです。例えば、外部から送られてくるメールのタイトルの先頭に、「【外部から】」などと表示するようにすれば、社内からしか送られて来ないようなメールが送られてきたら、不審なメールだとすぐに気づきますが、不審なメールだと気づくのは、標的型メールのようなものが存在することを知っているからこそです。

会社に被害をもたらすようなメールの存在を知らなければ、【外部から】などと表示されていても、それが何を意味しているか？ということに気づくことがありません。システムをどんなに優秀なものにしても、それを使う側の人間に全く知識が無ければ、まさに猫に小判になってしまいます。

システムだけで被害の発生を防ぐことは理想であって、現実的な対策としては、システムと人の両面で手を打たなければ、被害を防ぐことはできないということを認識する必要があります。

全てはシステム担当者任せで、従業員に対しては何ら手を打っていないという状況の中、従業員のパソコン操作がきっかけで被害が発生したとなれば、それは起こるべくして起こった被害と解釈されても仕方ないかもしれません。

あらゆることを考えれば、従業員全員に対して最低限の知識を身につけてもらうよう、会社としてアクションすることは必須です。標的型メール訓練を実施するのも、そのアクションの一つ。

御社がまだ、標的型メール訓練を実施したことがない。というのであれば、この機会に標的型メール訓練について知って頂き、標的型メール訓練を実際に実施してみて下さい。実際にやってみることでわかること、気づくことが大いにあるはずです。

⇒標的型メール訓練について知る