標的型メールとは？ わかりやすく解説

デジタル大辞泉

ひょうてきがた‐メール〔ヘウテキがた‐〕【標的型メール】

読み方：ひょうてきがためーる

機密漏洩(ろうえい)などのサイバー攻撃を目的として、特定の企業・組織・個人に送りつけられる電子メール。送信元を実在の人物名や組織名にしたり、業務上関連のあるタイトルや本文で偽装するなどして受信者をだまし、コンピューターウイルスを埋め込んだ添付ファイルを開かせるという手口が知られる。標的型攻撃メール。→標的型攻撃 →APT攻撃

IT用語辞典バイナリ

標的型メール

読み方：ひょうてきがたメール
別名：標的型メール攻撃
【英】targeted mail, targeted e-mail attack

標的型メールとは、サイバー攻撃の一種で、攻撃や機密情報漏洩などを目的として、特定企業や個人と対象に送りつけられる電子メールのことである。

標的型メールの特徴は、メールを送りつける当事者を特定し、差出人として実在の人物を装ったり、メールの件名や添付ファイルの内容を業務内容と関連したものにしたりと、受信者に特に関連したものに偽装されている点である。メールの受信者が偽装に気付かずに添付ファイルを開いてしまうと、その中に組み込まれていた不正プログラムに感染活動する。

標的型メールは、サイバーテロやサイバーインテリジェンス（サイバー諜報活動）などの手口として用いられることが多い。特に近年では標的型メールによる攻撃が増加傾向にあるとされ、IBMセキュリティー・オペレーション・センターの調査によれば2011年の上半期に確認された標的型メールの種類は、直前の2010年下半期に比べて2.5倍に増加しているという。

---

参照リンク
情報窃取を目的として特定の組織に送られる不審なメール「標的型攻撃メール」 - （独立行政法人情報処理推進機構）
IBM 2011年上半期 東京SOCレポート - Japan - （日本IBM）

ウィキペディア

標的型攻撃

(標的型メール から転送)

出典: フリー百科事典『ウィキペディア（Wikipedia）』 (2024/06/14 07:54 UTC 版)

セキュリティ > サイバーセキュリティ > 標的型攻撃

標的型攻撃（ひょうてきがたこうげき、英語: Targeted threat もしくは Targeted attack）は、特定の組織内の情報を狙って行われるサイバー攻撃の一種であり、その組織の構成員宛てにコンピュータウイルスが添付された電子メールを送ることなどによって開始される ^[1] 。 以降も持続的に潜伏して行われる標的型攻撃はAPT攻撃（Advanced Persistent Threat）と呼ばれている。

標的型攻撃の対象とされる組織は、政府／公共サービス機関、製造業が多く、価値の高い知的財産を保有している組織が対象になっている ^[2]。

ちなみに、より広く「情報セキュリティ上の攻撃で、無差別に攻撃が行われるものでなく、特定の組織あるいはグループを標的としたもの」と定義する文献もある ^[3] 。この場合、サービス妨害攻撃も標的型攻撃に含まれることになる。

概要

標的型攻撃は、明確な意思と目的を持った人間（攻撃者）が特定の組織に対して特定の目的（情報の窃取や削除）のために行うサイバー攻撃の一種をいうようになっている。

今日、多くの組織の内部ネットワーク（イントラネット）がWindowsネットワークとして構成され、インターネットとの境界にはファイアウォールが構成されているので、攻撃者がサーバーを渡って内部ネットワークに「侵入（intrusion）」する攻撃は行われにくくなっているが、組織の内部ネットワークで動作したコンピュータウイルスを利用して情報を窃取したり外部から操ったりする攻撃が行われていて、それがコンピュータウイルスやマルウェアの分類の観点から標的型脅威（Targeted threat）ひいては標的型攻撃（Targeted attack）と分類された。

攻撃者が情報を盗み出すまで執拗に攻撃を繰り返す場合は「APT攻撃」と呼ばれているが、「持続的標的型攻撃」と訳されたり ^[4]、 「ターゲット型攻撃(APT)」と訳されており ^[5] 、訳語が統一されているわけではない。

検出・予防

標的型メールは、似たような内容が繰り返し届くスパムメールとは異なり、一様にフィルタリングできるものではない ^[6] 。

また、添付される不正プログラム（バックドア）は、その時点で組織が使用する対策製品に検出されないことを確認して送り込まれるため、従来のウイルス検出の手法のみでは期待できない。 潜入している不正プログラム（バックドア）を発見するためには、その遠隔操作ツールが行うネットワーク内外への通信を捉えることが重要である ^[6] 。

APT攻撃に発展することを阻止・緩和するためには、相応の多層防御を行う必要がある ^[7] 。

攻撃手法の例

標的型メールによる開始

攻撃者が標的型攻撃を開始する際に行われる手法として多いのが、ソーシャルエンジニアリングを悪用して標的の組織の構成員に対してマルウェアなどの不正プログラムを送りつける、いわゆる標的型メールである。

攻撃者は標的型メールのような偽装電子メールを送るために、 Web等で公表されている情報を加工してメール本文や添付ファイルを作成したり、組織内の業務連絡メールを加工してメール本文や添付ファイルを作成したり、 添付ファイルをつけずに不正なWebサイトへのリンクをメール本文に記載したり、日常会話的なメールを数回繰り返してメール受信者の警戒心を和らげたりする ^[8] 。

ウェブサイト閲覧による開始

メールではなく、ウェブブラウザやそのプラグインの脆弱性を悪用し、ウェブサイトを閲覧させることによって不正プログラムを送り込むこともある。 ユーザーが普段アクセスしているウェブサイトを改ざんし、そこから不正プログラムを送り込む「水飲み場型攻撃」も用いられる。

詳細は「水飲み場型攻撃」を参照

バックドアの設置

組織内部のサーバにアクセスできるようにするため、組織の構成員の端末に不正プログラムを感染させることによってバックドアを設置し、遠隔操作する。

例えば、医療費通知を偽装した不正プログラムを添付して送信する ^{[9] [10]} 。不正プログラムをクリック（実行）してしまうと、そのコンピュータは不正プログラムの支配下になり、外部から遠隔操作する拠点となってしまう。

APT攻撃に発展

詳細は「APT攻撃」を参照

内部ネットワーク（イントラネット）内にバックドアを設置した攻撃者は、APT攻撃に発展させる可能性がある。

追加機能を備える不正プログラムをロードしてイントラネットの構成を把握し、目標とする情報の在りかを探し、さらにカスタマイズされた不正プログラムをロードして、最終目的（情報窃取、削除等）を遂行する。

脚注

[脚注の使い方]

1. ^ 勝村 幸博 (2015年6月10日). “標的型攻撃とは”. ITpro. 2015年6月11日閲覧。
2. ^ “シマンテックが警告する「標的型攻撃」の現在”. @IT. (2011年11月30日). https://www.itmedia.co.jp/pcuser/articles/1111/30/news041.html 2015年6月13日閲覧。 
3. ^ “標的型攻撃についての調査” (PDF). JPCERT/CC (2008年9月17日). 2015年6月11日閲覧。
4. ^ “ターゲット型攻撃（APT）への対策”. トレンドマイクロ. 2015年6月11日閲覧。
5. ^ “「持続的標的型攻撃」とは？”. シスコシステムズ. 2015年6月11日閲覧。
6. ^ ^{a b} “「標的型メールは防げない」――年金機構の情報流出から学ぶべきこと、トレンドマイクロが公開”. ITmedia. (2015年6月11日). https://www.itmedia.co.jp/news/articles/1506/11/news137.html 2015年6月13日閲覧。 
7. ^ “【注意喚起】ウイルス感染を想定したセキュリティ対策と運用管理を”. IPA (2015年6月2日). 2015年6月16日閲覧。
8. ^ “IPAテクニカルウォッチ　『標的型攻撃メールの分析』”. IPA (2011年10月3日). 2015年6月16日閲覧。
9. ^ “CloudyOmega 攻撃: 一太郎のゼロデイ脆弱性を悪用して日本を継続的に狙うサイバースパイ攻撃”. Symantec Official Blog (2014年11月12日). 2015年6月17日閲覧。
10. ^ 岡本 勝之 (2014年11月7日). “医療費通知に偽装した不審メールが法人利用者に遠隔操作ツールを拡散”. Trend Labs. 2015年6月17日閲覧。

関連項目

• PlayStation Network個人情報流出事件
• 年金管理システムサイバー攻撃問題

外部リンク

• 政府広報オンライン あなたを狙う「標的型攻撃メール」「フィッシングメール」被害防止には一人一人の情報セキュリティ対策が重要です
• 内閣サイバーセキュリティセンター
• 警視庁 情報セキュリティ広場
• 警察庁 サイバー犯罪対策
• 警察庁＠ポリス
• 経済産業省 情報セキュリティ政策

ウィキペディア小見出し辞書

標的型メール

出典: フリー百科事典『ウィキペディア（Wikipedia）』 (2022/05/02 00:27 UTC 版)

「サイバーセキュリティ」の記事における「標的型メール」の解説

標的型メールの文面は、準備ステージで窃取した本物のメールを流用されている場合もあり、受信者が標的型メールである事を見抜くのは難しい。標的型メールで感染するペイロードは既存のマルウェアの亜種を使ったり、ゼロデイの脆弱性を使ったりする事で検知を逃れる工夫がなされている事もある。また、アイコンや拡張子を偽装する事でexeファイルでないように見せかけたファイルをユーザにクリックさせたり、正規のアプリケーションに見せかけたトロイの木馬をユーザ自身にインストールさせたりする事で、脆弱性を利用しないでマルウェアに感染させる場合もある。 添付した実行ファイルの拡張子の偽装方法としては下記のものがある： 手法概要二重拡張子 「hoge.doc.exe」のように二重に拡張子をつける。拡張子を表示しない設定になっていると、「hoge.doc」と表示されるのでdocファイルに偽装できる。 RLO（Right-to-Left Override）による偽装 「hogecod.exe」のようなファイル名の下線部にRLOを用いると、「hogeexe.doc」と表示されるので、docファイルに偽装できる。 長い空白の利用 「hoge.doc(長い空白).exe」のようなファイル名にするとファイル名の後半の表示が省略されて「hoge.doc」と表示されるのでdocファイルに偽装できる。 標的型メールの一形態として、「一般の問い合わせ等を装った無害な「偵察」メールの後、ウイルス付きのメールが送る」ものをやり取り型という。また、不特定多数を対象にした攻撃用メールを用いた攻撃をばらまき型のメールという。ばらまき型メールを標的型メールに含めるか否かは論者によって異なり、IPAのJ-CSIPなど標的型メールに含めない論者がいる一方で、ばらまき型メールであっても特定企業の全社員や特定銀行の全ユーザなどを対象にしている事が多いことから標的型メールに含める論者もいる。

※この「標的型メール」の解説は、「サイバーセキュリティ」の解説の一部です。
「標的型メール」を含む「サイバーセキュリティ」の記事については、「サイバーセキュリティ」の概要を参照ください。