「○○さん 明日事務室にいますか?用事があります。お返事お待ちしてます」。あなたの仕事用アドレスに、意味のよく分からないメールが届いたことはないだろうか。もしかすると、それは標的型攻撃の「偵察メール」かもしれない。

 あるいは、「御社の製品について質問があります」といったメールをきっかけに、顧客と思われるユーザーとメールのやり取りをしたことはないだろうか。もしかすると、メールのやり取りをしているのは、顧客ではなく、標的型攻撃を仕掛けようとしている攻撃者かもしれない。

 標的型攻撃は巧妙化の一途をたどっている。数年前の認識のままで「ウイルスメール攻撃の一種」程度に捉えていると、被害に遭うことは必至だ。

脅威の「やり取り型」

 これまでITproで報じているように、国内外の企業を狙った標的型攻撃が相次いでいる。標的型攻撃の基本的な手口は、ターゲットとした企業のネットワークにメールを使ってウイルス(マルウエア)を送り込み、社内PCに感染させて乗っ取ること。

 このため標的型攻撃というと、“少しだけ巧妙な”ウイルスメール攻撃を想像する人は少なくないだろう。「従来のウイルスメール攻撃と同じように、ウイルスをメールに添付して送ってくる。異なるのは、メールの送信者名や本文などを“工夫”して、上司や取引先などから送られたように見せかけることだけ。その“工夫”を見抜いて添付ファイルを開かなければ被害に遭うことはない」──。確かに、2~3年前までなら、この認識は正しかった。

 ところが現在では、標的型攻撃はそれ以上に巧妙になっている。その最たるものが、「やり取り型」の標的型攻撃である。「やり取り型」とは、無害のメールのやり取りをした後に、ウイルスを添付した攻撃メールを送信する手口のこと(関連記事:本物のメールがサンプルに)。やり取り型は2012年に確認され、以降発見が相次いでいるという(関連記事:「メールをやり取りして信用させる」――巧妙化する標的型攻撃)。

 独立行政法人の情報処理推進機構(IPA)は2014年5月末、やり取り型の最新の手口をレポートにまとめ公開した(IPAが公開したレポートのWebページ)。同レポートに基づき、その最新の手口を見ていこう。