標的型攻撃は「一発」では終わらない

　企業や組織に届いた「怪しいメール」は、標的型攻撃の端緒である可能性がある。セキュリティ担当者は、細心の注意を払って調査する必要がある。

　メールを調べた結果、実際には正規のメールだったと確認できれば調査は終了。該当パソコンのネットワーク接続を復旧させる。

　攻撃メールの可能性がゼロではない場合は、攻撃メールだと想定して作業を進める。次にすべきは、社内での情報共有だ。自社が攻撃対象になっている恐れがあること、不審なメールが送られていること、添付ファイルを安易に開かないことなどを注意喚起する。

　というのも、本当に標的型攻撃だった場合、別の攻撃メールが送られてくる可能性が高いためだ。報告者以外に既に送られている恐れもある。標的とした企業に複数の攻撃メールを送信して、成功率を高めるのが常とう手段だ。

　例えば、2015年5月の日本年金機構への標的型攻撃では、124通の攻撃メールが送られている（表1）。検証報告書^▼によると、最初の攻撃が判明した際、日本年金機構では、職員に対して注意喚起したものの、攻撃メールの具体的な内容は伝えなかった。不審なメールを受け取った際の具体的な対応方法（例えば、「添付ファイルを開かない」）も指示しなかったという。

表1●標的型攻撃メールはたくさん送られてくる

標的型攻撃では、ターゲットとした企業・団体に対して複数の攻撃メールが送られてくる。例えば日本年金機構には124通の攻撃メールが送られた。

[画像のクリックで拡大表示]

　その結果、攻撃メールの添付ファイルを5人の職員が開き、最終的に31台のパソコンがウイルスに感染した。攻撃メールの件名は4種類。そのうち1種類については98件送られているので、情報を共有すれば、被害を抑えられた可能性が高い。

　注意喚起では、できるだけ具体的に知らせるのが重要だ（次ページの図2-7）。同じような内容の攻撃メールが送られてくる可能性は高い。注意喚起に説得力を持たせる効果もある。今後、怪しいメールを受け取った場合の対応方法や連絡先も記載する。

　該当のメールを受け取った従業員が、既に添付ファイルを開いている場合もある。そういった従業員が報告しにくくなるので、「該当の添付ファイルを開いたら厳罰に処す」などと脅しの文句を注意喚起に入れてはいけない。

　加えて、別の文面や添付ファイル名の攻撃メールが送られる可能性があることを強調するのも重要だ。日本年金機構の例でわかるように、メールの内容や添付ファイルを変えてくるケースもあるからだ。件名や本文が異なる攻撃メールを確認した場合は、注意喚起の内容を更新し、再度周知させる。