ニュース

標的型メールの脅威[セキュリティの欠陥ではなく人間の心理を利用]

記事のポイント

  • 変化する攻撃方法
  • 用意周到な手口
  • ソーシャルエンジニアリングの対策

盗み取れる情報や引き出せる金額が多いことから、公的機関や企業を狙った「標的型メール」が増え続けている。攻撃者は、受信者がウイルスを仕込んだ添付ファイルを開くように、メールの題名・内容をより興味をひくものに変化させつつあると同時に、攻撃を行うまでに時間を築くものも増えつつある。攻撃の手法としても、セキュリティー上の欠陥を狙うのではなく、人間の心理を利用したものへ移行しつつあり、人間そのものがリスクとなり始めている。

 

標的を絞ったウイルス

標的型メールは、添付ファイルを開いたり、記載されたURLをクリックしたりすることで端末がウイルスに感染し、組織内のネットワークに侵入するものとなっている。そのため、攻撃者は「受信者に対してどうやって閲覧させるか」に注力しており、今までのような「あなただけ特別」「当選しました」というようないかにも詐欺といった題名・内容のものではなく、凝った内容のものに変化しつつある。なかには事前にやり取りを複数回重ねて相手を油断させてから、標的型メールを送るといった周到なケースもある。

実際に2018年に起きた国内大手取引所コインチェックでの流失事件では、攻撃者が技術者と半年間もやり取りを重ね信頼させたうえで、ウイルスの仕込んだメールを送信するという手口を使っている。

 

標的型メールの成長

警察庁によると、2018年に確認された標的型メール攻撃は6740件で、過去最多を更新。急速に、標的型メール攻撃は数を増やしつつある。

さらに、最近ではメールの文章も、自動翻訳のような不自然なものではなく、典型的な詐欺メールには見えないため、不信感を抱きにくくなっている。そして前述の通り、複数回のやり取りや時間をかけて信頼させる・人間の心理を突いて行う攻撃であるために、攻撃対象者はウイルスに感染して初めてそれが攻撃であったことに気づくものとなっている。

セキュリティーの技術的な弱点を突くのではなく、人間の心理的な隙やミスにつけ込んで情報を盗み出す手法は「ソーシャルエンジニアリング」と呼ばれ、近年様々な形でサイバー攻撃に使われ始めている。

 

ソーシャルエンジニアリング

技術的欠陥・脆弱性ではなく、人間の心理を利用して行われるソーシャルエンジニアリング攻撃は、コインチェックでの事件が初とみられている。だが、世界的には被害が相次いでおり、今後国内でもこの手法は増えていくとみられている。

知人として近づいたり、取引相手として近づいたり、その手法はさまざまで、すべてを網羅し対策を取るのは非常に難しい。さらに、セキュリティー上の欠陥ではなく、人間の心理を利用したものであるために、対策が取りにくい。

取れる対策としてはメールアドレスで検索をかけたり、電話で相手が実在するかの確認を取ったり、と関係を築く前にその相手について用心深く調べることになっている。ただ、メールアドレスも使い分けが可能で、電話での確認も相手がさらに詐称してくる可能性もあり、実際に合うことができてもそれが信用できるかどうかの判断基準となるかは難しいものとなっている。

 

まとめ

コインチェック事件のように「半年間」もやり取りを重ねれば、たいていの人は迷わずそのメールを開くだろう。電話や動画・写真・実際に会うといった行為も顔を出して詐欺行為を行っている人間がいることから、何の信用情報にもなりえない。もはや人間そのものがリスクになり始めている。

 

関連記事

 


参考:警察庁[平成30年におけるサイバー空間を巡る脅威の情勢等について]

関連記事

  1. 脱税対策にブロックチェーン技術とAI

  2. 1週間(7/1~7/7)のニュースまとめ

  3. ビットコインの価格と銃の販売数は比例する?

  4. 仮想通貨の割安・割高ランキング

  5. 暗号通貨への税金問題[税金に関わるペナルティ]

  6. 昨日(12/18)のニュースまとめ

PAGE TOP

ニュース

アメリカ、CBDCに動き[アメリカドル1強の地位]

ニュース

新経済連盟、改正法に関する意見提出[STO・デリバティブ]

ニュース

バハマ、2020年後半にデジタル通貨導入へ[CBDC]

ニュース

昨日(2/14)のニュースまとめ

ニュース

マルチ商法とねずみ講、特定商取引法[コインの森解説]

ニュース

今後分離課税に改められる可能性はある?[コインの森何でも相談室]

ニュース

詐欺被害に合いやすい方に見られる特徴[コインの森解説]

ニュース

警察庁、[令和元年の犯罪情勢【暫定値】]公表【「対面型犯罪」から「非対面型犯罪」…