ニュース

標的型メールの脅威[セキュリティの欠陥ではなく人間の心理を利用]

記事のポイント

  • 変化する攻撃方法
  • 用意周到な手口
  • ソーシャルエンジニアリングの対策

盗み取れる情報や引き出せる金額が多いことから、公的機関や企業を狙った「標的型メール」が増え続けている。攻撃者は、受信者がウイルスを仕込んだ添付ファイルを開くように、メールの題名・内容をより興味をひくものに変化させつつあると同時に、攻撃を行うまでに時間を築くものも増えつつある。攻撃の手法としても、セキュリティー上の欠陥を狙うのではなく、人間の心理を利用したものへ移行しつつあり、人間そのものがリスクとなり始めている。

 

標的を絞ったウイルス

標的型メールは、添付ファイルを開いたり、記載されたURLをクリックしたりすることで端末がウイルスに感染し、組織内のネットワークに侵入するものとなっている。そのため、攻撃者は「受信者に対してどうやって閲覧させるか」に注力しており、今までのような「あなただけ特別」「当選しました」というようないかにも詐欺といった題名・内容のものではなく、凝った内容のものに変化しつつある。なかには事前にやり取りを複数回重ねて相手を油断させてから、標的型メールを送るといった周到なケースもある。

実際に2018年に起きた国内大手取引所コインチェックでの流失事件では、攻撃者が技術者と半年間もやり取りを重ね信頼させたうえで、ウイルスの仕込んだメールを送信するという手口を使っている。

 

標的型メールの成長

警察庁によると、2018年に確認された標的型メール攻撃は6740件で、過去最多を更新。急速に、標的型メール攻撃は数を増やしつつある。

さらに、最近ではメールの文章も、自動翻訳のような不自然なものではなく、典型的な詐欺メールには見えないため、不信感を抱きにくくなっている。そして前述の通り、複数回のやり取りや時間をかけて信頼させる・人間の心理を突いて行う攻撃であるために、攻撃対象者はウイルスに感染して初めてそれが攻撃であったことに気づくものとなっている。

セキュリティーの技術的な弱点を突くのではなく、人間の心理的な隙やミスにつけ込んで情報を盗み出す手法は「ソーシャルエンジニアリング」と呼ばれ、近年様々な形でサイバー攻撃に使われ始めている。

 

ソーシャルエンジニアリング

技術的欠陥・脆弱性ではなく、人間の心理を利用して行われるソーシャルエンジニアリング攻撃は、コインチェックでの事件が初とみられている。だが、世界的には被害が相次いでおり、今後国内でもこの手法は増えていくとみられている。

知人として近づいたり、取引相手として近づいたり、その手法はさまざまで、すべてを網羅し対策を取るのは非常に難しい。さらに、セキュリティー上の欠陥ではなく、人間の心理を利用したものであるために、対策が取りにくい。

取れる対策としてはメールアドレスで検索をかけたり、電話で相手が実在するかの確認を取ったり、と関係を築く前にその相手について用心深く調べることになっている。ただ、メールアドレスも使い分けが可能で、電話での確認も相手がさらに詐称してくる可能性もあり、実際に合うことができてもそれが信用できるかどうかの判断基準となるかは難しいものとなっている。

 

まとめ

コインチェック事件のように「半年間」もやり取りを重ねれば、たいていの人は迷わずそのメールを開くだろう。電話や動画・写真・実際に会うといった行為も顔を出して詐欺行為を行っている人間がいることから、何の信用情報にもなりえない。もはや人間そのものがリスクになり始めている。

 

関連記事

 


参考:警察庁[平成30年におけるサイバー空間を巡る脅威の情勢等について]

関連記事

  1. SWIFTにxCurrentもしくはxRapid採用の可能性⁇

  2. ブロックチェーン技術への各国の動き活発化

  3. 韓国の仮想通貨規制に反対デモ

  4. サービス向上のため、ブロックチェーン技術企業買収

  5. 昨日(11/7)のニュースまとめ

  6. 欧州中央銀行のさらなる研究

PAGE TOP

ニュース

取引所TaoTao、サービス提供間近[事前登録受付開始、キャンペーンも]

ニュース

金融庁、つみたてNISAのミートアップ開催[資産形成への関心]

ニュース

WesternUnionとThunesの提携[BWW/INN/SWIFT/Rip…

ニュース

取引所Binance、第3弾となるICOトークン[CELR]上場

ニュース

シティグループ、暗号資産関連での求人[大手金融機関とアメリカでの定義見直しの動き…

ニュース

1週間(3/18~3/24)のニュースまとめ

ニュース

昨日(3/23)のニュースまとめ

ニュース

モバイル決済投資サービスZeux、新たにIOTA対応発表