標的型メール攻撃を対策！見分ける方法やセキュリティ対策の選び方を解説

メールセキュリティ対策は進んできていますが、メールセキュリティに関する不安は高まっています。近年では、特定の個人や組織を対象とした巧妙なサイバー攻撃である標的型攻撃による被害が拡大しています。標的型攻撃は、なりすましメールやフィッシングメールなどがきっかけとなります。この記事では、標的型攻撃メールの概要や見分ける方法、メールセキュリティ対策などについて詳しく解説します。

Cloud Mail SECURITYSUITEのサービス資料を受け取る

標的型攻撃とは

標的型攻撃とは、特定の企業や組織を狙って、機密情報や顧客の個人情報、知的財産、IDやパスワードなどのユーザー情報を窃取しようとするサイバー攻撃です。この攻撃では、実際にやりとりしていた関係先メールの情報を使用し、メールの本文に記載されたURLや添付ファイルをクリックさせることで、マルウェアに感染させます。感染したPCを攻撃者が外部から遠隔操作したり、マルウェアの動作により組織内の情報を暗号化し、暗号化解除のための身代金を要求したり、外部へ機密情報や個人情報をメールで送信したりします。

標的型攻撃メールと迷惑メールとの違い

標的型攻撃メールと迷惑メールとの違いは、配信する目的や対象者です。標的型攻撃メールは特定の個人や企業に対して送信し、重要な情報を窃取する目的があります。迷惑メールは、不特定多数の人に対して広告や詐欺などを目的に送信されます。受信者が必ずしも開封することを狙っているわけではなく、誰かが引っかかればよいという大まかな攻撃手法が特徴です。

標的型攻撃メール攻撃を受ける原因

標的型攻撃メールによって攻撃を受ける原因は、セキュリティ意識の欠如です。従業員のセキュリティ意識が低い場合、偽装したメールやファイルなどを開封して被害を拡大させます。昨今、標的型攻撃メールは、文面や差出人のなりすましといった手法が巧妙化しています。日頃からセキュリティ意識を高め、適切な対策を講じることが重要です。

標的型攻撃メールを対策しないリスク

標的型攻撃メールは、金銭や情報漏洩などの被害を拡大させます。ここでは、対策しないリスクを解説します。

金銭的な被害を受ける

標的型攻撃メールによって、金銭的な被害を受ける可能性があります。マルウェアの1つである「ランサムウェア」に感染すると、データが不正に暗号化されて使用できなくなるためです。ランサムウェアの手口は、データ復旧で脅迫して金銭を要求することです。ただし、要求を呑んだ場合でも、データが元通りになる保障はありません。

情報が漏洩する

マルウェアに感染すると、端末にバックドアという抜け穴が作られて、データを外部に送信されてしまいます。デバイスやサーバーのデータ改ざん、個人情報やアカウント情報の窃取など、多くの懸念点もあります。情報漏洩は企業の信頼を低下させるため、事前に感染の対策をしなければなりません。

被害が拡大する

標的型攻撃メールの対象は、被害を受けた端末のみではありません。一つの端末の感染によって、システム全体へ拡散する可能性があります。ネットワークを介して、サーバーや他のデバイスに感染が拡大するケースがあるため、注意が必要です。業務に支障が出る場合、取引先に被害を与えるリスクも考慮しなければなりません。

標的型攻撃メールを見分ける方法

標的型攻撃メールの内容には、不自然な点が多くあります。ここでは、見分ける方法を解説します。

不自然な日本語で書かれている

標的型攻撃メールは海外の攻撃者が送信する場合があるため、言い回しや表現が不自然な日本語で書かれているケースがあります。たとえば、通常使われない漢字で書かれていたり、誤った敬語や直接的な表現だったりするなどです。メールの文面の日本語に違和感を覚える場合は、攻撃されている可能性を考慮する必要があります。

心あたりのないメールが届く

心あたりのない件名や内容が書かれている場合も、標的型攻撃メールの可能性があります。たとえば、「至急」「重要」と書かれている件名や、公的機関や金融機関などからのお知らせなどです。それぞれ受信者の不安を煽り、メールやファイルの開封を促す手口です。差出人やメールの内容を確認し、クリックしないよう対策が必要です。

リンク先のURLが異なる

標的型攻撃メールに表示されているURLをクリックすると、リンク先と異なるサイトに遷移する場合があります。マウスカーソルをリンクに合わせると、遷移先のURLが表示されるため、事前に確認が必要です。公式サイトのURLでなく、見慣れないドメインの可能性を考慮して、安易にクリックすることを避けなければなりません。

標的型攻撃メールを開いてしまったらどうする？

標的型攻撃メールを開いた場合、早急に対策をする必要があります。ここでは、メールを開いた場合の対策を解説します。

ネットワークを切断する

標的型攻撃メールを開封した場合は、すぐにネットワークを切断します。被害が出ていない場合でも、接続状態によって不正な通信が行われている可能性があるためです。物理的に通信を止めることで、他の端末への感染拡大を防げます。Wi-Fiの場合は接続の許可を切断して、LANケーブルを差している場合は抜きます。

情報管理者や情報システム部門に報告する

ネットワークを切断した後は、情報管理者や情報システム部門に報告します。マルウェアをはじめとしたウイルスに感染する場合、被害が拡大するリスクが高まるためです。社内にセキュリティトラブル発生時のルールがある場合、それに従い報告をします。その後は担当する部門・担当者にも報告して、その後の判断を仰ぐ必要があります。

標的型攻撃メールへのセキュリティ対策

標的型攻撃メールには、受信と送信の両面での対策が求められます。

受信の対策は、危険性の高いメールを排除し、脅威を除去したメールの受信を可能にすることです。具体的には、フィッシングメールやなりすましメールに対する警戒をしたうえで、危険なサイトへ誘導するURLのチェック、マルウェアを含むメールを遮断する対策が必要です。

送信の対策は、マルウェアによる自動メール送信や大量メール送信を防御することです。具体的には、ウイルスやマルウェア、攻撃者による遠隔操作によって、社内情報がメールで外部に送信されるのを防ぐ対策が必要となります。

さらに、セキュリティ事故発生後の検証はメールアーカイブとメール監査で構成されます。

危険なメールや脅威を除去したメールを受信する対策

メールセキュリティの受信対策は、危険が潜むメールを受信しない、または脅威が除去された状態でメールを受信できるようにします。この対策には、次のような手段を複合的に実施します。

なりすましメール対策

なりすましメールとは、実在する組織の個人を装い、不正な目的で送るメールです。メールの送信元やURLの正当性を確認するSPF、DKIM、DMARCといった認証技術が対策として有効です。これにより不審なメールの受信を防ぐことができます。

フィッシングメール対策

フィッシングメールとは、偽サイトに誘導するメールのことです。なりすましメール対策と同様に、送信元が正しいのか確認することに加え、メール本文や添付ファイルに記載されているURLのリンク先に不審な点がないかどうかを確認しましょう。

また、リンク先URLからマルウェアなどの不正プログラムがダウンロードされていないかといったチェックも行います。不審なメールの受信を防いだりメールの受信者に警告を表示することで、フィッシングメールを防げます。

スパムメール対策

スパムメールとは、大量に送信される迷惑メールです。なりすましメール対策、フィッシングメール対策と組み合わせて、スパムメールを対策します。メールの件名や本文がスパムかどうかを予測します。既知のスパム送信元IPアドレスからのメールの受信を防止したり、フィルタリングした状態で保管するなどの対策により、スパムメールの受信を防ぎます。

マルウェア対策（メール経由でのマルウェア侵入の防御）

マルウェアとは、PCやスマートフォンなどのデバイスに被害を与える悪意のあるソフトウェアの総称です。具体的には、メールの添付ファイルとして受信するケースとメールのリンク先URLからダウンロードされるケースがあります。

ウイルス対策は、添付ファイルやリンク先にウイルスやマルウェアが含まれていないかを検査するスキャンエンジンと、ウイルスやマルウェアの定義ファイルで構成されます。複数のウイルス対策エンジンを組み合わせることで最新の脅威を防ぎます。

サンドボックス

サンドボックスとは、プログラムやファイルなどを隔離した環境で実行・検証するものです。受信したファイルやリンクをクラウド上のサンドボックスで動作させ、ウイルスやマルウェアの挙動を検証し、未知のものを検出して防御します。

ウイルス対策は、既知のウイルスやマルウェアの検知には有効ですが、未知のウイルスやマルウェアには対応できないため、サンドボックスを活用しましょう。

ウイルスやマルウェアによる自動メール送信を防御する送信対策

メールセキュリティの送信対策は、送信時に送信者自身のセルフチェックによる自己承認、上長承認、などのプロセスを導入することで、ウイルスやマルウェアによるメールの自動送信を防ぐことができます。

メール誤送信対策にも有効なメール送信対策の流れ

セキュリティ事故発生後の検証にメールアーカイブとメール監査

十分な対策をしていても、何らかの要因で事故が発生した場合には、その背景や攻撃者のやりとり、不正行為を時系列で正確に把握することが必要です。そのためには、組織内の全てのメールを完全な形で保存することが求められます。メールアーカイブは、事故や侵害行為の証拠として、また事実の確認や法的手続き、紛争解決の際にも有効です。

メールアーカイブの監査機能を活用することで、日頃からメールでの不正または疑わしいメールのやり取りやパターンを特定できます。これは、外部の攻撃者だけでなく、組織内の不正行為を追跡するのにも役立ちます。

メールセキュリティ対策の選び方（検討時の比較項目あり）

メールセキュリティ対策製品やサービスの選定時にチェックする項目は次のとおりです。

メール受信対策、検討時の比較チェック項目

メール受信対策で必要な機能は次のとおりです。これらの機能を全て網羅した対策が重要です。

項目	内容
なりすましメール対策	DKIM、DMARC、SPFなどの送信者のメール認証技術を有している
フィッシングメール対策	リンク先URLをチェックし問題があればハイパーリンクを無効にできる
スパムメール対策	送信者のメールアドレスやIPアドレスからスパム送信者かチェックする。メールの件名や本文でスパムメールは自動判定する。
マルウェア対策	常に最新のエンジンと、パターンファイルに自動更新される。複数のウイルス対策エンジンでスキャンできる。圧縮ファイルを解凍しウイルススキャンする。
サンドボックス	クラウド上のサンドボックスで添付ファイルを実行し動作を確認する。リンク先URLからダウンロードされるファイルも同様に動作を検証する。

メール送信対策、検討時の比較チェック項目

メール送信対策で必要な機能は次のとおりです。これらの機能を全て網羅した対策が重要です。

その他に、大量メール送信の自動検知やDKIM署名やBIMIによる送信側でのなりすまし対策も必要となります。

メールアーカイブ、検討時の比較チェック項目

メールアーカイブに必要な機能は次のとおりです。これらの機能を全て網羅した対策が重要です。

Microsoft 365、Google Workspaceに対応した、標的型メール攻撃対策ソリューション

サイバーソリューションズが提供するCloud Mail SECURITYSUITEは、Microsoft 365、Google Workspace に対応したオールインワンのメールセキュリティサービスです。

標的型メール攻撃に必要な脅威防御・標的型攻撃対策、誤送信・個人情報漏洩対策、メールアーカイブをワンストップで提供しています。

Microsoft 365 メールセキュリティの不足点を補うCloud Mail SECURITYSUITE

Microsoft 365 のメールセキュリティは、Exchange Onlne Protection（EOP）でアンチウイルス、アンチスパムが標準で提供されます。それ以外のメールセキュリティは、E3以上の上位プランや、Microsoft Defender for Office 365の契約で提供されます。詳しくは、Exchange Online Protection とは？ Microsoft 365 に標準で搭載されているメールセキュリティについて徹底解説をご覧ください。

月額200円から標的型攻撃メールを防御できる

Cloud Mail SECURITYSUITEは、目的や対策に応じて貴社が必要な機能を選んで導入できます。標的型メール攻撃を防御する「受信対策」プランは、月額200円で導入できます。メール誤送信対策を実現できる「送信対策プラン」は、月額300円。「受信対策」と「送信対策」に「メールアーカイブ」がセットになった「エンタープライズ」は、月額550円とリーズナブルに導入できます。

Cloud Mail SECURITYSUITEの詳細を確認する

事例：7,000アカウントのMicrosoft 365メールセキュリティオンプレからクラウドへ移行で運用管理を低減