今なお企業を脅かす標的型攻撃メールの進化
ランサムウェアやEmotetが流行したことをきっかけに、Microsoftは2022年、インターネット経由でダウンロードされたOfficeファイル内のVBAマクロを自動的に無効化するよう仕様変更を行いました。
これにより、WordやExcelを使ったランサムウェア感染の手口は大きく減少しています。
それに伴って、WordやExcelファイルを添付する形式の標的型攻撃メール訓練はもうやっていないという企業もあるかもしれません。
しかし――攻撃者はそう簡単に諦めません。
WordやExcelを用いた攻撃は以前ほどではないにしても未だに使われていますし、別のファイル形式を利用した攻撃も活発に行われています。
① Officeファイルだけではない、悪用されているファイル形式
- ISOファイル(仮想ディスクイメージ)
- ファイルを開くと自動でマウントされ、中に実行ファイル(.exeや.bat)が含まれているケース
- Windowsの挙動を逆手に取った巧妙な方法
- LNKファイル(ショートカット)
- ショートカット実行で裏側にPowerShellなどのコマンドを仕込む
- 「PDFを見るにはこちらをクリック」などの誘導メッセージとともに送られる
- HTMLファイル
- ブラウザで開かせて、JavaScriptを通じて外部からマルウェアをダウンロード
- 本文中に「納品書を開くにはこちら」とリンクさせるパターンも
- OneNoteファイルの悪用
- クリック可能なボタン風の仕掛けにより、ユーザーを騙してマルウェアを実行させる
ここに挙げたファイル形式は一例です。上記以外にも使われている形式は他に幾つもあります。
【参考情報】ショートカットとISOファイルを悪用する攻撃キャンペーン(Macnica, Inc. セキュリティ研究センターブログ)
② メールの本文や文脈も巧妙化している
- 「電子請求書」「採用応募資料」「社内人事異動通知」など、業務に紐づく自然な内容
- 過去の情報漏洩から得られた社内関係者の名前や部署名の悪用
- 「早急な確認をお願いします」「支払期限本日まで」などの心理的圧力
AIが発達し、巧妙なメールが簡単に、そして大量に作成できるようになったことで、攻撃の件数は昔よりも格段に増えています。
セキュリティ対策システムも攻撃者に負けじと進化していることにより、多くの攻撃メールはブロックされるようになっているとしても、AIを用いて大量の攻撃が行われれば、確率論でシステムをすり抜けてしまうものも少なからず出てきてしまうことは必然です。
私たちはこうした「流れ弾」が飛んでくる可能性があることを意識する必要があります。
③ なぜこれらの手口が通用してしまうのか?
- ファイルの拡張子や形式に関する知識がないと、「実行形式である」と気づけない
- WordやExcelより一見無害に見えるファイル(特にLNKやHTML)が使われている
- 「Officeファイルは危ないけど、それ以外は大丈夫だろう」という油断
ランサムウェアやEmoteの被害事例として、メールに添付されていたWordファイルやExcelファイルを開いてしまったことで被害に遭ったといった話が紹介されていたりしますが、こうした事例だけを見て、「不審なWordやExcelファイルを開かなければ大丈夫」と社員がミスリードしてしまうと、他の方法で攻撃された場合に気づけないということが起きてしまう可能性があります。
HTMLファイルが危ないかもしれないなんて、知識が無ければ気づかないでしょう。
④ 今、組織が取るべき対策とは?
- メール訓練の範囲を「Officeファイル以外」に拡大
ISO、LNK、HTMLファイルに見せかけた訓練メールを通じて注意喚起 - 拡張子表示と確認の徹底
- ファイルの中身を安易に開かない教育
「納品書」「採用書類」「会議資料」など業務に近いテーマでの疑似訓練が有効
組織が取るべき対策は、攻撃者の視点に立ち、攻撃者が繰り出してきそうな手口に対する理解を深め、それらに対する知識と対策を社内で共有することです。
知っているか、知っていないか、この違いは大きいです。
🔄 対策された=無効化された、ではない
新たな攻撃手法が登場する度に、こうした攻撃手法に対する対抗策がソフトウェアベンダーから出されますが、
💬 “対策されている” = “すべての環境で完全に無効化された” わけではありません。
- 何かしらの事情により、対策が取られていないままのPCが一部社内に存在する
- セキュリティ製品の設定が十分に行き届いていない
- USB経由やクラウド経由でファイルが持ち込まれる
- 不便だからと、社員が設定を無効化してしまう
- 設定が更新されていないか、更新に失敗しているPCが存在する
など、ちょっとした隙を突かれると、簡単に突破されてしまうのが現実です。
攻撃者は**既存の手口を“少しずつ変化させる”**だけで、検知を回避できます。また、対策がある=すべての環境で完全に防げている、というわけではありません。特に、従業員側の「警戒心の低さ」や「誤操作」が残る限り、これらの手法は今後も生き続けます。
「対策済=安心」ではないのです。
🧠 「クリックしたらアウト」な状況に、どう備えるか?
訓練を実施されている企業の中には、添付ファイルを使うのは色々と面倒だし、今はVBAもデフォルトで実行不可にされているから、添付ファイル型の訓練は実施しなくてもいいだろう。として、URLリンククリック型の訓練しかしていないというところもあるかと思います。
しかし、WordやExcelを使う以外の方法でランサムウェアなどに感染させようとする攻撃は少なからずありますし、ClickFixの手口のように、ユーザーを騙してユーザー自身にマルウェアをインストールさせる手伝いをさせようとするものもあります。
「もうマクロ攻撃は古い」と安心する前に、
今どんな手口が有効で、どこにリスクがあるのかを知っておくことが何より重要であり、
社員全員がそのことをちゃんと理解していることが大切です。
システム側で対策が取られているから大丈夫。と過信し、社員は何も知らなくて良いと思っていると、思わぬ所で足をすくわれるかもしれません。
対策が取られていないままのPCが社内に存在する。と気づけるのも、対策を取るべき事柄について社員が知っていればこそです。
もう古い手口だからと無視せずに、温故知新として古い手口にも目を向け、社員に知ってもらうようにすることは、会社の防御力をより強固なものにすることに役立つはずです。
