情報処理推進機構(IPA)がハブ組織となって運用されているサイバー情報共有イニシアティブ(J-CSIP)は、2016年7月29日に公開した運用状況レポートの中で、日本語の「ばらまき型メール」の傾向についてまとめている。J-CSIPには、特定の組織からの注文連絡を装うなど、企業を狙ったものが多く報告されており、社内への注意喚起のためにも、その傾向を知っておく必要がある。
J-CSIPは、一部業界を狙った標的型攻撃から企業を守るため、それぞれの業界内で情報共有を行うために、経済産業省の旗振りで設立された組織。現在、重要インフラ機器・製造業、電力、ガス、化学、石油、資源開発、自動車の7業界、72社が参加している。
参加各社が攻撃を受けた情報をIPAに提供、これをIPAが分析して各業界ごとに攻撃の傾向などを情報提供する形で、同業種内での情報共有を行う仕組みとなっている。2015年7月から2016年3月までの間にIPAに提供された情報件数は1818件、そのうちIPAが標的型とみなした情報は35件だった。
一方、寄せられた情報からは、送信先を特定しない「ばらまき型メール」が多数観測されている。J-CSIPは、ばらまき型メールを標的型メールとは見なしていないが、件名や本文に日本語が用いられるなど、手口が巧妙・複雑化し、危険な兆候が高まっていることから注意を呼び掛けている。
ばらまき型メールは、ウイルス感染、ランサムウェア感染を誘発するファイルを添付した偽装メールを、対象を問わずに送り付ける攻撃。相手によって件名や本文内容を変える標的型攻撃と異なり、同じ件名、内容のメールを多数送り付ける、「数打てば当たる」方式の攻撃といえる。
J-CSIPでは、2015年10月頃から日本語が使われたばらまき型メールの急増を確認している。当初は「番号xxxxxxxxの下での小包の配達」「日本郵政公社トラック」「税務署から」「負債通知」といった件名のメールがばらまかれていた。
しばらく経つと、「遅れましたが、添付ファイルにて送ります。よろしくお願いいたします」「お世話になります。以上、宜しくお願いいたします」など、自然な日本語が本文で用いられるようになったという。
最新のものでは、ヤマト運輸や日本郵政からの配達通知を装ったものが登場している。実際の事業者から送られている本物のメールと同様の件名が使用されているものや、「残高」「ご確認をお願い致します」「状況一覧表」「製造依頼」のように、短いながら、いかにもありそうな本文を使ったメールも多数観測されている。
例えば、2016年6月に発覚したJTBへの攻撃は、JTBが日常的にやり取りしている航空会社を騙った標的型攻撃だったが、たまたま普段から宅配便事業者とのメールのやり取りが多い人が宅配事業者を騙ったばらまき型メールを受け取った場合のリスクは、標的型の時とさほど変わらないといえる。
添付ファイルは、主に圧縮された実行形式ファイルを用いており、ファイル名に「doc」「xisx」「pdf」などの文字列を付け加えることで汎用的なファイルに見せかけ、実行形式ファイルであることに気付かれないよう細工されている。
また、ファイルを添付せず、オンラインストレージサービスにアップロードした上でそのURL、リンクをメール本文に記載、利用者にダウンロードさせるといった新たな手口も確認されている。
メールアドレスも巧妙化している。当初は、主にロシアの「Rambler Mail」というサービスで取得できるメールアドレスからばらまかれていた。しばらくすると、中国の「163.com」、米国の「YAHOO!」、デンマークの「Jubii」といった著名なサービスで取得できるメールアドレスからも、同様のウイルスメールが送られていたことがわかった。
最新のものでは、大量の、いかにも日本人が使いそうなメールアドレスを使ったものが報告されている。同一犯から送られてきたと思われる、件名が同一のウイルスメールが200件以上も発見されているが、各メールの送信元メールアドレスも、添付ファイル名も発着日時も、ほとんど重複がなかったというのだ(図)。
拡大画像表示
しかも、送信元として確認されたメールアドレスの中には「(日本人の姓)_(日本人の名)@(ISP等の名前).jp」といった、日本人が使いそうなメールアドレスが何種類も使われていたという。
J-CSIPは、攻撃者が大量の「日本人が使いそうなメールアドレス」のリストを持っているか、日本人が使いそうなメールアドレスを大量に自動生成することが可能であることを示していると推測している。
このように、攻撃の巧妙さが日に日に増していることからJ-CSIPは、海外の攻撃者が日本人を攻撃するために、その特徴を学習し続けていることがうかがえるとしている。加えて、攻撃グループが実は海外のサーバーを乗っ取った日本人である、あるいは攻撃グループに日本人が参加している可能性も否定できないだろう。