2万社以上に安全なメールサービスを提供しているサイバーソリューションズ(東京都港区)のシニアエンジニア 高橋長裕氏が、5400万通のメールを分析して分かった「ビジネスでのウイルス・スパムのトレンド」と「知っておきたい注意点」を解説します。
※4月17日にITmediaビジネスオンラインにて掲載したものを、一部編集の上、転載しています
今回活用したデータは、サイバーソリューションズが提供するメールセキュリティサービスで検出された有害なメールを適切に匿名化したものです。ビッグデータから見えてきたのは、メールに添付されたファイルの拡張子の意外なトレンド変化や、メールの受信時間から推測されるサイバー犯罪者の傾向です。
ウイルス攻撃トレンドは毎年激変!2023年の傾向は?
セキュリティインシデントはメールからの侵入が90%以上ともいわれる昨今、添付ファイルを利用した攻撃に関してはトレンドが毎年激変していることが分かりました。2020年はWord形式の添付ファイルが38%と多く、21、22年はExcel形式が急増しています。
Word、Excel、次に来るものは?
20年にEmotet(エモテット)が猛威を振るった際に最も多かったのは、旧Word形式の「.doc」ファイルでした。ウイルスが仕込まれたマクロを添付し、巧みな言葉でユーザーにマクロを実行させることで感染を広げていきました。また.doc ファイルを古いバージョンのWordソフトで開いてしまうことでさらに被害が拡大した可能性があります。
IPA(情報処理推進機構)の公開情報によると、20年にEmotetによる攻撃は一度沈静化しましたが、21年11月に攻撃活動を再開したようです。これは当社のサポートデスクへの問い合わせ状況と照らし合わせても合致しています。21、22年は添付ファイルの形式をWordファイルからExcelファイルへと変えてきました。
23年の1~3月のグラフでは、Excel、Wordは依然として多いものの、実行形式ファイルが49%を占めています。ここから、旧来の攻撃も依然として継続していることが見て取れます。
ただEmotetはこれまでも一過的な爆発力を見せており、年間通して見ると今後どのような傾向に変化するか予断を許さない状況です。また圧縮ファイルに関しては、22年に一度減ったものの再び比率が高まりつつあります。
添付ファイルを別送したメール記載のパスワードで解凍するPPAP形式への対応を逆手に取って、大量の意味のないNULL文字でデータサイズを稼ぎ、ウイルスチェックの最大チェックサイズを超過させ、すり抜けようとする手法がみられます(※)。さらにOneNote形式での新たな攻撃も出てきました。23年は圧縮形式やOneNote形式での攻撃が増加するかもしれません。
※500MBを超えるようなファイルでもNULL文字で埋めた場合圧縮すると数百KB程度のサイズになる
ランチタイムはウイルス襲撃時間、中休みで油断していると……
ウイルスが添付されたメールの受信時間にも特徴がありました。時間をグラフにまとめたところ、ビジネスの稼働時間に合わせてウイルスメールの件数も上昇することが分かります。その中でも正午から午後2時がウイルスメールが最も多い“ホットタイム”です。
ランチタイムや業務終了後、金曜日の夕方など、ちょっとリラックスして仕事以外の興味深いメールをチェックしたらウイルスに感染したというケースもあり得そうです。攻撃者は、ビジネスパーソンの稼働時間帯を見計らって送信時間を設定していると思われます。
時間帯の分析から推定されることは、ウイルスメールの攻撃者は日本と同じタイムゾーンにいる、もしくは明らかに日本企業を狙っているといえます。タイムゾーンから推察されるのは、ウイルス・スパムの送信元がアジア圏の近隣諸国からであることです。
とはいえ、近年のウイルスメールは、以前のように一目で分かる「変な日本語」が減りつつあり、自然な日本語になってきています。ChatGPTなど、生成AIの技術が発達したことで、今後この傾向が加速することが予想されます。次回の連載では、ChatGPTを使うとウイルスメールがどのようになるか、具体的に検証したいと思います。
つい見てしまう他人の給与データ、スパムメールの心理テクニック
最後に、ウイルスメールに多いキーワードを見ていきましょう。下記グラフからは「請求」「注文」「賞与」といったお金に関連した詐欺メールが多いことが分かります。
未払いの請求を促すメールなどは身に覚えがなくてもドキッとしますよね。このようなメールが来た際は、とにかく内容を確認し、購入していない場合は無視するか削除することです。間違ってもリンクや添付データをクリックしないことです。
「賞与」については「賞与が支払われます」といった詐欺以外にも、人事や総務の誤送信を装ったような手法も見られます。例えば「社内賞与一覧」「給与一覧」などと他人の情報をちらつかせることで興味を誘う手法です。
パスワードロックのかかった添付ファイルで送られ、本文に解除のパスワードがあるケースなど、誤送信したのかと思わせてファイルの内容を見てみたいという気持ちにさせる微妙な心理をついた攻撃にはくれぐれも注意する必要があります。
人事や上長からのメールはつい開いてしまいがちです。少しでもおかしいなと思ったら社内チャットや電話などで送信元に問い合わせることが大切です。
例えば、銀行から個人メールアドレスに怪しいと思われるメールが来た場合、その内容を信用せずに、自ら銀行に問い合わせることで詐欺は事前に防げます。内容のソース元を確かめるのは個人利用のメールだけでなく社用メールでも同じということです。
メール経由でのセキュリティインシデントは90%を超えているともいわれます。逆の言い方をすれば「メール対策をすれば、90%のセキュリティ事故は防げる」といっても過言ではありません。