標的型メール攻撃が半減、トレンドは“ばらまき型”から“やりとり型”へ

　警察庁は22日、2013年上半期における標的型メール攻撃の統計結果を発表した。同一のメールを複数の組織に送り付ける“ばらまき型”が減少したことで、標的型メール攻撃全体の件数が大きく減少する一方で、その手口は“やりとり型”のように巧妙化しているという。

　警察庁と約5000の事業者で構成する「サイバーインテリジェンス情報共有ネットワーク」を通じて警察庁が把握した標的型メール攻撃の件数は、2013年上半期は201件だった。2012年上半期が552件、下半期が457件だったのに比べ、半分以下に減少した。

警察が把握した標的型メール攻撃の件数の推移（警察庁のプレスリリースより）

職員採用や製品不具合の問い合わせが、実は標的型攻撃の準備

　従来のばらまき型では、国内外の情勢についての情報提供を装って複数の組織にメールを送付する手口が確認されていたが、同じ文面や不正プログラムを大量に送信することから受信者が不審に思う可能性が高くなり、攻撃が発覚しやすいという。標的型メール攻撃に占めるばらまき型の割合は2012年は88％だったが、2013年上半期には24％に縮小した。

　その一方で相対的に割合が増えているのが、少数の攻撃先に特化した不正プログラムや文面を使用する手口だという。

　やりとり型は、攻撃対象にいきなり不正プログラムを送付するのではなく、業務に関するメールを何通かやりとりし、ファイル添付メールが送られてきても不自然ではない状況を作った上で、不正プログラムを送付してくる手口。2012年は1年間で2件だったのに対し、2013年上半期は半年で33件へと増加した。

　やりとり内容は、職員採用の質問や応募を装ったものが5割を超え、製品に関する質問や不具合の報告を装ったものが約3割。不正プログラムは、履歴書、質問状、不具合の状況などを記録した文書ファイルと称して送付されていたという。

　やりとり型の攻撃を受けたメールアドレスのうち約8割が、組織などのホームページ上で公開されているものだった。警察庁では、このように不特定多数からのメールを受信する機会が多いPCは、組織内の通常業務用PCのネットワークとは分離した専用PCとし、不要なプログラムが動作しない仕組みを導入するなどの対策を講じることが重要だとしている。

　標的型メール攻撃で添付されてくる不正プログラムのファイル形式は、半数が圧縮ファイル形式で占められる。具体的には、ZIPが22％、LZHが19％、RARが9％。主に日本国内でのみ使用されているLZHの占める割合が2012年よりも増加したという。なお、これら圧縮ファイルを解凍して生成される不正プログラムの形式は、約9割が実行ファイル形式（exe）だった。

　圧縮ファイル以外では、Excelブック形式（xls）が33％と、全体で見ても最多。また、Word文書（doc）が10％、実行ファイルが4％、PDFが2％、一太郎文書（jtd）が1％だった。Excelブック形式は2013年上半期において増加しており、同窓会名簿や住所録を偽装したものが多く見られたとしている。

標的型メールに添付されていたファイルの形式（警察庁のプレスリリースより）