最も標的にされるのは「大手鉱業会社の役員秘書」、3社に1社は必ず狙われる

　株式会社シマンテックが16日に発表した「インターネットセキュリティ脅威レポート（ISTR）第19号」によると、2013年の標的型攻撃は779件。2011年の165件、2012年の408件からさらに増加した。

　ただし、手法が変わってきており、1つの攻撃キャンペーンあたりのメール数は2012年は122通あったのが、2013年は29通へと減少した。攻撃あたりのメール受信者数も111人から23人へと減少している。

　シマンテックの浜田譲治氏（セキュリティレスポンスシニアマネージャ）によると、以前の標的型攻撃は無差別的に行われており、標的の範囲はある程度限定してはいるものの、その範囲の中では誰でも感染させようとしていたという。しかし、標的型攻撃への対策が企業などで進んできていることを受け、2013年には標的となる人物を絞り込んだものとみられる。

　その一方で1つの攻撃が続く期間は長くなっており、2011年の4日間、2012年の3日間から、2013年は8.3日間と長期化している。これらの結果から2013年は、絞り込まれた標的に対する長期間にわたる攻撃が多数発生したと考えることができる。

株式会社シマンテックの浜田譲治氏（セキュリティレスポンスシニアマネージャ）

　シマンテックがデータ分析した結果からは、「大手鉱業会社の役員秘書」が最も標的になりやすいということが浮かび上がった。以前は幹部クラスが狙われる傾向にあったが、一般社員クラスにシフトしてきており、役職としては役員秘書や広報担当者など「表に出る人」が狙われているとした。

　また、鉱業は標的型攻撃の影響を受けやすく、その確率は2.7分の1だとした。すなわち、鉱業会社の3社に1社は必ず狙われるというわけだ。以下、政府が3.1分の1、製造が3.2分の1などと続く。

　スピア型フィッシングで頻繁に使われる単語としては、「Re」「Order」「Payment」などのように誰が受け取っても怪しまれないようなものや、日本であれば「オバマ来日予定」といったさまざまなイベントを示すものが多いという。

　ある多国籍企業では、請求処理を指示する偽メールが役員秘書のもとに届き、そのタイミングを見計らって役員になりすました電話がかかってきて、メール通り処理をするよう指示される事例もあった。ネットとリアルを組み合わせて攻撃を仕掛けてくるなど、攻撃者もさまざまな工夫をしてきているという。

　なお、スピア型フィッシングでメール添付されているマルウェアのファイル形式は、実行形式が半数を占めた。「.exe」が31.3％で、前年の39％からは下がったが、最多となっている。次いで「.scr」が18.4％で、前年の2％から拡大した。このような形式のファイルは「メールでは送らないのが常識」と考えている浜田氏としては驚きだという。これらをダブルクリックして開いてしまうのは、メールの内容が考えられており、うまくだまして開かせるというソーシャルエンジニアリングが成功している結果だとしている。なお、「.doc」は前年34％だったが、今回は7.9％へと比率的には下がっている。

　ISTR第19号の全文レポート英語版は、シマンテックのサイトからダウンロード可能。日本語版は6月に公開予定。