標的型攻撃メール、国内企業の1割が標的に～シマンテック調べ

　国内企業の9.5社に1社が「標的型攻撃」を受け、知的財産流出の危機にさらされている――。株式会社シマンテックが29日、同社のクラウド型メールセキュリティソリューション「Symantec.cloud」の検知実績をもとにしたデータを公表した。

●オーダーメイド仕様の攻撃で受信者の関心を引く

　標的型攻撃とは、情報窃取を目的として特定の組織や個人を狙う攻撃。多くの場合でメールが使われている。攻撃者はウェブなどで公表されている情報をもとにメール本文を作成し、受信者に本文中の不正なURLをクリックさせたり、マルウェア付きの添付ファイルを開かせようとする。

　標的型攻撃メールに添付されるマルウェアのファイル名は、「リスクベース評価手法を用いた（中略）国際ワークショップ開催のご案内.zip」や「6月4日、5日会議録.pdf」といったように、特定の人が関心を持つ内容となっている。

標的型攻撃と通常の攻撃の比較	標的が攻撃の流れ

　マルウェアのプログラム自体も、大量に出回っているものではなく、攻撃者が“オーダーメイド”で作成したものだという。こうしたことから、既知のウイルスのパターンと照合して検出するウイルス定義ファイルでは対処しにくいのが現状だ。

　米Symantecでシニアアナリストを務めるマーティン・リー氏によれば、「標的型攻撃メールで使われるマルウェアの10～15％は、（プログラムの挙動をもとに検出する）ヒューリスティックでしか検出できない」という。

標的型攻撃メールの例。本文を読むと、攻撃者は日本語に習熟していることが伺える	「6月4日、5日会議録.pdf」という添付ファイルが使われている。添付ファイルはAdobe Readerの脆弱性を突くマルウェアだったという

●価値の高い知的財産を持つ企業が狙われている

米Symantecでシニアアナリストを務めるマーティン・リー氏

　2008年4月以降、Symantec.cloudが検知した標的型攻撃メールは合計7万2500件に上り、2万8300件のメールアドレスに送信されていた。世界全体では46.2社に1社、日本では実に9.5社に1社が標的型攻撃メールを受信していたという。

　標的型攻撃メールを受信した日本企業の内訳を見ると、娯楽・アミューズメント・ゲーム業界が全体の35％、政府・公営企業が31％と続いている。被害企業に共通するのは「価値の高い知的財産を持っていること」（リー氏）だ。

　日本で攻撃された企業の従業員規模の内訳は、100人以下が15％強だったほか、101～500人以下、501～1500人以下、1501～5000人以下がいずれも25％と、従業員数にかかわらず標的とされていた。標的型攻撃メールを受信した人の役職としては、経営者層が34％、管理職が24％、一般社員が4％と、重要なポストに就く従業員が多く狙われていた。

　「標的型攻撃は大企業だけが狙われる訳ではない。500人未満の中小企業でも、革新的な知的財産を持っていることが少なくないためだ。さらに、中小企業は社内にセキュリティ担当者がいないケースもあるので、攻撃者の格好のターゲットとなっている。」

標的型攻撃を受けた組織（世界）	標的型攻撃を受けた組織（日本）	標的型攻撃を受けた企業の従業員規模

●標的型攻撃メールの“ゴールデンタイム”は勤務時間

標的型攻撃メールが送られる時間帯

　また、標的型攻撃メールが出回りやすい“ゴールデンタイム”も確認できたと、リー氏は指摘する。例えば、日本では9時から12時にかけてメールの件数が増え、昼食が始まる12時から14時までは終息するが、14時に再び増え始め、17時にピークを迎えている。

　ヨーロッパ地域でも日本と同じような時間帯の推移が見られたという。これらデータから推測されるのは、「受信者の勤務時間に合わせて標的型攻撃メールが送られている」（リー氏）ということだ。

　標的型攻撃メールの対策方法についてリー氏は、検体となるマルウェアを収集しやすいクラウド型セキュリティが有効だと指摘。その上で、アンチウイルス／スパム、URLフィルタリングなどをSaaSで提供する「Symantec.cloud」が対策の一助となるとアピールした。