Essay 52

メールを攻撃から守る方法

2016年11月8日
メールを介した攻撃が激増

クリントンが私的サーバーを介してやり取りしたメールが、ハッキングされた。それらがWikileaksで公開され、大統領選挙の前にFBIの捜査がクリントンに入るなどして、アメリカの政治を揺さぶった。アメリカの情報機関は、ロシア政府が関与した組織による攻撃、と判断しているが、ロシアは否定している。

政治的な攻撃を受けることのない個人でも、油断はできない。個人は個人で、ハッカーが欲しがる金銭を持っている。企業が保有する金額は、個人をはるかに上回る。

日本IBMによると、 ウイルスやスパイなどのマルウェアが埋め込まれたメールが、2016年の上半期に、1年前に比べて16倍も増えた。ZIPで圧縮された、感染ファイルが添付されたメールが、大半を占めた。ZIPで圧縮されていると、潜んでいるマルウェアをウイルスソフトが検出できない。そのファイルを開いた途端に、マルウェアがパソコンに潜入する。

マルウェアには、ランサムウェア(身代金要求型不正プログラム)と金融関連が多かった。すなわち、 金銭を搾取することを目的にした攻撃メールが、とても多くなっている。 メールを介する攻撃は、他人のメールアドレスをまず取得しなければならず、その過程で取捨選択が働くので、標的を絞り込んだ標的型攻撃になる。誰もがメールを日常的に使っているので、標的になる危険が常に存在する。

* * * * * * * *

パソコン自体とブラウザをサイバー攻撃から防御する方法を、 エッセイ46「Windows10のセキュリティ設定」 に書いた。ここでは、攻撃からメールを守る方法を具体的に書く。私の実体験に基づいた防御法だ。なお、私が使っているメールソフトは、Windows Liveメール(Outlook Express)ではなく、Mozilla Thunderbirdだ。

なりすましメールが来るようになった理由

友だち用として使っているメールアドレスの1つが流出し、なりすましメールがしばしば届くようになった。流出元の友だちはフランス人。そう判断した理由は次の通りだ。
1.この友だちが送ってくれた写真に潜んでいるウイルスを、私のウイルスソフトが何度も検出した。写真は圧縮されていなかった。
2.この友だちが書いた、私とは無関係な内容のメールが、私にも届くようになった。
3.友だちが持っていないメールアドレスが、送信者のアドレスとして表示されるメールが、何通かあった。

パソコンにウイルスが感染していることを友だちに知らせたが、カスペルスキーウイルスソフトがインストールされているので、感染など起こるはずがない、という返事だった。 カスペルスキーはロシアの有名なウイルスソフトだ。 どのようなウイルスソフトを使っていても、ネットの中に完全なセキュリティは存在しない。それを理解していないと、この友だちのように、感染パソコンを使っていても感染に全く気づかない。

* * * * * * * *

フランスが流出元国なのに、なりすましメールの多くが日本語で書かれている。私のメールアドレスが.jpドメインなので、どこの国で流出しようとも、標的を絞り込むハッカーは、なりすましメールの標的を日本人にする。

なりすましメールの手口

このエッセイを書く目的で、10月の1か月間に受け取ったなりすましメールを、保存しておいた。これらのメールで、宛先になっているメールアドレスは、上記の流失したアドレスだ。 アドレスの@の前はユーザー名で、後がドメインになる。ユーザー名もドメインも、私のアドレスと完全に一致するメールが、大多数だった。ユーザー名だけが異なるメールが何通かあった。

差出人のアドレスは全てが.jpドメインだった。標的が日本人で、テキストを日本語で書いている。ハッカーが海外に住む外国人でも、疑われないように.jpドメインを使う。.jpドメインのアドレスを、外国人でも持つことができる。逆に、日本に住む日本人が、海外のドメインのアドレスを持つことができる。
これは公にアドレスを持つ場合の話だ。メールの差出人のアドレス表示だけならば、何とでも自由に書き換えられることを、頭に入れておきたい。新しいアドレスをわざわざ作るような手間をかける必要がないのだ。アドレスを見て、差出人を信じることのないようにしたい。

使われていたアドレスのドメンを次に示す。ハッカーが盗んだ、実在しているメールアドレスを使っている可能性があるので、ユーザー名を伏せる。ここに自分のドメインがあり、メールに怪しい気配を感じた皆さんは、感染を疑っていただきたい。

  • xxx@yahoo.co.jp、xxx@msc.biglobe.ne.jp、xxx@ksf.biglobe.ne.jp、xxx@kpb.biglobe.ne.jp、xxx@kss.biglobe.ne.jp、xxx@f5.dion.ne.jp、xxx@pearl.ocn.ne.jp、xxx@vanilla.ocn.ne.jp、xxx@muse.ocn.ne.jp、xxx@pastel.ocn.ne.jp、xxx@green.ocn.ne.jp、xxx@lily.ocn.ne.jp、xxx@k.vodafone.ne.jp、xxx@k.vodafone.ne.jp、xxx@da2.so-net.jp、xxx@aa2.so-net.jp、xxx@iris.eonet.ne.jp、xxx@dhl.co.jp、xxx@ybb.ne.jp

差出人のメールアドレスは、全てのメールで異なっていた。@の前のユーザー名が、日本名になっているものが多い。
私自身のメールアドレスが、差出人のアドレスになっているようなスパムメールを、何度も受け取ったことがある。これでは、いくら何でも相手をだますことはできない。10月のハッカーは、差出人のアドレスをもっと注意深く考えた。

送信者側でどのようにでも操作できる情報を基にして、なりすましかどうかの判断をするのは危険だ。受信者である自分の側で操作できることを根拠にして、判断しなければならない。

* * * * * * * *

10月に受け取ったなりすましメールは、全部で24通。怒涛のように押し寄せる単純な迷惑メールよりも、数がずっと少ない。ここからも、ハッカーが標的をかなり絞り込んでいることが、うかがえる。
13通のメールについて、送信日、件名、送信時刻、圧縮された添付ファイルの種類、そして本文を示す。 ハッカーが外国人ならば、以前は日本語がへたで、意味不明なメールが多かったが、最近は日本語がかなり上達している。それでも、日本人がやらないミスがある。

10月3日(月)
「注文書の送付(2016.10.3)」17:28、ファイル
いつもお世話になっております。注文書を送付させていただきます。添付ファイルをご確認下さい。ご手配の程よろしくお願い申し上げます。

10月11日(火)
「発注依頼書」9:03、PDFファイル
発注書が添付されてませんが来てますか?送ってください。
「依頼書を」15:54、PDFファイル
いつもお世話になっております。備品発注依頼書を送付しますので、の印鑑を捺印の上備品発注依頼書を持参いただけますと幸いです。よろしくお願いいたします。

10月12日(水)
「お支払いをしてください」8:53、docファイル
請求書が届き次第お支払いをしてください。お支払方法は、現金、クレジットカードまたはデビットカードにてお願いします。よろしくお願い申し上げます。
「納品依頼FAXを送信してください」13:49、ファイル
納品依頼FAXを送信してください。尚、送信前に必ずの承認サインをもらってください。宜しくお願いします。

10月17日(月)
「写真ご送付いただきましてありがとうございます」9:02、png画像
いつもお世話になっております。写真ではいつもご迷惑をおかけしまして申し訳ありません。様写真お送りします。どうぞよろしくお願いします。
「御請求書」12:23、ファイル
おつかれさまです。請求書・納品書・写真2枚が届いています。請求書、納品書はこちらで9末に支払いを進めます。
「注文書・注文請書」20:28、docファイル
請求は指定用紙?確認して請求してください。

10月18日(火)
「支店口座に振込」9:20、docファイル
お世話になっております。成果報酬のお支払いについて連絡させて頂きます。

10月24日(月)
「図面」12:36、画像
お世話になっております。日程変更がありましたらすぐお知らせ願います。何卒、宜しくお願い致します。

10月26日(水)
「被害状況」9:27、jpg画像
交換部材など特定し見積り作成しご連絡致します。

10月31日(月)
「添付写真について」8:13、jpg画像
いつもお世話になります。添付写真と同じの御見積をいただけませんか。よろしくお願いします。容量が大きい為、分けて送信致します。
「写真」11:09、画像
お世話になっております。写真でご確認ください。取り直しお願いします。

* * * * * * * *

差出人のメールアドレスに同じものはないので、表面的にはメールの数だけハッカーがいることになる。けれども、上のパターンから、ハッカーは1人か、複数でも人数は少ないと思われる。

24通中の22通が、月~水曜日の間に送信された。送信は朝に多く、昼前後と夕方にもピークがある。ハッカーは、他の仕事との兼ね合いを見ながら、なりすましメールを送信しているようだ。
毎回、件名・本文・自分のメールアドレスを変えていることから、受信者をだますだけではなく、自分を探り出せないように、非常に注意深い作業をやっていることが分かる。そこが、単なる迷惑メールの送信者とは異なる。

全メールに、ZIPで圧縮されたファイルや画像が添付されている。それらを開ければ、金銭搾取か、情報搾取か、別の意図でのパソコン乗っ取りかが分かるが、そこまでのリスクを私は負わない。 皆さんも、決して余計なリスクを負わないでいただきたい。

対策1:パソコンを使い分ける

メールを扱うパソコンと、他の作業に使うパソコンを物理的に分けることが、最も簡単かつ効果的な防御法になる。メール専用のパソコンには、失っては困るデータや、重要な個人情報を保存しない。送受信したメールを外づけのハードディスクに保存すれば、メール専用パソコンにはアカウント設定しか残らない。

ランダムなウェブサイト検索でも、アクセスした感染サイトを介して、マルウェアが感染する危険があるので、メール専用パソコンを検索にも使えば、全体的なセキュリティが高まる。

ランサムウェアの感染によって、パソコンにロックがかけられたり、ファイルが暗号化されたりする。「身代金を払えば元の状態に戻します」、と書かれた画面が現れる。送金方法が示される。指示通りに身代金を払っても、何も起こらない場合が多い。身代金だけを取られる。

ランサムウェアによってファイルが暗号化されたならば、ディスクを初期化し、OSを再インストールことによってパソコンの機能を回復できる。パソコンにロックをかけられ、パソコン自体が使用不能になった場合、そのパソコンを廃棄処分にする。身代金の要求額は、300~1万ドル程度と言われる。身代金を支払っても機能が回復する可能性は小さいので、安いパソコンを購入したほうがいい。

トレンドマイクロ社などが、ランサムウェア復号ツールを無料で配布している。ランサムウェアで暗号化されたファイルの復元ができるが、一部のランサムウェアプログラムにしか対応していない。

対策2:メールアドレスを使い分ける

メールアドレスをいくつか持ち、作業毎に使い分ける。

ウェブ管理者は、自サイトへのアクセスが多くなるように、検索エンジンへ自分のサイトを登録する。登録者は、自分のメールアドレスを検索エンジンへ知らせなければ、登録できない。20~30の検索エンジンへ自動的に登録してくれるような、登録サイトの元締めもある。怪しげな検索エンジンの中には、メールアドレスの収集を目的にしたものがある。サイト登録で集めたアドレスを売却するのだ。

私は、サイト登録にYahooの無料メールアドレスを使った。このアドレスへ、日に30~40通もの雑多な迷惑メールが届くようになった。そのアドレスを解約した途端に、迷惑メールの数が劇的に減った。
9月に、アメリカのYahooから5億人分の個人情報が流出した、というニュースが報道された。複数のメールアドレスを持ち、必要に応じてアドレスの解約を行うことの重要性が、ここからも分かる。

* * * * * * * *

私は、金融機関に登録してあるメールアドレスを、他では使わない。金銭搾取をねらった、なりすましメールに対する対策として、これは極めて有効だ。金融機関からのお知らせのように装っていても、宛先のメールアドレスが友だち用アドレスならば、なりすましであることがすぐに分かる。
企業の皆さんは、社内用と社外用のアドレスを持つことによって、社内メールを装ったなりすましメールを、容易に見破ることができる。 ぜひ実行していただきたい。ただし、社内のサーバーへ侵入されて、社内用アドレスを盗まれてしまえば、この対策には効果がなくなる。

なりすましメールには、ランサムウェアだけではなく、 本文に書かれているURLをクリックさせて、偽の金融機関・クレジット会社・企業サイトへ誘導し、暗証番号などの個人情報を盗み取るフィッシングがある。これを避けるには、URLを不注意にクリックしないことが、大事になる。

対策3:パソコンをクリーンに

不要ファイルの削除は、パソコンの動きを速く保つためだけに必要なのではない。

侵入したウイルスやスパイなどのマルウェアが、パソコンのどこに潜んでいるのかを、普通は知ることができない。それどころか、上記のフランス人の友だちのように、パソコンが感染していても、感染を疑わないのがむしろ普通だ。 自分が感染源になっていることを知らない人たちの多いことが、感染の急拡大を助けている。

例えマルウェアが潜伏していても、潜伏箇所は分からないが、運が良ければ、不要なファイルやクッキーの削除によって、マルウェアのいくつかを除去できる可能性がある。

ウイルスソフトだけをセキュリティ対策に加えるのではなく、クリーニングやデフラグメンテーションを行うソフトも、加えたい。 万全を期すためには、考えられるあらゆる対策が必要になる。クリーニングのためによく使われている無料ソフトに、Glary Utilitiesがある。このようなソフトを使って、ゴミだけではなく、マルウェアの掃除を怠らないことが肝要だ。


追記:執拗な攻撃、なりすましメール

2017年4月9日

2016年11月15日を最後に、送られなくなったなりすましメール。ハッカーが、私の書いたエッセイを読んでいるとは思えないが、偶然の一致にしてはできすぎていた。安心をしていたら、今年に入って再びなりすましメールによる攻撃が始まった。

1月22通、2月7通、3月2通、今月は、今までに4通のなりすましメールが送られてきた。 常時ではなく、標的が油断した頃合いを見計らって攻撃しているようだ。上に書いたテクニックに加えて、注意深い計算をしていることから、ハッカーはなりすましのプロと考えたほうがいい。

* * * * * * * *

要件、送付のタイミング、送受信者のメールアドレスなどは、2月まではそれまでとほぼ同じだった。同じハッカーが攻撃を繰り返していることは、確実と思われる。ただし、 今までとは異なり、具体的な企業になりすましたメールが3通あった。1通はヤマト運輸を語り、他の2通はDHLの連絡メールのように見せかけていた。DHLのなりすましメールは英語で書かれていた。

ZIPで圧縮された添付ファイルから、ウイルスを検出したので、感染ファイルを駆除したという内容のメールが、契約しているサーバーから2月末に届いた。ただし、今年に入ってから駆除された感染ファイルは、3通しかない。このことからも、ウイルス検出が容易ではないことが分かる。 セキュリティソフトに頼るのではなく、ユーザーの注意が最も大事なことを、肝に銘じておきたい。

* * * * * * * *

なりすましになかなか引っかからない標的には、ハッカーが作戦を変えるようだ。3月以降のなりすましメールは、ビジネスに関係した内容ではなく、個人的な興味を引くような内容になっている。 件名を以下に示す。

「単に最高の場所」、「素敵な音楽」、「Re:行ったことがありますか。」、「Re:クールなもの」、「招待」、「Re:あなたの助けを必要と」

これらのメールには添付ファイルがなく、テキスト中のURLをクリックさせて、なりすましサイトへ誘導することを意図している。URLをクリックすると、マルウエアが、感染サイトから標的のパソコンへ感染する可能性が、高い。

* * * * * * * *

3月以降のなりすましメールは、ハッカーが、メールユーザーの人間関係を心得た上で、攻撃することを示している。

全てのなりすましメールで、差出人のメールアドレスが以下のようになっていた。受信者名は私のフルネームだ。

xxx xxx <ooo.ooo@numericable.fr>

xxx xxxは、上に書いた私のフランス人の友だちの名前で、ooo.oooは、その友だちのチェコ人の名前だ。 両名ともここでは伏せた。 受信者である私が、xxx xxxという名前を見て、友だちからのメールと判断することを、ハッカーは期待している。ところが、メールアドレスのooo.ooo@numericable.frは、別の人のアドレスなのだ。

このメールアドレスは、1年前まで実在していた。 私が、xxx xxxに、彼のパソコンがウイルス感染していることを教えてから、半信半疑ながらも、xxx xxxは、やり取りしたメールをいろいろ調べた。その結果、感染がooo.oooにまで広がっていることが分かり、そのことをooo.oooに知らせた。ooo.oooは、上のアドレスを1年前に解約した。

ハッカーは、私の名前とアドレスに加えて、xxx xxxとooo.oooの名前やアドレスも知っている。これら3人が知己であることを心得た上で、なりすましメールを送付している。ネットでは、個人情報がどこへでも流れ、それを悪用する人間が世界のどこかにいることを心得ていないと、自分だけでなく、他の人にまで想定外の迷惑をかけてしまう。

<和戸川 純>

Return to HP Return to Contents Go to Essay 53 Return to Essay 51

広告(Googleアドセンス)