Essay 52

メールを攻撃から守る方法

和戸川の関連書籍「サイバー世界戦争の深い闇
2016年11月8日
和戸川 純
メールを介した攻撃が激増

ヒラリー・クリントンが私的サーバーを介してやり取りしたメールが、ハッキングされた。それらがWikileaksで公開され、大統領選挙の前にFBIの捜査がクリントンに入るなどして、アメリカの政治を揺さぶった。アメリカの情報機関は、ロシア政府が関与した組織による攻撃、と判断しているが、ロシアは否定している。

政治的な攻撃を受けることのない個人でも、油断はできない。個人は個人で、ハッカーが欲しがる金銭を持っている。企業が保有する金額は、個人をはるかに上回る。

日本IBMによると、 ウイルスやスパイなどのマルウェアが埋め込まれたメールが、2016年の上半期に、1年前に比べて16倍も増えた。ZIPで圧縮された、感染ファイルが添付されたメールが、大半を占めた。ZIPで圧縮されていると、潜んでいるマルウェアをウイルスソフトが検出できない。そのファイルを開いた途端に、マルウェアがパソコンに潜入する。

マルウェアには、ランサムウェア(身代金要求型不正プログラム)が多かった。すなわち、 金銭を搾取することを目的にした攻撃メールが、とても多くなっている。 メールを介する攻撃は、他人のメールアドレスをまず取得しなければならず、その過程で取捨選択が働くので、標的を絞り込んだ標的型攻撃になる。誰もがメールを日常的に使っているので、標的になる危険が常に存在する。

* * * * * * * *

パソコン自体とブラウザをサイバー攻撃から防御する方法を、エッセイ46「Windows10のセキュリティ設定」 に書いた。ここでは、攻撃からメールを守る方法を具体的に書く。私の実体験に基づいた防御法だ。なお、私が使っているメールソフトは、Windows Liveメール(Outlook Express)ではなく、Mozilla Thunderbirdだ。

なりすましメールが来るようになった理由

金融機関に登録しているメールアドレスとは異なる、友だち用として使っているアドレスの1つが流出し、なりすましメールがそのアドレスへしばしば届くようになった。メールアドレスの流出元の友だちはフランス人。そう判断した理由は次の通りだ。

  1. この友だちが送ってくれた写真に潜んでいるウイルスを、私のウイルスソフトが何度も検出した。写真は圧縮されていなかった。
  2. この友だちが書いた、私とは無関係な内容のメールが、私にも届くようになった。
  3. 友だちが持っていないメールアドレスが、送信者のアドレスとして表示されるメールが、何通かあった。

彼のパソコンにウイルスが感染していることを知らせたが、カスペルスキーウイルスソフトがインストールされているので、感染などが起こるはずがない、という返事だった。 カスペルスキーはロシアの有名なウイルスソフトだ。 どのようなウイルスソフトを使っていても、ネットの中に完全なセキュリティは存在しない。それを理解していないと、この友だちのように、感染パソコンを使っていても感染に全く気づかない。

* * * * * * * *

フランスが流出元国なのに、なりすましメールの多くが日本語で書かれている。私のメールアドレスが.jpドメインなので、どこの国で流出しようとも、標的を絞り込むハッカーは、なりすましメールの標的を日本人にする。

なりすましメールの手口

このエッセイを書く目的で、10月の1か月間に受け取ったなりすましメールを、保存しておいた。これらのメールで、宛先になっているメールアドレスは、上記の流失したアドレスだ。 アドレスの@の前はユーザー名で、後がドメインになる。ユーザー名もドメインも、私のアドレスと完全に一致するメールが、大多数だった。ユーザー名だけが異なるメールが何通かあった。

差出人のアドレスは全てが.jpドメインだった。標的が日本人で、テキストを日本語で書いている。ハッカーが海外に住む外国人でも、疑われないように.jpドメインを使う。.jpドメインのアドレスを、外国人でも持つことができる。逆に、日本に住む日本人が、海外のドメインのアドレスを持つことができる。
これは公にアドレスを持つ場合の話だ。メールの差出人のアドレス表示だけならば、何とでも自由に書き換えられることを、頭に入れておきたい。新しいアドレスをわざわざ作るような手間をかける必要がないのだ。アドレスを見て、差出人を信じることのないようにしたい。

使われていたアドレスのドメンを次に示す。ハッカーが盗んだ、実在しているメールアドレスを使っている可能性があるので、ユーザー名を伏せる。ここに自分のドメインがあり、メールに怪しい気配を感じた皆さんは、感染を疑っていただきたい。

  • xxx@yahoo.co.jp、xxx@msc.biglobe.ne.jp、xxx@ksf.biglobe.ne.jp、xxx@kpb.biglobe.ne.jp、xxx@kss.biglobe.ne.jp、xxx@f5.dion.ne.jp、xxx@pearl.ocn.ne.jp、xxx@vanilla.ocn.ne.jp、xxx@muse.ocn.ne.jp、xxx@pastel.ocn.ne.jp、xxx@green.ocn.ne.jp、xxx@lily.ocn.ne.jp、xxx@k.vodafone.ne.jp、xxx@k.vodafone.ne.jp、xxx@da2.so-net.jp、xxx@aa2.so-net.jp、xxx@iris.eonet.ne.jp、xxx@dhl.co.jp、xxx@ybb.ne.jp

差出人のメールアドレスは、全てのメールで異なっていた。@の前のユーザー名が、日本名になっているものが多い。
私自身のメールアドレスが、差出人のアドレスになっているようなスパムメールを、何度も受け取ったことがある。これでは、いくら何でも相手をだますことはできない。10月のハッカーは、差出人のアドレスをもっと注意深く設定した。

送信者側でどのようにでも操作できる情報を基にして、なりすましかどうかの判断をするのは危険だ。受信者である自分の側で操作できることを根拠にして、判断しなければならない。

* * * * * * * *

10月に受け取ったなりすましメールは、全部で24通。怒涛のように押し寄せる単純な迷惑メールよりも、数がずっと少ない。ここからも、ハッカーが標的をかなり絞り込んでいることが、うかがえる。
13通のメールについて、送信日、件名、送信時刻、圧縮された添付ファイルの種類、そして本文を示す。 ハッカーが外国人ならば、以前は日本語がへたで、意味不明なメールが多かったが、最近は日本語がかなり上達している。それでも、日本人がやらないミスがある。

10月3日(月)
●「注文書の送付(2016.10.3)」17:28、ファイル
いつもお世話になっております。注文書を送付させていただきます。添付ファイルをご確認下さい。ご手配の程よろしくお願い申し上げます。

10月11日(火)
●「発注依頼書」9:03、PDFファイル
発注書が添付されてませんが来てますか?送ってください。
●「依頼書を」15:54、PDFファイル
いつもお世話になっております。備品発注依頼書を送付しますので、の印鑑を捺印の上備品発注依頼書を持参いただけますと幸いです。よろしくお願いいたします。

10月12日(水)
●「お支払いをしてください」8:53、docファイル
請求書が届き次第お支払いをしてください。お支払方法は、現金、クレジットカードまたはデビットカードにてお願いします。よろしくお願い申し上げます。
● 「納品依頼FAXを送信してください」13:49、ファイル
納品依頼FAXを送信してください。尚、送信前に必ずの承認サインをもらってください。宜しくお願いします。

10月17日(月)
●「写真ご送付いただきましてありがとうございます」9:02、png画像
いつもお世話になっております。写真ではいつもご迷惑をおかけしまして申し訳ありません。様写真お送りします。どうぞよろしくお願いします。
●「御請求書」12:23、ファイル
おつかれさまです。請求書・納品書・写真2枚が届いています。請求書、納品書はこちらで9末に支払いを進めます。
●「注文書・注文請書」20:28、docファイル
請求は指定用紙?確認して請求してください。

10月18日(火)
● 「支店口座に振込」9:20、docファイル
お世話になっております。成果報酬のお支払いについて連絡させて頂きます。

10月24日(月)
●「図面」12:36、画像
お世話になっております。日程変更がありましたらすぐお知らせ願います。何卒、宜しくお願い致します。

10月26日(水)
●「被害状況」9:27、jpg画像
交換部材など特定し見積り作成しご連絡致します。

10月31日(月)
●「添付写真について」8:13、jpg画像
いつもお世話になります。添付写真と同じの御見積をいただけませんか。よろしくお願いします。容量が大きい為、分けて送信致します。
● 「写真」11:09、画像
お世話になっております。写真でご確認ください。取り直しお願いします。

* * * * * * * *

差出人のメールアドレスに同じものはないので、表面的にはメールの数だけハッカーがいることになる。けれども、上のパターンから、ハッカーは1人か、複数でも人数は少ないと思われる。

24通中の22通が、月~水曜日の間に送信された。送信は朝に多く、昼前後と夕方にもピークがある。ハッカーは、他の仕事との兼ね合いを見ながら、なりすましメールを送信しているようだ。
毎回、件名・本文・自分のメールアドレスを変えていることから、受信者をだますだけではなく、自分を探り出せないように、非常に注意深い作業をやっていることが分かる。そこが、単なる迷惑メールの送信者とは異なる。

全メールに、ZIPで圧縮されたファイルや画像が添付されている。それらを開ければ、金銭搾取か、情報搾取か、別の意図でのパソコン乗っ取りかが分かるが、そこまでのリスクを私は負わない。 皆さんも、決して余計なリスクを負わないでいただきたい。

対策1:パソコンを使い分ける

メールを扱うパソコンと、他の作業に使うパソコンを物理的に分けることが、最も簡単かつ効果的な防御法になる。メール専用のパソコンには、失っては困るデータや、重要な個人情報を保存しない。送受信したメールを外づけのハードディスクに保存すれば、メール専用パソコンにはアカウント設定しか残らない。

ランダムなウェブサイト検索でも、アクセスした感染サイトを介して、マルウェアが感染する危険があるので、メール専用パソコンを検索にも使えば、全体的なセキュリティが高まる。

ランサムウェアの感染によって、パソコンにロックがかけられたり、ファイルが暗号化されたりする。「身代金を払えば元の状態に戻します」、と書かれた画面が現れる。送金方法が示される。指示通りに身代金を払っても、何も起こらない場合が多い。身代金だけを取られる。

ランサムウェアによってファイルが暗号化されたならば、ディスクを初期化し、OSを再インストールすることによってパソコンの機能を回復できる。パソコンにロックをかけられ、パソコン自体が使用不能になった場合、そのパソコンを廃棄処分にする。身代金の要求額は、300~1万ドル程度と言われる。身代金を支払っても機能が回復する可能性は小さいので、安いパソコンを購入したほうがいい。

トレンドマイクロ社などが、ランサムウェア復号ツールを無料で配布している。ランサムウェアで暗号化されたファイルの復元ができるが、一部のランサムウェアプログラムにしか対応していない。

対策2:メールアドレスを使い分ける

メールアドレスをいくつか持ち、作業毎に使い分ける。

ウェブ管理者は、自サイトへのアクセスが多くなるように、検索エンジンへ自分のサイトを登録する。登録者は、自分のメールアドレスを検索エンジンへ知らせなければ、登録できない。20~30の検索エンジンへ自動的に登録してくれるような、登録サイトの元締めがある。怪しげな検索エンジンの中には、メールアドレスの収集を目的にしたものがある。サイト登録で集めたアドレスを売却するのだ。

私は、サイト登録にYahooの無料メールアドレスを使った。このアドレスへ、日に30~40通もの雑多な迷惑メールが届くようになった。そのアドレスを解約した途端に、迷惑メールの数が劇的に減った。
9月に、アメリカのYahooから5億人分の個人情報が流出した、というニュースが報道された。複数のメールアドレスを持ち、必要に応じてアドレスの解約を行うことの重要性が、ここからも分かる。

* * * * * * * *

私は、金融機関に登録してあるメールアドレスを、他では使わない。金銭搾取をねらった、なりすましメールに対する対策として、これは極めて有効だ。金融機関からのお知らせのように装っていても、宛先のメールアドレスが友だち用アドレスならば、なりすましであることがすぐに分かる。
企業の皆さんは、社内用と社外用のアドレスを持つことによって、社内メールを装ったなりすましメールを、容易に見破ることができる。 ぜひ実行していただきたい。ただし、社内のサーバーへ侵入されて、社内用アドレスを盗まれてしまえば、この対策には効果がなくなる。

なりすましメールには、ランサムウェアだけではなく、 本文に書かれているURLをクリックさせて、偽の金融機関・クレジット会社・企業サイトへ誘導し、暗証番号などの個人情報を盗み取るフィッシングがある。これを避けるには、URLを不注意にクリックしないことが、大事になる。

対策3:パソコンをクリーンに

不要ファイルの削除は、パソコンの動きを速く保つためだけに必要なのではない。

侵入したウイルスやスパイなどのマルウェアが、パソコンのどこに潜んでいるのかを、普通は知ることができない。それどころか、上記のフランス人の友だちのように、パソコンが感染していても、感染を疑わないのがむしろ普通だ。 自分が感染源になっていることを知らない人たちの多いことが、感染の急拡大を助けている。

例えマルウェアが潜伏していても、潜伏箇所は分からないが、運が良ければ、不要なファイルやクッキーの削除によって、マルウェアのいくつかを除去できる可能性がある。

ウイルスソフトだけをセキュリティ対策に加えるのではなく、クリーニングやデフラグメンテーションを行うソフトも、使いたい。 万全を期すために、考えられるあらゆる対策が必要になる。クリーニングのためによく使われている無料ソフトに、Glary Utilitiesがある。このようなソフトを使って、ゴミだけではなく、マルウェアの掃除を怠らないことが肝要だ。


広告(Googleアドセンス)