「不審なメール」は、もはや不審には見えない

オピニオン

2018/07/29 17:00

【日高彰の業界を斬る・23】「不審なメールは開かない」「怪しいサイトには近づかない」……セキュリティの基本として、企業や学校でこのような注意喚起が行われる機会は多い。サイバー攻撃による情報漏えい事件のニュースが毎日のように報じられていることから、日々新たな攻撃の手法が生まれているかのような感覚があるが、それらのニュースや事故報告書をよく確認してみると、実際にはメールの添付ファイルや、マルウェアを仕込んだウェブサイトへの誘導といった、古典的な手口が今でも盛んに用いられている。

 不審なメールを開くな、と多くの人が聞き飽きるほど耳にしているにもかかわらず、なぜ今になっても少なからず被害が発生してしまうのか。その原因として、サイバー攻撃に用いられるメールは「不審」なものなのだ、という思い込みがあるのではないか。

 大手ITベンダーや金融機関で構成される日本サイバー犯罪対策センターは7月25日、楽天カードを装った攻撃メールに関する情報を公開した。メールの件名は「【重要】定期的なID・パスワード変更のお願い/コンピュータウイルスにご注意を」で、本文はクレジットカードの不正利用や、アカウントの不正ログインへの注意を呼びかける内容だが、そこに含まれるリンクをクリックすると、危険なファイルをダウンロードさせるウェブサイトへ誘導させられるというものだ。同内容のメールは昨年から複数回にわたってばらまかれているようなので、実際に受け取ったことがある人も多いだろう。
 
楽天カードによる注意喚起を装った攻撃メール

 筆者の元にもまったく同じメールが届いたので、検証用の環境でこれを調べてみた。差出人のアドレスには「rakuten」の文字列が含まれるが、ドメインは同社のものではない。また、リンクの文字列は「http://rakuten-card.co.jp/」で始まっているが、その上にマウスポインタを乗せてみると、実際に飛ばされる先のサイトはやはり楽天と無関係なドメインだ。リンクに添えられた一言も「もっと詳しくの情報はこちら」という、日本語表現として不自然なもの。不正サイトへの誘導方法としては低レベルなものだ。
 
楽天と見せかけて実際のリンク先(画像左下)は無関係なサイト

 ただし、それ以外の本文におかしな日本語はなく、内容もまっとうなもの。これが「不審なメール」だと知ってから目を通せば、危険な兆候をいくらでも発見できるが、ITの深い知識をもたないユーザーがこれをみて、即座に「不審だ」と判断することは、現実には難しいのではないか。

 リンクをクリックすると、「もっと詳しくの情報はこちら.PDF.js」というファイルのダウンロードが促される。よく読めばこれはPDFの文書ファイルではなく、PCに何かの処理をさせようとするスクリプトであることがわかるが、すべてのPCユーザーにこれを判別せよ、というのも難しい。
 
スクリプトをPDFと勘違いさせようとする手口も実に古典的だ
 
ファイル名に「.pdf」を含むが、実際にはスクリプト

 儲け話やアダルト情報を装った攻撃メールや、あからさまにカード番号などを聞き出そうとするフィッシングサイトなら、誰でも「不審」さを感じることができるだろう。しかし、今回のメールは一般的なセキュリティ情報の範囲で、過度に不安をあおるような内容でもない。「不審なメールは開かない」という注意喚起だけで、このメールによる攻撃を防ぐことはできないだろう。

 ちなみに、もしこのままスクリプトをダウンロードして、実行しようとした場合どうなるか。Windows 10April 2018 Update)でセキュリティ更新をすべて適用し、Windows Defenderの定義ファイル(日本時間7月27日時点)も最新にした状態でスクリプトのファイルを開いたところ、Windowsのセキュリティ機能で実行はブロックされ、ファイルは自動的に削除された。
 
Windows 10の標準機能でスクリプトの実行はブロックされた
 
スクリプトの中身は、他のプログラムをダウンロードさせるものだった

 すべての危険をこのように検知できるとは限らないが、少なくとも一般ユーザーの個人のレベルでは、システムを常に最新の状態に保つことが基本中の基本であることは間違いない。

 また、サイバー攻撃の対象はPCではなくスマートフォンにも広がっているが、ここでも攻撃の手法は、ユーザーを偽サイトへ誘導し不正アプリをダウンロードさせるといった古典的なものが中心。しかし、偽サイトの“品質”は向上を続けており、「不審」さを感じさせないものも増えている。「怪しいサイト」を見てはいけないという注意だけでは、危険から逃れることはできなくなっている。
 
大手運送会社を装った、Android向け不正アプリのダウンロードサイト

 もちろん、セキュリティは人の意識と技術の両輪で守っていくものなので、今後もユーザーに対する注意喚起は必要だ。ただ、「不審な」「怪しい」コンテンツを避けるべきという呼びかけは、もはや通用しない時代ではないか。不審なものに危険が潜むのは当然だが、不審でないから安全という理屈は成り立たない。「攻撃メール=不審なメール」という思い込みからは脱却する必要がある。(BCN・日高 彰)