スピアフィッシング攻撃の手法

スピアフィッシング攻撃は、主にメールを利用して実行されます。通常のフィッシングメールは、実在する企業などを装って不特定多数に向けて送信されるのに対し、スピアフィッシング攻撃で送られてくるメールは、攻撃対象の知り合いや会社の上司、同僚などを装って、あたかも被害者個人宛てのメールのように見せかけるという特徴があります。

スピアフィッシング攻撃では、攻撃対象に「これは不特定多数宛てなどではなく、自分宛てのメールだ」と思わせるために、攻撃メールを送る前にソーシャルエンジニアリング（電話で個人情報を聞き出したり、ゴミ箱を漁って情報を盗み取ったりなど、IT技術を使わずに情報を窃取する攻撃） などによって、攻撃対象に関する個人的な情報を収集します。集めた情報をもとにして、攻撃対象に信頼できるメールだと誤認させるような偽装を行うのです。

不信感を抱かせないようにしながら、攻撃対象をマルウェアに感染させたり、クレジットカード番号などの個人情報を窃取するためのフィッシングサイトへアクセスさせたりします。これらの攻撃は、メールに攻撃用のファイルを添付したり、メール本文にフィッシングサイトのURLを記載したりすることで実行されます。

テレワークによってやり取りするメールの量が増えている昨今、企業の関係各社や知人に巧妙になりすますスピアフィッシング攻撃は、大きな脅威となっています。

巧妙に偽装された添付ファイルの手法

送信者やタイトル、本文に対して、不信感を抱きにくい工夫がなされているスピアフィッシングメールですが、添付ファイルや記載されたURLを開かなければ、実際の被害を受けることはありません。

しかし、スピアフィッシング攻撃では、メールの添付ファイルにも、巧妙に正体を隠す技法が使用されているのです。

アイコンの偽装

マルウェアは、実行ファイル形式（.exe）で動作するものが多く見られます。このようなファイルは、多くの場合プログラム特有のアイコンで表示されますが、スピアフィッシング攻撃はアイコンをテキストファイルやword文書などの、見慣れたアイコンに偽装することがあります。

実行ファイルは、プログラムの作成時にアイコンを自由に設定することができます。また、既に存在しているファイルのアイコンのみを差し替える技術も存在していることから、アイコンだけを見てファイルの種類を特定することは困難です。

利用者の心理として、知人や会社の関係者を名乗る人物から見慣れた形式のファイルが送られてきた場合に、油断してファイルを開いてしまう、という部分を突いた攻撃だと言えます。

拡張子の偽装

アイコンだけではなく、添付ファイルの拡張子も偽装されている可能性があります。

拡張子の偽装で頻繁に用いられるのが、「RLO（Right-to-Left Override）」というUnicodeの制御文字を使った手法です。

RLO（Right-to-Left Override）は、この制御文字以降の文字の流れを、日本語や英語で使用されている左から右の流れから、右から左の流れに書き換える機能があります。本来は、右から左に記述するアラビア文字などに対応するために用意された制御機能です。

このRLOを悪用することで、実際には.exeという拡張子の実行ファイルを、他の拡張子のファイルであるかのように見せかけることができます。

例えば、悪意のある実行ファイル「readmefdp.exe」があるとします。このファイル名に、「readme＜RLO＞fdp.exe」という位置でRLOを挿入することで、コンピュータ上では「readmeexe.pdf」という名前で表示されるようになります。

表示上は「.pdf」となっていても、ファイルの種類はPDF形式になるわけではなく、実行ファイルのままです。そのため、ファイルを開いてしまうと、マルウェアや悪意のあるスクリプトなどが実行されてしまいます。

このようにファイル名を偽装した実行ファイルが、前述の手法によってアイコンもPDFのものに偽装していると、被害者が攻撃ファイルであることに気づくことは、非常に困難になります。

URLの文字を偽装するIDNホモグラフ攻撃

偽装されるのは、添付ファイルだけではありません。スピアフィッシング攻撃において、メール本文内のURLも、巧妙に偽装されている可能性があります。

URLの偽装に大きく関わっているのが、2003年頃から実用化された、「国際化ドメイン名（IDN）」の仕組みです。

国際化ドメイン名とは、インターネットのドメイン名において、従来使用されてきたアルファベットや数字に加えて、漢字やアラビア文字、キリル文字などの様々な言語を使用できるようにする仕組みです。これにより、ドメイン名に使用できる文字が格段に増えました。

グローバルに様々なドメイン名を利用できるようにすることを目的に開始した国際化ドメイン名ですが、この「様々な言語の文字をドメイン名に使用できる」という特徴を悪用した、似通った文字を使ってURLを偽装する「IDNホモグラフ攻撃」が、スピアフィッシング攻撃において、しばしば用いられています。

従来のホモグラフ攻撃では、「アルファベットのＯ（オー）」と「数字の0（ゼロ）」を混ぜたり、「小文字のｌ（エル）」と「大文字のＩ（アイ）」を混ぜる手法などが一般的でした。

IDNホモグラフ攻撃では更に、「アルファベット小文字のa（エー）」と「日本語全角アルファベットのａ（エー）」を混ぜたり、「アルファベット小文字のo（オー）」と「ギリシア小文字のο（オミクロン）」を混ぜたりと、じっくり見比べてもなかなか気づきにくい偽装が施されています。

IDNホモグラフ攻撃の手法によって、業務で利用しているファイル共有サービスやグループウェアのURLを装ったメールが届くと、一見して不審な点に気づきにくいことから、警戒せずにリンクを開いてしまう危険性があります。

スピアフィッシング攻撃への対策

ここまでご紹介してきたように、通常の不特定多数を狙ったフィッシング攻撃と比べて、スピアフィッシング攻撃は攻撃対象が騙されやすいように、狙いを定めてより巧妙に偽装するという特徴があります。

そのため、メールのセキュリティ対策ソフトの利用だけではなく、従業員への攻撃手法の周知徹底や、特定のURLへのアクセスを防ぐ「URLフィルタリング」など、様々な対策を多層的に行うことが、被害を最小限に抑えることに繋がります。

すぐに始められる対策として、従業員に従来の見分けやすいフィッシング攻撃とは異なる、スピアフィッシング攻撃の存在を周知することが大切です。