フィッシングメールによく使われるタイトルとは?

”フィッシング詐欺”として知られる典型的なサイバー攻撃の手法である「フィッシング攻撃」が、進化を続けています。内容が更に巧妙になり、ユーザーが開封するのを促すフィッシングメールについて見ていきます。

たった1回のミスを狙うフィッシング攻撃…分かっていても被害を受けてしまう脅威的な手法


皆さんのEメール受信ボックスには、誰かがフィッシング攻撃をしようとしている「試み」が常に存在しています。問題は、誰がフィッシングメールを送るのかではなく、皆さんが騙されずにやり過ごせるか、です。

とても古い手法のように思われますが、フィッシング攻撃は進化を続けています。技術的な面でもそうですが、ユーザーを惑わせる方法においても同様です。セキュリティ意識がほぼ皆無なユーザーだけが、フィッシング攻撃の被害を受ける訳ではありません。例えサイバーセキュリティ専門家であったとしても、少し気を取られたその瞬間、フィッシング攻撃に遭ってしまう可能性があります。可能な限り日々の業務を迅速に処理し、生産性を上げようとする一般の会社員の場合、新着Eメールを見るとすぐにクリックして開封してしまいがちです。

最近では、フィッシングメールが受信ボックスにあっても不思議ではない「身近な存在」になっており、一般ユーザーもフィッシングメールに慣れています。しかし、ユーザーの好奇心や、反射的な習慣、それ自体を利用したフィッシングメールを無視したり、いかにも「もっともらしい」メールをクリックしないように正しい判断が常にできるでしょうか?

これがフィッシングメールは、ユーザーの怖さであり、フィッシング攻撃を防ぐ技術がいくら発展しても、変わらずフィッシング攻撃が成立する理由です。アメリカのサイバーセキュリティ会社が18か月間に渡り、送信された数千から数万件のフィッシングメールの分析を実施しました。特にどのようなタイトルでユーザーを”誘惑”しようとするのか調べた結果、金銭と関連する内容と、急を要する状況、といった風に接近してくるものが多かったと言います。

標的型攻撃メールも増加している

フィッシングメールと関連して、標的型攻撃メールも拡大傾向にあります。標的型メールとは、攻撃対象を特定の組織、ユーザーに絞って攻撃を仕掛けようとするメールです。警視庁が定期的に発表している「サイバー空間をめぐる脅威の情勢について」によると、2017年に報告された標的型メール攻撃の件数は約6,000件と、過去最多を記録しました。

標的型攻撃とは 巧妙な文面、防御難しく
▼標的型攻撃 特定人物に電子メールを送り、ウイルスが添付されたファイルやリンク先を開かせ、相手のパソコンを乗っ取るサイバー攻撃の手法。攻撃者はそこから周囲のネットワークに侵入し、情報の詐取や破壊活動につなげる。警視庁が2017年に把握した標的型攻撃は6027件と、前年の1.5倍で過去最多だった。
https://www.nikkei.com/article/DGXMZO35447450X10C18A9NN1000/

平成29年中におけるサイバー空間をめぐる脅威の情勢等について
https://www.npa.go.jp/publications/statistics/cybersecurity/data/H29_cyber_jousei.pdf

2016年には大手旅行会社が標的型攻撃メールにより、793万件にも及ぶ個人情報が流出した事件がありました。取引先の航空会社系列企業からのメールを装い、署名は実在する取引先の会社名・部署と担当者名のものを使っていたと言います。

JTB個人情報793万件流出か?…標的型攻撃の巧妙な手口
https://www.yomiuri.co.jp/science/goshinjyutsu/20160615-OYT8T50004.html

このように、サイバー攻撃者達の「ユーザーの心理面を突く攻撃方法」が、より精密になってきていることが分かります。攻撃しようとする対象が、どのようなメールなら開封する確立がより高まるか、確実に理解を深めています。そのユーザーが従事している業界内の専門用語や略語なども使いながら、ユーザーの警戒心を解かせようとします。

「本物」のようなフィッシングメール


更に巧妙になってきているフィッシングメールですが、よく使われるタイトルとして、金銭関連、ログイン情報関連、通販関連などが挙げられます。実在する実際の企業を装い、偽装サイトへと誘導し情報を盗み出そうとします。

・「重要:至急確認してください。」など、急がせる内容
ユーザーがメールをクリックする前に1秒でも考える時間があれば、それはサイバー攻撃者達にとって不利に働きます。ユーザーができるだけ早く決定を下すように仕向けるように、このようなタイトルを使用します。

・領収書/請求書など
金銭的な内容が最も人の好奇心を刺激する、と言えます。金銭というものがどれだけ強力な動機であるか、が見て取れます。サイバー攻撃者達もこの部分をよく理解しているからこそ、このようなタイトルを好んで使用します。似たようなタイトルとして「返金完了」「送金完了」などがあります。自分にお金が戻ってくるというタイトルは、多くのユーザーがまずクリックしてみる為です。

・銀行名、取引先企業名など
一般職員を狙うフィッシング攻撃以外に、企業や組織の経営陣を狙うフィッシング攻撃もあります。このようなフィッシングメールは特にしっかりとした文法を使用し、更に専門的な内容を含んでいます。フィッシングメールの精度を上げる為、より多くの時間を準備に投資しています。よって本質的には同じフィッシング攻撃でも、CEOを狙う攻撃とそうでない攻撃は一般的に区別されます。特に運営陣を狙うフィッシング攻撃は「ホエーリング攻撃(whaling attack)」と呼ばれます。

より高い職位にあるユーザーを狙うサイバー攻撃者は、フィッシングメールを最大限本物のように装います。企業が実際に取引している銀行の名前をタイトルに入れる事も、方法の内の一つです。同じ「重要」というタイトルでも、実際の取引銀行の名前が付いていればより本物さが増します。取引銀行がどのように顧客へメッセージを送っているのかを研究、調査し、文章や雰囲気を真似て本文を作成すれば、まるで本物のようなメールを作ることが可能となります。

他にもAmazonやApple、Adobeからのお知らせを装うフィッシングメールも数多く報告されています。各企業も注意喚起しており、不用意に添付ファイルを開いたり、本文中のリンクを踏まないよう注意することが重要です。