やり取り型攻撃は後から脅威がやって来ます

電子メールによって、自社の提供している製品や、サービスに対する問い合わせを受けたら、担当者としては無視できません。

その対応が、今後の自社の評価と、売上にも影響する可能性があります。そのため、丁寧な対応を行う必要がありますし、質問に対しても、誠意のある受け答えをしなければいけません。

それでは、その後のやり取りによって、何が問題であるかが判明したため、顧客の購入した製品の現状を撮影した画像と、これに関する問題点が記載されたファイルを圧縮したものが添付されたメールが送信されてきたら、どうするべきでしょうか?さらに、その圧縮されているファイルが、自社のパソコンでは、中身を確認することができなかった場合には、どうすべきでしょうか?

丁寧な対応を心がける、という観点からすれば、そのファイルを送信してきたユーザーに対して、受け取ったファイルが開かないため、中身を確認することができなかったことを伝える必要があります。

すると、相手から、どのような圧縮方式で作成したファイルであれば、中身を閲覧できるのかを、聞いてきたらどうすべでしょうか?

この段階で、そのような問い合わせに答えない選択肢は、存在しないように思えます。

しかし、それは「やり取り型攻撃」を仕掛ける際に利用する巧妙なワナかもしれません。

やり取り型攻撃とは?

やり取り型攻撃とは、最初は、ありふれた内容のメッセージで、添付ファイルのないメールを送信して、攻撃対象の「偵察」を行いながら、相手の信頼を獲得します。

そして、最終的には、マルウエア(不正プログラム)を添付したメールを送信して、信頼した相手が、それを開くように仕向ける形態の標的型サイバー攻撃です。

最初から、怪しいプログラムを添付したメールを送信して、疑われることを避けるために、このような手法が考案されました。

特に、企業や、公共機関のように、見ず知らずの相手からのメールであっても、無視できない立場にあるところが、標的になりやすいようです。

添付したファイルが、受信した側のセキュリティ対策によって、届かないときや、圧縮方式の違いによって、不正プログラムを感染させることができない場合は次の手を打ちます。

例えば、全く別の形式で作成された不正プログラムを、再度送信したり、それまでの偵察段階で信頼を得た担当者に対して、使用している圧縮形式などを質問したり、というような手法です。

そのマルウエアが感染するまでは、手を替え品を替えて、何度もしつようにやり取りを繰り返すことになります。

この場合、暗号化して、セキュリティ対策ソフトの監視を回避するために、パスワード付きの圧縮ファイルを添付する割合が多いようです。

やり取り型攻撃、対策はあるの?

添付ファイルのあるメールを受信した場合には、それをすぐに開くのではなく、ネットワーク管理者にそのまま渡して、安全であるかを確認する必要があります。

この場合、ネットワークとは遮断された環境にあるパソコンにおいて、ファイルを解凍しても問題がないのかをチェックすることが必要です。

特に、これまで全く自社と関係のない相手から届いたメールには、要注意です。

最初から、怪しい内容のメールであれば、すぐに送信した相手を疑うことになります。

しかし、それを回避するために、最初から正体を表さないところが、この攻撃方法の特徴です。

ある程度、パソコンに慣れていなければ、送信するファイルを暗号化するようなことを、思いつく可能性は低いと思います。

届いたメッセージの内容と、メールをやり取りする際に予想できるコンピューター技術の習熟度を、総合的に判断すれば、自ずと明確になる部分ではないでしょうか?

やり取り型攻撃は巧妙

このように巧妙な手法であるため、最悪のケースを想定して、ネットワークを細かく分離するなどの対応も、必要になると思われます。

例えば、ユーザーと対応する際に、その窓口となる部署が利用するネットワークと、その他の部署の利用するネットワークを、完全に分離する方法です。

できれば、ユーザーからのメールを受信する端末を、1台に限定することが望まれます。そして、その一台だけは、他のものよりも、厳重なマルウエア対策をとる必要があるでしょう。

しかし、重要なのは、このように巧妙な攻撃方法が、世の中に存在していることを、各機関の担当者が知ることです。