MailData

悪意のあるメールの添付ファイルとは?

悪意のあるメールの添付ファイルとは?

コンピュータを攻撃する添付ファイル

2023年6月9日
著者: Ahona Rudra
翻訳: 高峯 涼夏

この記事はPowerDMARCのブログ記事 What are Malicious Email Attachments? の翻訳です。
Spelldataは、PowerDMARCの日本代理店です。
この記事は、PowerDMARCの許可を得て、翻訳しています。

悪意のあるメール添付ファイルは、マルウェアを拡散させる最も一般的な方法の一つです。
悪意のある添付ファイルは、重要文書、請求書、広告などと偽装されることがあります。

これらのメールには、添付ファイルをダウンロードして閲覧または印刷するよう促すメッセージがしばしば含まれています。
これによってユーザを騙し、悪意のあるファイルを開かせて、マルウェア(ランサムウェアなど)に感染させようとします。

メールはサイバーセキュリティ攻撃で頻繁に利用されています。
米国のCISA(Cybersecurity and Infrastructure Security Agency)は、ほとんどのユーザが不正なメール添付ファイルを開いて実行することでウイルスに感染すると述べています。
この組織は、ハッカーが悪意のあるメール添付ファイルを開くことで、あなたのクレジットカード情報を盗んだり、ファイルを変更したり、さらに悪いことをしたりすることができると言っています。

ここでは、悪意のあるメール添付ファイルとは何か、どのメール添付ファイルが安全に開けるのかについて、知っておく必要がある情報をご紹介します。

なぜ人々は悪意のあるメール添付ファイルを作成するのか?

悪意のあるメール添付ファイルを作成する理由は多々ありますが、それらはすべて次の3つのカテゴリのいずれかに分類されます。

有害な性質を持つメール添付ファイルの問題点

メールの添付ファイルを介して拡散するマルウェアは後を絶ちません。
現在では、感染プロセスの一部として添付ファイルを含まない、新しいマルウェアの亜種はほとんどありません。

悪意のあるメール添付ファイルは多くの形態を持ち、さまざまな悪意のある目的に使用されます。
これには以下のようなものが含まれます。

フィッシング詐欺
信頼できる情報源からのメールに見せかけ、リンクや添付ファイルをつけてフィッシングサイトに誘導し、ログイン情報やその他の個人情報を入力させ、それをサイバー犯罪者が盗み、詐欺や個人情報窃盗に利用するというものです。
スピアフィッシングのような多くの種類のフィッシングは、このようなメールを通じて行われます。
しかしながら、このような攻撃の被害から身を守るために、いくつかの具体的な指標を確認することができます。
また、適切なDMARCポリシーは、これらの攻撃からあなたを守ることができます。
ウイルス
被害者のコンピュータにウイルスをインストールするリンクや添付ファイルを含むメールです。
スパイウェア
コンピュータの使用状況を監視し、ユーザとユーザが閲覧したWebサイトに関する情報を収集し、攻撃者に送り返す悪意のあるソフトウェアです。
また、アドレス帳からスパムや不要なメールを送信することもあります。
アドウェア
ユーザが知らないうちにコンピュータに不要な広告をインストールする広告詐欺の一種です。
これらの広告は非常に削除が困難で、PCのパフォーマンスを大幅に低下させる可能性があります。
ボットネット
ハッカーがスパムの送信やサイバー攻撃などの悪意のある目的で遠隔操作する、マルウェアに感染したコンピュータネットワークのことです。

悪意のあるメールの仕組みとは?

悪意のあるメール添付ファイルの目的は、ユーザのコンピュータを攻撃することです。
これらの悪意のあるメールには、文書、PDF、ファイル、またはボイスメールのように見える添付ファイルが含まれていることがあります。
攻撃者はこれらのファイルをメールに添付し、データを盗んだり破壊したりするマルウェアを拡散させる可能性があります。

これらの感染の一部は、攻撃者が被害者のコンピュータにアクセスし、画面を見たり、キーボード入力を記録したり、他のネットワークシステムにアクセスしたりすることを可能にします。
攻撃者は、exploitと呼ばれるソフトウェアの一部を、Microsoft Word文書、ZIPまたはRARファイル、Adobe PDF文書、または画像やビデオファイルなどのよく送られるファイルの中に隠します。
これは、多くのメールシステムが明らかに危険なアプリケーションを自動的にブロックするためです。

exploitは、ソフトウェアの欠陥を利用して、ペイロード(パケットにおけるデータ本体。ここでは、意図的な悪意のあるソフトウェア)をマシンにダウンロードします。
攻撃者はまた、文書に悪意のあるマクロを組み込み、ソーシャルエンジニアリングを利用してユーザに「コンテンツを有効にする」ボタンをクリックさせ、マクロを実行し被害者のコンピュータに感染させることができます。

訳注:ソーシャルエンジニアリングとは、人の心理的な隙やミスにつけ込んで情報を入手する手法を指します。

攻撃者は、ユーザが公式な文書を受け取っていると感じるような説得力のあるメール内容と共に、頻繁にこれらのメール添付ファイルを送信します。

いくつかの危険なメール添付ファイルの種類

ISOファイル
ISOファイルはディスクイメージで、コンピュータ上で仮想ドライブを作成するために使用されます。
EXEファイル
実行可能ファイル(Executable files)は、インストールせずにコンピュータで実行できるプログラムを含んでいます。
これらは通常、設定を変更したり、データを削除したりするウイルスと関連しています。
インストーラ
MSIは、マルウェアのインストールにも使用されるインストーラパッケージのファイル形式です。
圧縮ファイル
圧縮ファイルは通常、元のサイズよりも小さいため、メールで送信しやすくなっています。
また、容量が小さくなるため、怪しいファイルを添付することも可能です。
PDFファイル(※)
PDFファイルには、JavaScriptを埋め込む機能やファイルを埋め込む機能があり、そのことが悪意あるプログラムを実行可能とする脆弱性となっています。
Palo Alto NetworksのUnit42によると、メールによって配送されたマルウェアの2/3はPDFによってです。

※Palo Alto Networksの最新レポートのデータを、訳者が追記しました。
PDFの脆弱性については、ここ数年、いろいろと報告されているため、是非ご確認下さい。

マルウェア攻撃からの保護

マルウェアがシステムに侵入する最も典型的な入口は、インターネットとメールです。
そのため、インターネットに接続している場合、このような攻撃を受けやすくなります。

標準的な予防策

インターネットを閲覧する際は怪しいWebサイトを避けてください。
疑わしいメールが従業員の手に渡る前に、組織のインターネットネットワークで阻止できるような一般的な水際対策を設定します。 これらには高度なアンチウイルス、ファイアウォール、スパム対策プログラムが含まれます。

また、DMARCアナライザを使用して安全な仮想環境を作成し、メールを送受信する前にチェックすることもできます。

※訳注:DMARCアナライザはPowerDMARCで使用できます。

悪意のあるメールの兆候を探す

メール自体にある兆候を見てください。

これらの質問に対していずれかが「いいえ」の場合は、すぐに削除してください。
メールを開いたり、メール内のリンクをクリックしたりしないでください。

OSのアップデートが必要

オペレーティングシステムが最新であり、すべてのセキュリティパッチがインストールされていることを確認してください。
これにより、コンピュータがマルウェアに感染し、ネットワークから情報が盗まれるのを防ぐことができます。

また、ゼロデイ攻撃(未知の、または予期しない攻撃)に対してテストされたウイルス対策ソリューションを使用することも検討するべきです。
これにより、ハッカーが未知のソフトウェアやハードウェアの脆弱性を利用して侵入するのを防ぐことができます。

メール監視ツールの活用

監視ツールを使って、受信トレイに届くメールにマルウェアやフィッシングを含む新しいメールがないかどうかを把握することができます。
スパムやフィッシングのメールを送信していることで知られている既知の送信者やドメインからのメールを自動的にブロックするように設定することもできます。

まとめ

この話の教訓は明らかです。よく分からないメールの添付ファイルは絶対に開けないことです。
労力をかける価値がないと思うかもしれませんが、一見無害な写真でも悪意のあるコードが含まれている可能性があることを覚えておいてください。
あなたの直感はおそらく正しいですから、それに従い、開添付ファイルがあるメールは開く前に必ず再確認してください!

セキュリティを強化するには、DKIMSPFなどのメール認証ソリューションを設定し、送信者のメールの正当性を確認するようにしてください。
DKIMとSPFを正しく設定するために、PowerDMARCのトライアルをお試しください。