悪意のあるメール添付ファイル

どのようなしくみか

攻撃者は、データ破壊や情報盗用が可能なマルウェアをインストールするファイルをメールに添付します。 こうした感染には、攻撃者に画面へのアクセスを与えて、攻撃者によるユーザーのコンピューターの制御や、キーストロークの保存、他のネットワークシステムへのアクセスなどを許してしまうものがあります。

明らかに悪意のあるプログラムは多くのメールシステムが自動的にブロックするため、攻撃者はエクスプロイトと呼ばれるソフトウェアの一部を、メールで送信されることの多い他のタイプのファイル(Microsoft Wordドキュメント、ZIPファイル、RARファイル、Adobe PDFドキュメント、画像ファイル、ビデオファイル)に隠します。 エクスプロイトは、ソフトウェアの脆弱性を利用し、ペイロードと呼ばれる、意図されていた悪意のあるソフトウェアをコンピュ―ターにダウンロードします。 攻撃者はまた、悪意のあるマクロをドキュメントに埋め込み、ソーシャルエンジニアリングを使用してユーザーをだまし、「コンテンツを有効化する」ボタンをクリックさせることもできます。これによってマクロが実行に移され、被害者のコンピュータを感染させます。

攻撃者は通常、こうしたメール添付ファイルを送信し、正規のコミュニケーションだとユーザーに信じ込ませるほどに説得力のあるメールコンテンツを使います。

どう保護できるか

ユーザー教育をまず行い、メール添付ファイルのセキュリティソリューションで援護します。

エンドポイントおよびサーバーベースのアンチウイルススキャンをインストールします。 攻撃者による新しいマルウェアの作成から、それらのマルウェアの署名がアンチウイルス(AV)データベースに表示されるまでの間の時差に注意してください。  受信の24時間後に脅威を確認するエンドポイントのアンチウイルス(AV)エンジンは、全体の10%に過ぎないことを最近のテスト結果が示しています。これは、多くの攻撃者が採用している多形のマルウェアのアプローチが一因となっています。

マシンラーニング機能とリアルタイムのIPレピュテーションスキャンを備えたメールゲートウェイを実装します。これにより不審な言葉遣いと送信者の特徴を検知します。 悪意がある可能性のあるプログラムを探すため、ゲートウェイが入れ子になったアーカイブファイル(.zipや.rarなど)を解凍でき、実行ファイルを阻止できることを確認してください。 また、多様性をもたらし、検知の確度を高めるため、エンドポイントで使用されているゲートウェイAVとは別のものの使用を考慮することが一般的には最良の方法です。

最良の結果を得るには、クラウドで静的および動的(サンドボックス)マルウェア分析を通して行われるメール添付ファイルスキャンを備えたセキュリティソリューションを検討してください。メールの添付ファイルが受信される前に有害な動作がないかをチェックするためです。既知の低いレピュテーションや既知のシグネチャーのチェックだけでは、ゼロデイや多形のマルウェア攻撃を見落としがちだからです。