サプライチェーン攻撃の入口はメール
サプライチェーン攻撃において、メールは最も多い侵入経路の一つです。IPAの調査によると、標的型攻撃の9割以上がメールを起点としており、サプライチェーン攻撃においても同様の傾向が見られます。
フィッシング詐欺の基本的な手口は「偽のメールやWebサイトで人を騙す」ことですが、サプライチェーン攻撃におけるフィッシングには特有の危険性があります。それは、実在する取引先を装うという点です。
通常のフィッシングメールであれば、「知らない送信者からのメールは開かない」という対策が有効です。しかし、サプライチェーン攻撃では以下のような状況が発生します。
- いつもの取引先からのメールに見える
- 送信者のメールアドレスが取引先のドメインに似ている、または実際に乗っ取られた取引先のアカウントから送信されています。普段からやり取りしている相手からのメールは、疑うことなく開いてしまいがちです。
- 実際の取引内容に言及している
- 攻撃者は事前に情報収集を行い、実際の取引内容、担当者名、プロジェクト名などを把握しています。メールの内容がリアルであるほど、偽物だと気づきにくくなります。
- 信頼関係があるため警戒しにくい
- 長年の取引関係がある相手からの連絡は、心理的に信頼してしまいます。「あの会社なら大丈夫」という思い込みが、攻撃者に悪用されます。
このページでは、一般的なフィッシング対策ではなく、サプライチェーン攻撃の入口としてのフィッシングメールに焦点を当てて解説します。
取引先を装ったなりすましメールの特徴
サプライチェーン攻撃に使われるなりすましメールには、いくつかの共通した特徴があります。これらを知っておくことで、見破る確率を高めることができます。
送信者アドレスの偽装パターン
攻撃者は、正規の取引先に見せかけるためにさまざまな偽装テクニックを使います。
| 偽装パターン | 例 | 見分け方 |
|---|---|---|
| 似たドメイン(タイポスクワッティング) | example.co.jp → examp1e.co.jp(lを1に) | ドメインを1文字ずつ確認 |
| 別のTLD | example.co.jp → example.com | 正しいドメインを事前に確認 |
| 表示名だけ変更 | 表示名「株式会社〇〇」+ 無関係なメールアドレス | 実際のメールアドレスを確認 |
| 返信先(Reply-To)の偽装 | From:は正規、Reply-To:は攻撃者 | 返信時のアドレスを確認 |
| サブドメインの悪用 | example.co.jp → example.co.jp.attacker.com | @以降のドメイン全体を確認 |
- 確認のポイント
- - メールソフトで「送信者の詳細を表示」して実際のメールアドレスを確認する - 普段やり取りしている相手のメールアドレスと照合する - 少しでも違和感があれば、電話など別の手段で送信者に確認する
本文の特徴
なりすましメールの本文には、以下のような特徴が見られることがあります。
- 緊急性を煽る文面
- 「至急対応をお願いします」「本日中にご確認ください」「期限を過ぎると無効になります」など、受信者を焦らせて冷静な判断を妨げる表現が使われます。
- 実際の取引内容への言及
- 現在進行中のプロジェクト名、最近の見積もり内容、担当者名など、実際の取引情報が含まれている場合は特に注意が必要です。攻撃者が事前に情報収集を行っている証拠です。
- 日本語の不自然さ
- 翻訳調の文章、敬語の使い方が不自然、句読点の使い方がおかしいなど、日本語として違和感がある場合があります。ただし、最近はAIの発達により自然な文章も増えているため、これだけでは判断できません。
- 署名の微妙な違い
- いつもと署名のフォーマットが異なる、電話番号が違う、会社のロゴがないなど、細部に違いがあることがあります。
タイミングを狙った攻撃
攻撃者は、メールが開封されやすいタイミングを狙って送信することがあります。
- 決算期・請求書発行時期
- 月末や四半期末は請求書のやり取りが増えるため、偽の請求書メールが紛れ込みやすくなります。「振込先が変わりました」という連絡には特に注意が必要です。
- 担当者の不在時
- 担当者が休暇中や出張中であることを把握し、代理で対応する人に宛てて送信されることがあります。「〇〇さんの代わりに対応してください」という依頼には要注意です。
- 繁忙期
- 忙しい時期は確認がおろそかになりがちです。攻撃者はそれを見越して、繁忙期を狙って攻撃を仕掛けることがあります。
危険な添付ファイルの見分け方
メールに添付されたファイルには、マルウェアが仕込まれている可能性があります。危険な添付ファイルの特徴を知っておきましょう。
危険な拡張子
| 危険度 | 拡張子 | 説明 |
|---|---|---|
| 最高 | .exe, .scr, .bat, .cmd, .ps1, .vbs, .js | 実行ファイル。開くだけでプログラムが実行される |
| 高 | .docm, .xlsm, .pptm | マクロ有効のOfficeファイル。マクロ経由でマルウェア実行 |
| 高 | .lnk | ショートカットファイル。別の危険なファイルを実行させる |
| 中 | .zip, .rar, .7z | 圧縮ファイル。中身に危険なファイルが含まれる可能性 |
| 中 | .iso, .img | ディスクイメージ。中身に危険なファイルが含まれる可能性 |
| 注意 | .doc, .xls, .ppt | 旧形式のOfficeファイル。マクロを含む可能性 |
- 二重拡張子のトリック
- 「invoice.pdf.exe」のように、安全そうな拡張子の後に危険な拡張子を付ける手口があります。Windowsの初期設定では拡張子が非表示になっていることが多く、「invoice.pdf」に見えてしまいます。拡張子を表示する設定にしておくことをお勧めします。
マクロの危険性
Microsoft Officeのマクロ機能は、業務の自動化に便利ですが、攻撃者にも悪用されます。
ファイルを開いた際に「コンテンツの有効化」や「マクロを有効にする」を求められたら要注意です。正規の業務ファイルであれば、マクロを有効にしなくても内容を確認できることがほとんどです。
- マクロを無効にする設定
- 1. Officeの「ファイル」→「オプション」→「セキュリティセンター」を開く 2. 「セキュリティセンターの設定」をクリック 3. 「マクロの設定」で「警告を表示してすべてのマクロを無効にする」または「すべてのマクロを無効にする」を選択
圧縮ファイルの注意点
ZIPやRARなどの圧縮ファイルには、複数の危険性があります。
- パスワード付きZIPの悪用
- メール本文に「パスワードは〇〇です」と書かれた形式は、セキュリティ対策としては無意味ですが、メールのセキュリティスキャンを回避するために悪用されることがあります。パスワード付きZIPで送られてきたファイルは、より慎重に確認してください。
- 中身の確認
- 圧縮ファイルを展開する前に、圧縮ソフトのプレビュー機能で中身を確認しましょう。.exeなどの実行ファイルが含まれていないかチェックします。
フィッシングメールを受け取ったら
不審なメールを受け取った場合、または受け取った可能性がある場合の対処手順を説明します。
- Step1:添付ファイルを開かない、リンクをクリックしない
- 少しでも不審に感じたら、添付ファイルを開いたりリンクをクリックしたりせず、一旦手を止めましょう。「あとで確認しよう」と思ってファイルをデスクトップに保存するのも危険です。
- Step2:送信者を別の手段で確認
- メールへの返信ではなく、電話や社内チャットなど別の手段で送信者に確認します。「先ほどのメールは本当にあなたからのものですか?」と直接確認することで、なりすましを見破ることができます。メールへの返信は、Reply-Toが偽装されている可能性があるため避けてください。
- Step3:情シス・セキュリティ担当に報告
- 不審なメールは、自分だけで判断せず必ず情シス部門やセキュリティ担当者に報告しましょう。同様のメールが他の従業員にも送られている可能性があり、早期の報告が被害拡大防止につながります。
- Step4:該当メールを削除または隔離
- 報告後、情シス担当の指示に従って該当メールを削除するか、隔離フォルダに移動します。うっかり開いてしまうリスクを減らすためです。
- Step5:同僚への注意喚起
- 同様のメールが他の人にも届いている可能性があります。部署内やチーム内で「こういうメールに注意」と共有することで、組織全体の防御力が高まります。
うっかり開いてしまったら
添付ファイルを開いてしまった、リンクをクリックしてしまった場合は、慌てずに以下の手順で対処してください。
- 1. ネットワークから切断
- LANケーブルを抜く、またはWi-Fiをオフにして、ネットワークから切断します。マルウェアが他のPCに拡散するのを防ぎ、外部への情報送信を止める効果があります。
- 2. PCをそのままの状態で保存
- 電源を切ったり再起動したりせず、現状を維持します。証拠保全のため、操作ログやメモリ上の情報を残しておく必要があります。
- 3. 情シス・セキュリティ担当に連絡
- すぐに情シス部門やセキュリティ担当者に連絡します。「開いてしまった」ことを正直に報告してください。隠すと被害が拡大する可能性があります。
- 4. パスワードを変更(別の端末で)
- ログイン情報を入力してしまった場合は、別の端末から該当サービスのパスワードを変更します。同じパスワードを使い回している他のサービスも変更してください。
- 5. 指示に従って対応
- セキュリティ担当者の指示に従って、PCの検査やフォレンジック調査に協力します。
インシデント対応の詳細は「サプライチェーン攻撃のインシデント対応」をご覧ください。
社内でのフィッシング訓練の進め方
フィッシングメールへの対応力を高めるには、定期的な訓練が効果的です。多くの組織で、模擬フィッシングメールを使った訓練が実施されています。
訓練の目的と効果
- 訓練の目的
- - 従業員のセキュリティ意識を向上させる - 不審なメールを見分ける能力を養う - 報告の習慣を定着させる - 組織全体の対応力を測定する
- 期待される効果
- - 開封率・クリック率の低下(訓練を重ねるごとに改善) - 報告率の向上(不審メールを報告する習慣が身につく) - 対応時間の短縮(発見から報告までの時間が短くなる)
訓練の頻度と内容
| 項目 | 推奨内容 |
|---|---|
| 頻度 | 四半期に1回程度(年4回) |
| 対象者 | 全従業員(役職に関係なく) |
| 難易度 | 初回は標準的な内容から始め、徐々に難易度を上げる |
| 内容のバリエーション | 請求書偽装、パスワードリセット、緊急連絡など複数パターン |
訓練メールの内容は、実際の攻撃事例を参考にしつつ、自社の業務内容に合わせたシナリオを作成すると効果的です。
訓練後のフォローアップ
- 結果のフィードバック
- 訓練の結果は、個人を責めるためではなく、組織全体の改善のために活用します。部署別・役職別の傾向を分析し、追加の教育が必要な層を特定します。
- 引っかかった人への教育
- 訓練メールを開いてしまった人には、個別にフィードバックを行います。ここで重要なのは責めないことです。「次はこうすれば見分けられる」という前向きな教育が、セキュリティ意識の向上につながります。
- 継続的な改善
- 訓練結果を踏まえて、次回の訓練内容や教育プログラムを改善していきます。開封率が下がってきたら、より巧妙な訓練メールを使うなど、難易度を調整します。
技術的な対策との組み合わせ
フィッシング対策は、人的対策と技術的対策の両輪で進めることが重要です。どちらか一方だけでは不十分で、両方を組み合わせることで効果を最大化できます。
- メールフィルタリング
- メールサーバーやクラウドメールサービスのスパムフィルタ、セキュリティゲートウェイを活用して、不審なメールを事前にブロックします。
- SPF/DKIM/DMARC
- メール認証技術を導入することで、送信者のなりすましを検知・防止できます。自社のドメインにこれらの設定を行うとともに、受信側でも検証を行います。
- 添付ファイル検査
- サンドボックス技術を使って、添付ファイルを隔離環境で実行し、不審な挙動がないか検査します。
- URLフィルタリング
- メール内のURLを検査し、既知の悪意あるサイトや不審なサイトへのアクセスをブロックします。
- セキュリティ意識向上プログラム
- 定期的な教育・訓練を通じて、従業員のセキュリティ意識を継続的に高めます。
対策の詳細は「サプライチェーン攻撃の対策」カテゴリをご覧ください。
関連する攻撃手法
サプライチェーン攻撃のフィッシングは、他の攻撃手法と密接に関連しています。
| 攻撃手法 | フィッシングとの関連 |
|---|---|
| ソーシャルエンジニアリング | フィッシングの基盤となる心理操作技術 |
| ビジネスメール詐欺(BEC) | 取引先を装う詐欺手口の一種 |
| 標的型攻撃(APT) | 標的型フィッシングが初期侵入に使われる |
| マルウェア感染 | フィッシングメールの添付ファイル経由で感染 |
| ランサムウェア | フィッシングが感染の入口になることが多い |
| 不正アクセス | フィッシングで窃取した認証情報が悪用される |
| 情報漏洩 | フィッシング起点の攻撃で機密情報が漏洩 |
よくある質問
- Q: 取引先からのメールでも危険な場合がありますか?
- A: はい、あります。取引先のメールアカウントが乗っ取られている場合、正規のメールアドレスから悪意あるメールが送信されます。また、取引先のドメインに似せた偽ドメインからの送信も多発しています。普段と違う内容や急な依頼には、電話など別の手段で確認することをお勧めします。
- Q: スマートフォンでもフィッシングに引っかかりますか?
- A: はい、スマートフォンでも同様のリスクがあります。むしろ、画面が小さく送信者のメールアドレス全体が見えにくい、URLも途中までしか表示されないなど、PCよりも見分けにくい側面があります。業務メールをスマートフォンで確認する場合は、より慎重な対応が必要です。
- Q: フィッシングメールを報告したら評価が下がりませんか?
- A: いいえ、報告することは評価されるべき行動です。不審なメールを報告することで、組織全体への被害拡大を防ぐことができます。報告を躊躇させる文化は、セキュリティ上の大きなリスクです。多くの企業では、積極的な報告を推奨し、報告した従業員を評価しています。
まとめ
サプライチェーン攻撃とフィッシングの関係について、重要なポイントを振り返りましょう。
- サプライチェーン攻撃の多くはメールから始まるため、フィッシング対策は非常に重要です
- 取引先を装ったなりすましは、送信者アドレス、本文、タイミングに特徴があります
- 危険な添付ファイル(実行ファイル、マクロ有効ファイル)には細心の注意を払いましょう
- 不審なメールは開かない→確認する→報告するの順で対処します
- うっかり開いてしまったらネットワーク切断→報告→指示に従うことが重要です
- 定期的な訓練と技術的対策の組み合わせで、組織全体の対応力を高めましょう
予防策の基本は「サプライチェーン攻撃の予防」を、基礎知識カテゴリ全体については「サプライチェーン攻撃の基礎知識」をご覧ください。
サプライチェーン攻撃 完全ガイド ナビゲーション
総合ガイド
目的別に探す
役職・立場別に探す
業種別に探す
攻撃タイプ別に探す
人気のページ
重要なお知らせ
- 本記事は一般的な情報提供を目的としており、個別の状況に対する助言ではありません。
- 実際にサイバー攻撃の被害に遭われた場合は、警察(#9110)やIPA(03-5978-7509)などの公的機関にご相談ください。
- 法的な対応が必要な場合は、弁護士などの専門家にご相談ください。
- 記載内容は作成時点の情報であり、攻撃手法は日々進化している可能性があります。
更新履歴
- 初稿公開
