メニューを開く

JTBの流出事件に見る標的型メールの怖さ

JTBの顧客情報約800万件が流出をするという事件が起きました。情報によると標的型メールによる攻撃であったとのこと。
外部接続遮断が遅れたと報道されておりますが、外部接続を遮断することは非常に難しい行為です。

既に悪意あるハッカーはセキュリティソフトをすり抜けて、マシンを操作したりモニタリングできる環境を簡単に構築できます。
もしかしたら、ランサムウェアを仕込んで大切なデータを全暗号化して身代金を要求してくるかもしれません。
サイバーセキュリティにおけるこれらの行為は世界中拡大を続けています。

そこで本日は届いた標的型メールを解析してみます。
標的型メール

差出人は日本郵便局とあります。
Received: from fwd31.aul.t-online.de (fwd31.aul.t-online.de [172.20.26.136])
by mailout05.t-online.de (Postfix) with SMTP id 79A7E4233DB4;
Wed, 15 Jun 2016 00:14:27 +0200 (CEST)
Received: from [127.0.0.1] (Sgf[email protected][95.152.45.181]) by fwd31.t-online.de
with (TLSv1:DHE-RSA-AES256-SHA encrypted)
esmtp id 1bCwap-1rGF0i0; Wed, 15 Jun 2016 00:13:55 +0200
Message-ID: <[email protected]>
Date: Tue, 14 Jun 2016 22:01:58 -0700
From: =?UTF-8?B?5pel5pys6YO15L6/5bGA?=
To:
MIME-Version: 1.0
Status: U
X-UIDL: 1465942487.M716848P16870.s183
Content-Type: multipart/mixed;
boundary=”hIYVRDbOM9fjN2Uha6FfkBhcpToy7n=_Dz”
X-ID: Sgfl+6ZAQh4+AMucfa-nFavpk1gRO4jZCDVKpq0ZxQJ29-21ll+VZym7Aon+wN7wZq
X-TOI-MSGID: 7e1bb1b8-3e70-41ba-84cb-4e8d3622a607

スパムメールにも関わらず、TLS接続での標的型メールです。
送信元は、悪名高きロシアのハッカーの可能性が非常に高いと推測されます。
inetnum: 95.152.8.0 – 95.152.63.255
netname: RU-PENZA-VT-DSL-200901
descr: PJSC Rostelecom, Penza branch
descr: Penza, Russia
descr: http://www.rt.ru/
descr: Dynamic address space for broadband users
country: RU
admin-c: PNZ-RIPE
tech-c: PNZ-RIPE
status: ASSIGNED PA
mnt-by: PENZA-MNT
mnt-lower: PENZA-MNT
mnt-routes: PENZA-MNT
created: 2009-04-14T05:28:30Z
last-modified: 2015-12-18T11:33:30Z
source: RIPE

添付ファイルの解析結果です。解析は簡単に行うことができます。アンチウィルスを導入しているこのPCですが、ウィルスとして認識していません。
ハッカーは容易にアンチウィルスをすり抜けることができるのです。
https://www.virustotal.com
標的型メール解析

このように標的型メールは巧妙になってきており、特に海外からの標的型の攻撃が拡大の一途です。
企業におけるセキュリティとして、添付ファイルは全削除するのが最も標的型攻撃を防ぐのには適しています。
セキュリティを強靭にすることで失われる利便性もありますが、企業の生命線である顧客情報や大切な資産を守ることの意識を高める必要があります。

個人向けアプリを試す

トップに戻る