メールユーザーは長年、サイバー攻撃の標的として実行ファイルや.dllファイルの添付ファイルを思い浮かべてきましたが、他にも頻繁に使用される悪意のあるファイルの種類があり、注意が必要です。ITセキュリティ企業Barracuda Networksの調査によると、サイバー攻撃において最も多く利用されているのはHTML添付ファイルであり、同社がスキャンしたHTML添付ファイルの21%が悪意のあるファイルであることが判明しました。
「HTML添付ファイル自体は悪意のあるものではないため、これらの攻撃の検知は困難です」と、バラクーダネットワークスのメールセキュリティ担当プリンシパルプロダクトマーケティングマネージャー、オレシア・クレヴチュク氏は述べています。「攻撃者は添付ファイル自体にマルウェアを仕込むのではなく、別の場所にホストされているJavaスクリプトライブラリを使った複数のリダイレクトを使います。」
なぜ HTML 添付ファイルが攻撃に使用されているのでしょうか?
HTML添付ファイルは、ユーザーとシステムの両方にとって攻撃の特定が困難になっているため、ますます広く使用されています。Barracudaが示した例では、HTML添付ファイル自体は悪意のあるものではありませんが、最終的にはユーザーを悪意のあるサイトに誘導します。
HTML添付ファイルは、次に悪意のあるファイルと判定された割合のほぼ2倍です。参考までに、他の種類の悪意のあるファイルを以下に示します。
- テキスト(9%)
- XHTML(4%)
- バイナリ(0.3%)
- スクリプト(0.08%)
- RTF(0.04%)
- MSオフィス(0.03%)
- PDF (0.009%)
そこで私たちが学んだことは、HTML 添付ファイルが、攻撃者が使用する悪意のあるファイルの中で圧倒的に最も一般的な種類だということですが、これはどのように機能するのでしょうか。
バラクーダは、ハッカーがユーザーが定期的に受信するメールに、レポートへのリンクなど悪意のあるHTMLファイルを埋め込んでいることを発見しました。実際には、これは有害なURLが添付されたフィッシングメールです。この手法により、サイバー犯罪者はメール本文にリンクを挿入する必要がなくなり、容易に検知できるようになります。HTMLの手法は従来の手法よりもはるかに巧妙であり、スパム対策やウイルス対策のポリシーをより高い確率で回避できます。
これらのメールを開くと、HTMLはJavaスクリプトを使用してユーザーをサードパーティのマシンに誘導し、ログインするために個人認証情報を入力するか、マルウェアファイルのダウンロードを要求します。この手法では、攻撃者は偽のウェブサイトを作成する必要はなく、添付ファイルに直接フィッシングフォームを埋め込むことで、フィッシングサイトをリンクではなく添付ファイルとして送信します。
「こうした攻撃に対する潜在的な防御策としては、HTML添付ファイル付きのメール全体を考慮し、すべてのリダイレクトを確認し、メールの内容に悪意がないか分析する必要がある」とクレブチュク氏は書いている。
参照: モバイルデバイスのセキュリティポリシー(TechRepublic Premium)
悪質なHTML添付ファイルからシステムを保護する方法
Barracuda は、ユーザーがこの種の攻撃の被害に遭うことを防ぐために、主に次の 3 つのヒントを重視しています。
- メール保護が悪質なHTML添付ファイルをスキャンしてブロックすることを確認する
- 悪意のある可能性のあるHTML添付ファイルを識別して報告するようにユーザーをトレーニングします
- 悪意のあるメールが届いた場合は、配信後の修復ツールを準備しておいてください。
組織と個人の両方が、偽メールの識別をより効果的に行うことができます。企業側では、メールの検出と対応を強化することで、マルウェアがユーザーの受信トレイに到達するのを防ぐことができます。バラクーダは、「添付ファイルだけでなく、メールの内容も評価する機械学習と静的コード分析」を推奨しています。
個人側では、これらの電子メールのいずれかが受信トレイに届いた場合、ゼロトラスト モデルを採用し、組織の IT 部門によって安全であることが確認されるまで何もクリックしないようにすることで、ユーザーと企業の両方にとって大きな手間を省くことができます。
最後に、自動化されたインシデント対応システムを導入することで、万が一、これらのメールを誤ってクリックしてしまった場合でも、企業の時間とコストを節約できます。組織全体に攻撃が広がる前に潜在的な攻撃を阻止することで、認証情報や機密情報がサイバー犯罪者の手に渡る前に、それらを回収することができます。
