実際に攻撃の痕跡を追うと、本丸を狙っていろんな組織にまたがって攻撃をしかけているケースが非常に多いです。大企業やセキュリティ対策に資金を投入できる組織に直接はなかなか入り込めないので、セキュリティ対策費用が比較的少ない民間や公的組織などを狙い、その組織だと偽って本丸にアプローチするわけです。
 
攻撃はかなりスピーディです。数分レベルでコマンドが入力されパソコン内の情報が抜き取られ、IDやパスワード、管理者権限を使ってサーバ内のデータも引き出し、圧縮・分割して外部に転送します。証拠はあまり消さずに、消しても一部残骸が残ったままので、まるで強盗団のようにごっそり盗む例が多い。

あるケースでは、まず感染者Aになりすましたメールで組織内のBに感染させ情報を窃取し、そのBになりすましたメールを取引先に送っていました。感染者Aは最初の感染は約3年前。しかし、なりすましメールがBに送られたのがその2年半後。このように時間をかけるケースもあるので注意してください。

他にもシステムの管理者が把握していないバックドアからの侵入や物理的に離れた拠点間を結ぶVPN(バーチャル・プライベート・ネットワーク)のパスワードが盗まれて侵入され、またWebShell(ウェブシェル)というツールをWebサイトに不正に設置し、内部サーバを外からコントロールされたりすることもあります。
 
標的型攻撃メールの一例を挙げると、文面に「事務系連絡網を送ります」と書いてあり、<事務系連絡網>というアプリケーションが添付されています。見た目はワードやエクセルの場合も。クリックしてウイルスに感染すると、何でも操れるようになります。キーロガーまで仕込まれて、入力したパスワードも盗まれます。ただし、注意深く見るとメールが不自然なケースもあります。例えば、ダミー用のワードファイルが少し文字化けしていたり、クリックするとファイルが消えるケースもあります。クリックして「おかしい」と感じたら周りの人やシステム管理部、またはIPAに情報提供ください。

2015年11月から2016年3月まで、産業系の企業や団体などを狙った”キャンペーン”をJ-CRATで把握しました。大企業から中小企業まで幅広く狙ったこのときのメール総数は137通。少なく見えますが、どのメールも開封させるためにかなり工夫されていました。

フリーメールではなく、実際の企業や関連団体のメールアカウントを乗っ取り、本文に「ご高覧ください」というキーワードが頻出する特徴がありました。メールは業界団体を詐称して企業へ送る、または企業を詐称して業界団体へ送るパターンが多く、本文はセミナー案内や国の制度への問い合わせ、入会を詐称するケースが非常に多くありました。

過去に組織内に標的型攻撃メールを受け取った人がいると、今後もその組織にメールが送られる可能性が非常に高いので気をつけてください。過去に盗られた情報が使われることもあります。もし、過去の攻撃メールをまだお持ちなら、非常に貴重な知見となりますので、情報提供をしていただければと思います。なお、このキャンペーンの詳細については、以下を参照ください。
https://www.ipa.go.jp/security/J-CRAT/report/20160629.html