ピクセルトラッキングとかWebビーコンという言葉をご存知ですか?ホームページ(Webページ)へのアクセス解析やHTMLメールのアクセス解析などに使用される手法です。正しく使われれば別段怖いものではないのですが、HTMLメールに悪意を持って使われると時に怖い結果を呼ぶキッカケになりえます。特に企業ユーザーにはクリティカルな代物です。
Webビーコンとは?
Webページ内に埋め込まれた見えない画像(1x1pxの透明な画像や0x0pxの実際には表示されない画像)を埋め込みます。通常のWebページの画像はそのWebサイト内に存在するのが普通ですが、Webビーコンの画像は全く別のサイトに存在します。その全く別のサイトが、見えない画像へのアクセスを解析することで、本来のWebページのアクセス解析情報を提供し、アクセスを多くするとか滞在時間を長くするような対策(SEO)に活用できるわけです。
有名なところではGoogle AnalyticsがWebビーコン型のアクセス解析サービスで、世の中の多くのアクセス解析サービスはWebビーコン型のようです。
Webページにアクセスすることでサーバー側にはかなり詳細な情報が残ります。以下はその情報の一例です。
・いつアクセスしたのか(年月日時分秒)
・何回アクセスしたのか
・どのサイトからのリンクで飛んできたのか
・どこからアクセスしたのか(日本であれば市町村単位)
・使っているデバイスがデスクトップなのかモバイルかタブレットか?
・OSの種類は?(WindowsなのかAndroidなのかといったこと)
こうした情報一つではあまり意味がないのですが、ある程度の期間でアクセスが多いページや時間帯、曜日などを分析することでアクセス向上に繋げる策を打つことが可能になります。
HTMLメールの怖さ
問題はHTMLメールです。
HTMLメールはセキュリティ上問題も多いので、ビジネスでのやりとりには敬遠されるのが普通です。しかし、それをあえて送りつける手法で、受け手がそのメールに対して起こした反応の一部を知ることができ、さらにソーシャルエンジニアリング手法を併用すると企業内の社員の行動がかなり裸になってしまう可能性も秘めています。
HTMLメールの中にWebビーコンを埋め込むことで以下のようなことがわかります。
・そのメールアドレスは有効なのか?
・HTML形式のメールを読んでいるのか?
・いつメールを開いたのか?(年月日時分秒)
・何回メールを開いたのか
・転送したか(正確には送信先とは違う人が開いたか、それはいつ開いたのか)
・メールを開いた場所(日本であれば市町村単位)
他にもアクセス元の環境やアプリにより以下のようなこともわかる場合があります。
・使っているデバイスがデスクトップなのかモバイルかタブレットか?
・OSの種類は?(WindowsなのかAndroidなのかといったこと)
Webページにアクセスするのは通常アクセスする意思があるわけですが、メールでは自分がそのメールをどこでいつ開いたのかとかを未知の第三者が知ることができるわけです。それがHTMLメールの怖さです。
HTMLメールによる追跡をさせない方法
iOS15、iPadOS 15、macOS Monterey(macOS 12)、watchOS 8およびそれ以降のバージョン限定ですがHTMLメールでWebビーコンを無効にする方法が提供されています。
https://support.apple.com/ja-jp/guide/iphone/iphf084865c7/ios
<iPhoneでの設定方法(iPadも同じ>
これにより以下のことをメール送信者が把握するのを防ぐことができます。
・メールを開いたかどうか
・メールを開いた場所(IPアドレス)
・デバイスなどの情報
すなわち、送ったけれど開いたかどうかすらわからないということで悪意を持つメール発信者の意図を阻止できます。
先に書いたように、Webビーコン付きメールを継続的に送りつけることで相手の行動パターンを把握できる可能性があり、それはその後ランサムウェアをばら撒く大きな鍵になります。
・相手はいつも何時ごろメールを開くか
・相手がメールを見るツール(ハードウェアやソフトウェア)は何か
・相手はどこでメールを開くか
クリックもしていないのにバレてしまう可能性があるわけです。
悪意を持ってWebビーコンを仕込んだメールを繰り返し多数送りつけることで、相手の行動パターンを知ることにつながり油断させることが可能です。
たとえば普段は東京都新宿区でメールを取っているのに、月曜日はほぼ必ず大阪市でメールを取っていることが把握できれば、どうも月曜日は大阪出張しているようだと考えることができます。そしてソーシャルエンジニアリングで組織情報や組織長のメールアドレスがわかれば、さらに効果的になるわけです。
HTMLメールのWebビーコンが怖い理由
ランサムウェア(身代金要求ウィルス)というを近時々ニュースでも聞くようになりました。
ランサムェアとは感染した端末やそれにつながっているサーバーやストレージなどを片っ端から暗号化して使えなくし、暗号を解除してほしければ身代金を要求するという悪質なもので、有名企業も少なからず被害にあっています。
昔と違って、セキュリティ技術も進化しておりますので、古典的なウィルスが外部から入り込むことは相当困難なのですが、ランサムウェアは以下のような手口で企業内のネットワークにつながるPCやサーバーなどを暗号化してしまうウィルス(ランサムウィルス)に感染させてしまいます。
・企業内の同僚や責任者を装ったメールを添付ファイル付きで送りつける。
・受け取った方は企業内のメールだと思い込んで油断して添付ファイルを開く。
・その添付ファイルは文書ファイルなどを装ったウィルスである。
ポイントは最初の企業内の同僚や責任者を装ったメールだということで、企業内でよく見かけるような簡素なメールであることが多いようです。とはいえ、いきなりそうしたメールを送りつける手法はもはや流行りではなく、入念な下準備を行うとされています。
先に書いたような行動パターンも含めて、たとえばこのようなメールを送りつけるわけです。
<本文の例>
お疲れ様です。
いつも大阪出張ご苦労さま。
至急お願いしたいことがあります。私は今は出先でこれから重要な会議ですので、添付のドキュメントを
早急に確認していただき、その件についての打ち合わせをしたいので
都合の良い日時を返信にて知らせてもらえますか。最優先にてお願いします。
海外営業部 日本太郎
iPhoneから送信
別に特に異常があるとも思えない、普通に上司(あるいは同僚などの社内の人)からのメールで、事前にWebビーコン付きメール連投で知り得た行動パターンから「大阪出張ごくろうさま」とまで書いていますので、普通の人なら信じてしまいます。
このメールのさらに巧妙なところは、「出先でこれから重要な会議」「iPhoneから送信」というところでありまして、iPhoneから出したメールと思わせ、出先で会議に入るからということで、確認の電話をさせないようにしていることです。さらに「最優先」と書いて判断する心理的余裕をなくそうとしています。上司に「最優先」と言われて急いで対応しないビジネスパーソンは居ないでしょう。
詐欺メールでは発信者(From)が問題になりますが、Fromはいくらでも詐称できてしまいますので、aaa@bbb.co.jpといったその会社名のアドレスを詐称したり、あるいは(普通はビジネス利用は禁止されているところが多いはずですが)フリーメール(GmailやYahooメール)のアドレスを使うことが有るような人であればそれも問題ないかもしれません。
メールヘッダーを詳細に見れば、Fromが詐称されていることや、メールはiPhoneからの発信ではないことなどはすぐにわかるのですが、「上司」からのメールでそこまで疑う人はまあいないでしょう。
多くの企業において社員名を記した組織図が取扱注意や社外秘であったり、一般社員には配布されないのはそういう理由もあります。50名の部下を抱える部門長名で前述のような偽メールを部下全員に出せば、1人や2人はまず間違いなくひかっかるでしょう。
そして添付ファイルには古典的な手法でドキュメントに見えるけど、実はランサムウェアを仕込んだマルウェアというわけです。
外部からの添付ファイル付きメールはフィルターにひっかる可能性がありますので、ファイルだけ別の一般のクラウドなどにおいて、出先で社内サーバーに置けないからとかなんとか行ってそれにアクセスさせる手も有るかもしれません。
対策は?
とにかく手を変え品を変え人間の心理の隙間に突っ込んできますので、基本的には人間に頼らないシステムによる防護が重要です。
iPhoneを社員に持たせているのであれば、冒頭に書いたように「”メール”でのアクティビティを保護」することを必須とし、PCメールではHTMLメールは表示しないような設定を基本とし、社内・社外を問わずHTMLメールは送受信禁止(システム的に)すべきです。
会社の情報システムとしては、GoogleやMicrosoftのVPNを導入することで、社外にいてもVPN利用で社内ネットワークを利用できるようにし、会社所有PC・スマートフォン以外は接続できないような管理を導入する。社外からのHTMLメールはフィルターする。社外からの受信メール添付ファイルは削除する、社外への添付ファイル送信はシステム的に阻止する。VPN経由や社内ネット経由で使えるクラウドストレージ(Google WorkspaceやOneDrive for Business)以外の一般クラウドストレージへのアクセスはシャットアウトする。社外とのデータ交換は専用の検閲と追跡可能なシステムを導入する。
こうした論理的・物理的対策も重要ですが、普段からHTMLは開けないなどの注意を習慣づけることは重要です。