フィッシングメールのセキュリティリスク

Size: px

Start display at page:

Download "フィッシングメールのセキュリティリスク"

たかとしかたづ
5 years ago
Views:

1 不正メールの脅威の実例 5班舟橋聖人太田洋平三島貴務周億琳アドバイザー教員面和成 1

2 発表内容研究背景フィッシングメールについてマルウェア感染について研究目的実験概要解析結果不正メールの特徴脅威の実例 Case1 Appleを装ったメール Case2 ファイルやレジストリの書き換えを行うマルウェア Case3 ウィズダムプロジェクト考察まとめ 2

3 研究背景近年不正メールによる被害が拡大しているフィッシングマルウェア感染スパムによる架空請求など出典フィッシング対策協議会 APWGへのフィッシングメール届け出件数 3

4 フィッシングメールについてフィッシング(phishing) 金融機関などを装った電子メールを送り氏名や口座番号クレジットカード番号などの個人情報を搾取する行為電子メールのリンクから偽サイトに誘導し個人情報を入力させる手口が一般的出典フィッシング対策協議会三菱東京UFJ銀行をかたるフィッシングメール 4

5 フィッシングメールについて出典フィッシング対策協議会パスワードの流出三菱東京UFJ銀行をかたるフィッシングサイト 5

6 マルウェア感染についてマルウェアコンピュータウイルスも含め悪意を持つソフトウェアの総称ワーム独立したプログラムでありネットワークを介してPCからPCへ感染ファイル破壊やシステムの異常終了等が発生する恐れスパイウェアユーザーが知らない間に情報収集し集めた情報をスパイウェア作成者に送信パスワード等ユーザーの情報を悪用ランサムウェア身代金要求型不正プログラム感染したPCをロックしたりファイルを暗号化することで使用不可能にし元に戻すことと引き換えに身代金を要求するプログラム世界のマルウェア検体の増加状況総務省より 6

7 研究目的そもそも不正メールって危険そうだけどよく分からない自分は大丈夫大したことにならないはず不正メールの脅威を認識し意識の改善を目的 7

8 実験概要実際に届く不正メールの脅威を解析リンク先のWebサイト添付ファイル不正メールの監視対象詳細な挙動を知るパケット通信内容プロセス実行中のプログラムファイルデータレジストリ OSやソフトウェアの設定調査する不正メール Webに公開しているアドレスに2ヶ月以内に届いたメール 8

9 実験環境の全体図不正な通信はないか外部ネットワークホスト環境仮想環境不正メールを実行モバイルルータ意図せず動作しているプロセスはないかファイルやレジストリの書き換えがされていないか仮想環境で不正メールを実行筑波大学のネットワークは使用しない筑波大学 9

10 実験環境仮想化ソフトウェア VirtualBox 5.1 ホストOS Windows 7 ゲストOS 仮想環境のネットワークアダプタ設定 Windows 7, Windows 8 パケット監視ソフトウェアプロセスファイルレジストリ監視ソフトウェア Wireshark Microsoft Process Monitor 2.95 NAT [参考本実験におけるルール] 1) ホストOSはWindowsアップデートを最新にしアンチウイルスソフトをインストール 2) 実験用PCは筑波ネットワークに一切接続しない 3) 実験用PCをインターネットに接続する際は通信異常がないか常に監視する 4) 不正メール添付ファイル付きは公開ネットワークに置かず厳重に管理する 10

11 解析結果解析対象となった不正メール 33通リンクのみ 8つ xlsファイル 7つ doxファイル 6つ pdfファイル 6つ zipファイル 4つ不明(拡張子なし) 2つ受信した不正メールの種類 11

12 不正メールの特徴 URLのみが添付されているものはリンク先のサイトにアクセスできない場合がほとんどだった不正メール送信者が痕跡を消すために削除していたためか解析対象とは別途に受信後 24時間以内にURLが添付された不正メールの解析 Case1 Case3 受信した不正メールの種類 12

13 不正メールの特徴段階的な指示を出す不正メール受信した不正メールと添付ファイル開いた添付ファイルによる新たな指示不正メールの送信者が痕跡を分かりづらくするため複数の動作を受信者に強いるようにしたためか 13

14 不正メールの特徴以上の結果の他に以下のような不正メールの特徴があった日本語が不自由なものが多かったマルウェアを添付したメールよりフィッシングメールの方がサイトへの誘導が巧妙だったマルウェア感染は通常のようにPCを使用していても気づけないものが多かった添付ファイルの拡張子を偽装しているものが多かった 14

15 実例の紹介 Case1 Appleを装ったメール Case2 ファイルやレジストリの書き換えを行うマルウェア Case3 ウィズダムプロジェクト 15

16 Case1 Appleを装ったメール① Subject: 警告あなたの盗難IDは, 認識されていないすべてのデバイスからiCloudに記録されました. Date: 6 Sep :36: From: Аpple ID <Impoortanssaccountssummaryedes221@blackmateskanjutkebod.mail.live.msn.hotmail.gmail.com> To: aaaaaaaaaaaaaaaaaaaaaaaaa 16

17 Case1 Appleを装ったメール② Dear Client, セキュリティ上の理由により, Apple IDがロックされています. 誰かが別のIPアドレスからApple IDにログインしました. 日時 6 September 2017, 07:15:35 GMT デバイス iphone 7 plus lp: (United States) オペレーティングシステム ios あなたのアカウントはロックされています. あなたのアカウントを引き続き使用するには, 下記のリンクをクリックして情報を更新してください. 更新したら, アカウントをもう一度使用し続けることができます. 17

18 Case1 Appleを装ったメール③ クリックログインするにはここをクリック < アカウントにログインできない場合は, すぐにお知らせください. 重要なのは, 誰もあなたの知らないうちにあなたのアカウントにアクセスしていないことをクリックするだけなら確認するためです. 大丈夫というわけではないので注意 SincereIy, Apple Support このメールに返信しないでください. 私たちと連絡を取るには, ヘルプと連絡先をクリックしてください. Apple ID < Support < Privacy Policy < Copyright 2017 Apple Distribution International.All rights reserved. 18

19 Apple.com でない https 通信暗号化されているが通信相手は悪意があるページ内のリンクは自身へのもの 19 Apple を偽装したフィッシングサイト

20 認証有り偽物本物見た目による判断はあてにならない 20

21 ログインする偽物ページは架空のIDとパスワードでログインできるただし入力したIDとパスワードのペアは収集されると考えるのが自然 Apple IDで管理できるものメール連絡先バックアップデータクラウド上のデータ写真など支払情報など 21

22 22

23 アカウントのロック解除の名目で個人情報を入力次ページでカード情報を入力 ( キャプチャは事故により紛失 ) 二要素認証の回避

24 すべての入力が終わると自動的に本物の Apple のページへ移動する 24

25 その後個人情報を入力後にメールにあるリンクをクリックすると本物のAppleページへ移動するようになる入力前と入力後で挙動が異なる偽物ページ履歴に残っているは数日以内に消滅を確認 25

26 フィッシングサイトの解析結果多くのフィッシングサイトはメールが来た数日後には消える分析回避のためか見た目での判断は難しい本物を徹底的に模倣している細部までこだわって作成されている https通信で安全そうに見える騙されたことに気づかせない工夫がある 26

Case2 レジストリやファイルの書換えを行うマルウェア Subject: 日本通運CSD提供データ Date: Thu, 27 Apr 2017 08:43:09 +0100 From: ise@ari.

27 Case2 レジストリやファイルの書換えを行うマルウェア Subject: 日本通運CSD提供データ Date: Thu, 27 Apr :43: From: To: aaaaaaaaaaaaaaaaaaaaaaaaa 添付ファイルに関するお問い合わせは, 下記までご連絡下さい. 日本通運株 CSDコールセンター電話番号

28 Case2 レジストリやファイルの書換えを行うマルウェア zipファイルを解凍すると拡張子をcsvに偽装したexeファイルが現れた exeファイルを実行するとファイルやレジストリが書き換えられた Windows error ratingの無効化など実際に使用していても目に見える悪影響は生じなかった感染には気づけない 28

29 Case3 ウィズダムプロジェクト Subject: 参加申請無料 7万円プレゼント Date: Sep, 12 Apr :39 From: To: aaaaaaaaaaaaaaaaaaaaaaaaa 下記URLから特設サイトへ飛び, プロジェクトへの参加申請手続き無料を行うと今日から毎日7万円を差し上げます. 参加申請手続きは30秒, 長くても1分で完了しますので今のうちに行っていただくようお願い致します. 参加申請手続きはこちら 29

30 Case3 ウィズダムプロジェクト会員登録をすると40分程度の動画の視聴を促された動画は全5話今回視聴したのは1話のみ敢えて全5話の動画を視聴させ最後まで見てしまう騙しやすい人間をピンポイントに狙う詐欺のようなものかウィズダムプロジェクト登録画面説明動画第1話 30

31 解析結果の考察 <フィッシィングサイト> 今回のケースはURLが不自然だったので URLで判断することが可能かしかし有名でないサイトでは判断が難しいと感じた通信が保護されていても https通信悪意のあるサイトかもしれない 31

32 解析結果の考察 <マルウェア> 自分のPCが感染しているかどうか分からなかった感染しても多くの人は気づかないそもそもマルウェアに感染しないことが重要危険なファイルの拡張子の偽装 Case2 exeファイルは警戒されやすいが csv ファイルはより実行されやすいと感じた 32

33 まとめ不正メールの脅威を認識し意識の改善を図る解析 <解析結果よりわかったこと> 不正メールからアクセスできるネットワーク上の不正なサイトは多くの場合一定時間通過後に削除されたフィッシィングサイトは緻密に作られており見た目だけで本物か偽物かを判断するのは難しかった(Appleのサイトなど) マルウェアではより感染させやすくするために添付ファイルの拡張子を偽装しているものがあった <今後の課題> OSによる脆弱性の違いや, アップデートありなしによる感染のしやすさ等の解析 33

34 最後に今回の実験は大学のネットワークを利用しない不正メールの実行は仮想空間上で行う悪質な通信がないか常に確認する等安全に留意して行いました 34

35 参考文献 [1] 日本フィッシング対策協議会 [2] Norton Blog, マルウェアとウイルスの違い [3] TREND MICRO [4] Canon ITソリューションズ [5] 総務省 35

36 Virtual Boxについて 36

37 日本でのフィッシングメール被害日本でのフィッシングメール届け出件数 37

38 日本のフィッシングメール被害出典フィッシング対策協議会フィッシングレポート 38

39 通信について Java/JavaSE/Network/1/ 39

40 通信について uyarin/ss

41 インターネットバンキング被害インターネットバンキングの不正送金の発生件数の推移総務省 41

42 コンピュータウイルスによる被害額情報処理推進機構 IPA の被害額算出モデルにおいてウイルス感染による1企業当たりの被害額中小規模企業 430万円大手中堅企業 1億3000万円 42

43 グループ演習シラバス授業概要 3-4 名の学生グループ毎にリスク工学に関する特定の課題を選択し,アドヴァイザー教員のもとで,グループとして問題の把握, 分析,考察を行い,結果をまとめる. 43

卒業論文本体の書き方

卒業論文本体の書き方不正メールの脅威の実例リスク工学グループ演習第 5 班舟橋聖人三島貴務太田洋平周億琳アドバイザー教員面和成 1 背景目的近年, フィッシングメールやマルウェア感染といった不正メールによる特定の組織や個人を狙った情報窃盗等の被害が増加している [1]. 図 1 APWG へのフィッシングメール届け出件数 [2] このような不正メールの手口として, 添付ファイルを開かせることでウイルスに感染させたり,

フィッシングメールの セキュリティリスク

フィッシングメールのセキュリティリスク