別紙平成 25 年上半期のサイバー攻撃情勢について 1 概況警察ではサイバーインテリジェンス情報共有ネットワーク *1 を通じ標的型メール攻撃等のサイバー攻撃事案に係る情報を集約するとともに事業者等による情報システムの防護に資する分析結果等の情報を共有している警察は平成 25 年上半期

Size: px

Start display at page:

Download "別紙平成 25 年上半期のサイバー攻撃情勢について 1 概況警察ではサイバーインテリジェンス情報共有ネットワーク *1 を通じ標的型メール攻撃等のサイバー攻撃事案に係る情報を集約するとともに事業者等による情報システムの防護に資する分析結果等の情報を共有している警察は平成 25 年上半期"

せいごろうみうら
5 years ago
Views:

1 広報資料平成 25 年 8 月 22 日警備企画課情報技術解析課平成 25 年上半期のサイバー攻撃情勢について 1 概況平成 25 年上半期も引き続き我が国の民間事業者等に対し情報窃取を企図したとみられるサイバー攻撃 ( 標的型メール攻撃 ) が発生同期間中民間事業者等に送付されていたとして警察が把握した標的型メール攻撃の件数はばらまき型攻撃の減少により前年同期と比べ大幅減となったがその手口は巧妙化 2 標的型メール攻撃の情勢と特徴平成 25 年上半期に警察が把握した標的型メールは 201 件で前年同期比 351 件 ( 63.) 把握件数減少の要因は国内外の情勢に乗じて情報提供等を詐称するメールを関係各方面に大量に送付するばらまき型攻撃の減少その一方業務に関連する内容のメールのやりとりを何通か行った上で標的型メールを送付するやりとり型攻撃は昨年 1 年間で 2 件であったものが本年上半期だけで 33 件確認やりとりの内容は採用に関する質問等が 5 割強製品に関する不具合の問合せ等が約 3 割標的型メールの送信元アドレスはフリーメールアドレスを使用するものが 6 割強送り付けられた不正プログラムの半数は見かけ上画像ファイルや文書ファイルに偽装標的型メール攻撃に使用された不正プログラム等による通信の接続先は米国が約 25% 韓国が約 17% 香港が約 12% タイが約 11% とそのほとんどが外国 3 今後の対応警察が把握した標的型メール攻撃の件数手口の特徴を基に注意喚起を行うとともに情報提供の呼び掛けを行う予定 Word 文書に偽装した不正プログラム H23 下半期 H24 上半期 H24 下半期 H25 上半期 5% 17% 11% 12% 25% 17% 米国韓国香港タイカナダベトナム中国その他 H25 上半期の標的型メール攻撃に使用された不正プログラム等の接続先

2 別紙平成 25 年上半期のサイバー攻撃情勢について 1 概況警察ではサイバーインテリジェンス情報共有ネットワーク *1 を通じ標的型メール攻撃等のサイバー攻撃事案に係る情報を集約するとともに事業者等による情報システムの防護に資する分析結果等の情報を共有している警察は平成 25 年上半期中本ネットワークを通じて事業者等に対する標的型メール攻撃 201 件 ( 前年同期比 351 件 ( 63.)) を把握したまた政府機関に対する標的型メール攻撃に関する情報を集約分析している内閣官房情報セキュリティセンター (NISC) と連携し政府機関に送付された標的型メールの分析結果についても本ネットワークを通じて事業者等と情報共有している共有された情報を基に各事業者等が対策を講じた結果新たに143 件の標的型メール攻撃が把握されており被害の未然防止や拡大防止につながっている 2 標的型メール攻撃の手口 (1) ばらまき型が減少標的型メール攻撃の手口については国内外の情勢を捉えた情報提供を装い多数の宛先に同一のメールを送付するばらまき型の攻撃が昨年に比べて大幅に減少したばらまき型の攻撃は同じ文面や不正プログラムを多数送信することから受信者が不審に思う可能性が高まり攻撃の事実が発覚しやすいばらまき型の攻撃が減少したことで少数の攻撃先に特化した不正プログラムや文面を使用する標的型メール攻撃の割合が相対的に増加したばらまき型 *2 ばらまき型以外 24 年中 88% 12% 25 年上半期 24% 7 ばらまき型とそれ以外の標的型メール攻撃の割合 *1 平成 23 年 8 月に警察と先端技術を有する事業者等が構築したネットワークで本年 8 月 1 日現在約 5,000 社が参画 *2 同じ文面や不正プログラムが 10 か所以上に送付されていた標的型メール攻撃をばらまき型として集計 -1-

3 (2) やりとり型が増加やりとり型の標的型メール攻撃は攻撃対象にいきなり不正プログラムを送付するのではなく採用活動や取引等の業務との関連を装った通常のメールのやりとりを何通か行うことにより添付ファイル付きのメールが送られても不自然ではない状況を作った上で不正プログラムを添付したメールを送り付ける手口であるやりとり型の攻撃は平成 24 年には年間を通じて2 件であったのに対し 25 年上半期には半年間で33 件と大幅に増加したやりとりするメール本文に記載された内容は 5 割超が職員採用に対する質問や応募を装ったものであり約 3 割が製品に関する質問や不具合の報告を装ったものであった不正プログラムは履歴書質問状不具合の状況等を記録した文書ファイルと称して送付されていたまたやりとりを開始する1 通目のメールの内容は約 7 割が問合せ先のメールアドレスを確認するものであった攻撃を受けたメールアドレスは約 8 割が対象組織等のホームページ上で公開されているものであったしたがってホームページ上で公開しているメールアドレスのように不特定多数からのメールを受信する機会の多いパソコンは組織内の通常業務用のパソコンのネットワークとは分離した専用のものとし必要のないプログラムが動作しない仕組みを導入するなどの対策を講じることが重要である (3) フリーメールアドレス *3 を送信元とする標的型メールが増加標的型メールの送信元アドレスとしてフリーメールアドレスを使用するものの割合が増加している 25 年上半期には 6 割超の標的型メールがフリーメールアドレスから送信されており特にやり 10% 80% 60% 40% 20% 0% とり型の攻撃は全てフリーメールアドレスから送信されているこのような攻撃に対してはメールサーバの設定によりフリーメールアドレスから送信されたメールを受信した場合は件名や本文に警告を表示し 2 49% フリーメールアドレスを送信元とする標的型メール攻撃の割合受信者に注意を促すなどの対策を講じることが重要である 62% H24 上半期 H24 下半期 H25 上半期 *3 無料で利用可能なメールアドレスであり国内外の様々な事業者によるサービスが提供されている -2-

4 (4) 送り付けられた不正プログラムのファイル形式等の特徴アイ全体の半数が圧縮ファイルを添付する手口標的型メール攻撃で使用される不正プログラムのファイル形式は全体の半数が圧縮ファイル形式 (ZIP 形式 RAR 形式 LZH 形式 ) *4 であり主に日本国内でのみ使用されている LZH 形式が占める割合が昨年よりも増加したこれら圧縮ファイルを展開 ( 解凍 ) して生成される不正プログラムの約 9 割が実行ファイル形式であった実行ファイル形式の電子ファイルは制作者の設定により任意のアイコン画像を表示させることが可能であるため画像ファイルや文書ファイルのアイコンを偽装することにより受信者に誤信させて不正プログラムを実行させようとする手口が目立つ平成 24 年中はほぼ半数に偽装が施されておりそのほとんどが Word 文書ファイルのアイコンを表示するよう偽装されていたこれに対し 25 年上半期にはほぼ全ての不正プログラムに偽装が施されており半数が Word 文書ファイル約 3 割が画像 (JPEG) ファイルのアイコンを表示するよう偽装されていた Excel ブック形式の添付ファイルが増加圧縮されていないファイル形式の添付ファイルについては 25 年上半期には表計算ソフトウェアであるExcel のブック形式 ( 拡張子が xls のもの ) が最も多かった当該ファイル形式を使用した標的型メールの内容には同窓会名簿や住所録の送付を偽装したものが多く見られた 0% 2% 1% 圧縮ファイル (zip) 圧縮ファイル (lzh) 2% 1% 4% 10% 22% 圧縮ファイル (zip) 圧縮ファイル (lzh) 圧縮ファイル (rar) 圧縮ファイル (rar) 40% 50% Excel ブック (xls) Excel ブック (xls) Word 文書 (doc) Word 文書 (doc) 実行ファイル (exe) 33% 19% 実行ファイル (exe) PDFファイル (pdf) その他 9% PDFファイル (pdf) 一太郎文書 (jtd) 1% 0% 平成 24 年平成 25 年上半期標的型メールに添付された不正プログラムのファイル形式 *4 複数の電子ファイルのデータサイズを縮小し 1 つの電子ファイルにまとめたもの -3-

5 3 標的型メール攻撃の事例 (1) 採用窓口に対する質問を装ったやりとり型の攻撃企業のウェブサイトに公開されている採用窓口のメールアドレスに対し転職に関する質問を受け付けているかどうかを確認するメールが送付された当該企業から返信した後に質問書を送付すると称して正常なExcel ブック形式ファイルと不正プログラムを仕込んだ圧縮ファイルの2つを添付したメールが送付された圧縮ファイルのパスワードはメール本文に記載されており圧縮ファイルを展開 ( 解凍 ) して生成される実行形式ファイルはアイコンがWord 文書に偽装された上で RLO 機能 *5 によりファイル名もWord 文書に見えるよう偽装されていた (2) 国内外の情勢を捉えたばらまき型の攻撃本年 2 月米国情報セキュリティ関連企業であるマンディアント社が米国に対するサイバー攻撃への中国軍の関与を指摘するレポートを公表した直後中国軍がサイバー攻撃米最新報告と題したメールや米国の対中戦略に関する資料送付を装ったメールが送付されたこれらのメールの本文はマンディアント社のレポートや米国の対中戦略について日本国内で発行された新聞記事や雑誌記事を引用して作成されていたメールには不正プログラムを仕込んだPDF ファイルと圧縮ファイルの2つが添付されていた圧縮ファイルを展開 ( 解凍 ) して生成される実行形式ファイルはアイコンがWord 文書に偽装されていた *5 アラビア語等に対応するためファイル名を右読みから左読みに変える機能で例えばファイル名 fdp.e xe は RLO 機能を使用すると exe.pdf と表示されるため実行ファイルを PDF ファイルに偽装することができる -4-