標的型攻撃メールの傾向と見分け方 ~ サイバーレスキュー隊 (J-CRAT) の活動を通して ~ 2016/ 05 独立行政法人情報処理推進機構 (IPA) 技術本部セキュリティセンター 情報セキュリティ技術ラボラトリー Copyright 2015 独立行政法人情報処理推進機構

Transcription

1 標的型攻撃メールの傾向と見分け方 ~ サイバーレスキュー隊 (J-CRAT) の活動を通して ~ 2016/ 05 独立行政法人情報処理推進機構 (IPA) 技術本部セキュリティセンター 情報セキュリティ技術ラボラトリー Copyright 2015 独立行政法人情報処理推進機構

2 1. 標的型サイバー攻撃への取り組み 2. 標的型攻撃メールの見分け方 3. 添付ファイルの見分け方 4. 標的型攻撃メールを見つけたら Copyright 2015 独立行政法人情報処理推進機構 1

3 1. 標的型サイバー攻撃への取り組み 2. 標的型攻撃メールの見分け方 3. 添付ファイルの見分け方 4. 標的型攻撃メールを見つけたら Copyright 2015 独立行政法人情報処理推進機構 2

4 1.1 標的型サイバー攻撃に対する取り組み サイバーセキュリティと経済研究会 ( 経産省 ) 2010/12~ での検討政策を受けて展開 Titan Rain 国内の政府機関への標的型メールの観測 APT1 APT12 Op. Aurora PittyTiger Stuxnet RSA 重工被害発覚 2003 ~ ~ 2013 APT17 Lurid/Nitro 政府機関への攻撃 Luckycat CVE 組織間メールを窃取 ウイルス添付 Op.DeputyDog Op.Hydra やりとり型 取材 講演依頼 医療費通知 Xmas 謹賀新年 標的型攻撃が深刻な脅威に 2014 Poison Ivy PlugX 2010/12 METI サイハ ーセキュリティと経済研究会 Emdivi システム設計 *1) 早期対応 *2) 情報共有 *3) 脅威と対策研究会 2010/12 標的型サイバー攻撃特別相談窓口 2011/8 設計 Guide v1 2011/10 分析レホ ート 分析レホ ート 情報共有 J-CSIP 2013/8 設計 Guide v3 分析レホ ート レスキュー試行 5 業界の情報共有体制 2012/4 2014/9 設計 Guide v4 サイバーレスキュー隊 J-CRAT *1) *2) *3) Copyright 2015 独立行政法人情報処理推進機構 3

5 1.2 サイバーレスキュー隊 (J-CRAT) ~ 活動概要 Since 2014~ 標的型サイバー攻撃に対する初動の遅れは 長期的な被害となります (APT) 攻撃や被害の把握 対策の早期着手のため 情報収集と 組織の支援を行っています J-CSIP 独法連絡会 JPCERT/CC 公的機関 業界団体 社団 財団 重要産業関連企業 情報提供支援相談 情報発信 レスキュー支援 公開情報 Web 検索サイト巡回 情報収集 情報提供 サイバーレスキュー隊 (J-CRAT) サイバーレスキュー活動 標的型サイバー攻撃特別相談窓口 公開情報の分析 収集 エスカレーション エスカレーション 技術連携 着手アプローチ ケース 1 ケース 2 ケース 3 支援内容 解析 攻撃 被害の把握 攻撃 被害の可視化 助言 重要産業取引先 ケース1: 標的型サイバー攻撃特別相談窓口に寄せられた支援対象組織からの相談ケース2: 受付した相談から 連鎖的な被害 ( の可能性のある ) 組織が推定された場合ケース3: 公開情報の分析 収集により被害 ( の可能性のある ) 組織が推定された場合 Copyright 2015 独立行政法人情報処理推進機構 4

6 1.2 J-CRAT 活動実績 相談件数 支援件数 (2014/4~2015/9) 2014 年度 2015 年度 4 月 ~9 月 10 月 ~3 月 計 4 月 ~9 月 相談件数 レスキュー支援数 オンサイト Copyright 2015 独立行政法人情報処理推進機構 5

7 1.2 J-CRAT 活動実績 メール種別割合 (2014/4~2015/3) From メールアドレス割合 (2014/4~2015/3) 添付 URL リンクなし 19 件 (3%) 不明 22 件 (4%) 独立行政法人 9 件 (3%) 大学 5 件 (1%) その他 11 件 (3%) URL リンク 36 件 (6%) 存在しない 12 件 (4%) 省庁 22 件 (7%) 添付 ( 非圧縮 ) 168 件 (27%) 添付 ( 圧縮 ) 364 件 (60%) 企業 112 件 (34%) フリーメール 157 件 (48%) N=609 N=328 Copyright 2015 独立行政法人情報処理推進機構 6

8 1.2 J-CRAT 活動実績 不審ファイル種別割合 (2014/4~2015/3) ファイル圧縮形式割合 不審ファイル種別 7z 13 件 (3%) lzh 26 件 (7%) arj 2 件 (1%) gz 2 件 (1%) cab 1 件 (0%) com, 4, 1% lnk, 3, 1% pif, 3, jtd, 5, 1% 1% jar, 6, 1% cpl, 13, 3% pdf 28 件 (6%) rtf, 3, 1% その他, 8, 2% rar 70 件 (19%) zip 253 件 (69%) scr 71 件 (15%) exe 228 件 (48%) マイクロソフトオフィス 108 件 (23%) N=367 N=480 Copyright 2015 独立行政法人情報処理推進機構 7

9 1.3 標的型サイバー攻撃の連鎖 ~ 標的型サイバー攻撃の連鎖 ( チェーン ) の実態 ~ 標的型攻撃は 様々な攻撃形態をとるため多層防御が重要です 組織内での 多層防御 ( 入口 出口 内部 統括管理 ) だけでなく - 組織をまたがった攻撃に対しては 攻撃の連鎖 ( チェーン ) を上流で断つことが重要となります - 攻撃連鎖の遮断は日本のシステムにおける多層防御の一つとなります 攻撃者 国 凡例 1 直接攻撃 2 ある組織から上流の組織への攻撃 3 ある組織から傘下の組織への攻撃 4 ある組織と関連する組織への攻撃 1 官公庁 2 3 公的機関 3 1 攻撃者 3 1 WeekPoint として狙われる 取引先企業 / 組織 業界団体 ( 社団 財団 ) 4 Copyright 2015 独立行政法人情報処理推進機構 8

10 攻撃連鎖の一例 ~ 重要情報が無くても 攻撃インフラとして利用される ~ 業務メールをついつい個人メールへ転送してしまう 業務上 組織のネットワークから外部のメール ( 出向 派遣元メール ) を見てしまう 過去のメール アドレス帳に相手の職務情報が書かれているなど 標的にされる情報は多数存在します 画面表示 4 ウイルス付詐称メール 3 メールの窃取 1 標的型攻撃メールでウイルスに感染 攻撃者 2ID/Pass の窃取 被害者 WeekPoint として狙われた組織 各自の組織メールではなく 古くから使っているフリーメール 今使っているフリーメールの情報も 攻撃者にとっては有益な攻撃ツール素材 Copyright 2015 独立行政法人情報処理推進機構 9

11 攻撃連鎖対応事例 ~ サイバーレスキュー隊活動で明らかになった事象 ~ 画面表示 攻撃の連鎖 ( 組織をまたがった攻撃 ) が行われている事を確認 その連鎖を追跡することで 他組織の被害を掘り出すことができた 組織 A 組織 B 組織 C 組織 D 攻撃遠隔操作 情報提供 1 組織 B を騙った攻撃を確認 標的型攻撃メール分析不審ファイル調査通信ログ分析共有情報作成 情報提供 調査支援 2 新たな攻撃先 ( 組織 C) を確認 攻撃者 情報提供 調査支援 対策支援 3 組織 C から組織 D へ攻撃メールが送られていた事実が判明 Copyright 2015 独立行政法人情報処理推進機構 10

12 標的型サイバー攻撃の連鎖 ~ 攻撃中継の実例 ~ 感染後長期潜伏され 攻撃素材が現れるのを待ち 巧妙な手口に活用される事例がありました 1 標的型攻撃メールによる感染 攻撃間隔は約半年 2A さんになりすましたメール 攻撃者 3B さんになりすましたメール 攻撃潜伏期間が 3 年に及ぶものもあり 小規模組織 情報窃取 情報窃取 大規模組織 A さん B さん Copyright 2015 独立行政法人情報処理推進機構 11

13 攻撃パターン ~ 代表的な攻撃方法 ~ 画面表示 標的型攻撃メールは 不審な添付ファイルや URL リンクを攻撃対象に送りつけ それを実行させるために差出人や文面を偽装 ( 転用 ) したり ファイルの見た目を加工したりします 攻撃者 1 不審ファイル付き標的型攻撃メール パスワード付圧縮ファイル そのまま添付 2 不審 URLリンク付き標的型攻撃メール ドメイン偽装 表示と異なるリンク 実行ファイル アイコン偽装 拡張子偽装 (RLO) オフィス文章 ウイルス埋め込み マクロ埋め込み このまま RAT( 遠隔操作ウイルス ) として動くものも 次段として遠隔操作ウイルスを取りにいくものもある このほかに 次のような攻撃手法も使われます 特定のWeb 閲覧者だけを狙う水のみ場攻撃 オンライン広告機能を悪用するマルバタイジング 隔離環境のシステムを狙うUSB 自動実行悪用 Copyright 2015 独立行政法人情報処理推進機構 12

14 攻撃連鎖の一例 ~ 一旦穴が開けば 遠隔から操作できてしまう ~ 画面表示 標的型攻撃メールに添付された不審なファイル 不審な URL を開いた結果落ちてくるファイルを実行し感染してしまうと 即座 ( 数分 ~ 数十分 ) に攻撃者は活動し始めます そして 少し間をおいて より深い活動に移行するケースが多くあります 1 初段ウイルス作成 このタイミングで攻撃を予見できるよう 各セキュリティベンダの発表情報や 既存の C2 サーバ観測 テスト用ウイルスの発見など公開情報検索を評価実施しはじめました このタイミングで攻撃を阻止できるよう 情報共有が必要となってきます 被害者 攻撃者 2 メール作成準備 宛先 文面 4 感染 3 送付 5C2 サーバ通信 ( 次段ウイルスを持ってくることもある ) 6 情報収集 メールデータ PC ログイン ID/Pass ファイルサーバデータ圧縮 / 窃取 AD 管理者権限 5 横展開 6C2 サーバ通信 ( 別の C2 のこともある ) Copyright 2015 独立行政法人情報処理推進機構 13

15 標的型サイバー攻撃の痕跡 ~ 全体像 ~ 8Web メール不正利用 7WebShell 経由での侵入 メール Web クラウド 6VPN 経由での侵入 VPN 5 想定外のインターネット接続システムA システム B 2AD 感染 認証情報漏洩ファイルサーバデータ漏洩攻撃ツール発見 アンチウイルス管理サーバ AD サーバファイルサーバ IT 資産管理 インターネット 端末 1 最初の感染 海外現地メール Web 独自インターネット 海外 WAN 国内 WAN 3 攻撃ツール発見 9 国内 IT 部門が関知しない海外システムでの同様の被害 10 想定外のインターネット接続 4 他端末感染 (RAT) Copyright 2015 独立行政法人情報処理推進機構 14

16 デモンストレーション ~ 標的型攻撃メールの添付を開いたら ~ デモでは レジストリを表示して確認していますが レジストリを誤って操作する可能性がありますのでご注意ください また かならずこの確認方法でチェックできるとは限りません 詳細は 2013 年のテクニカルウオッチをご覧ください 独立行政法人情報処理推進機構 (IPA) 標的型サイバー攻撃特別相談窓口 標的型攻撃メールの傾向と事例分析 <2013 年 > ~ ますます巧妙化 高度化する国内組織への標的型攻撃メールの手口 ~ Copyright 2015 独立行政法人情報処理推進機構 15

17 直近の攻撃全体関連図 メール送信ホスト メール送信者 メールリレー メール受信者 通信先 Copyright 2015 独立行政法人情報処理推進機構

18 直近の攻撃全体関連図 メール送信ホスト メール送信者 ( 詐称含む ) メールリレー メール受信者 通信先 12015/12 受信組織 A プロバイダ A ホスト名 1 通信先 A A 国 12015/12 送信元 A Copyright 2015 独立行政法人情報処理推進機構

19 直近の攻撃全体関連図 メール送信ホスト メール送信者 ( 詐称含む ) メールリレー メール受信者 通信先 12015/ /12 受信組織 A プロバイダ A ホスト名 企業 B 1 通信先 A A 国 ホスト名 B 22015/12 2 通信先 B 送信元 A Copyright 2015 独立行政法人情報処理推進機構

20 直近の攻撃全体関連図 メール送信ホスト メール送信者 ( 詐称含む ) メールリレー メール受信者 通信先 12015/ /12 受信組織 A プロバイダ A ホスト名 企業 B 1 通信先 A A 国 ホスト名 B 32015/12 受信組織 B 22015/12 2 通信先 B 送信元 A 32015/12 3 B 国 通信先 C 送信元 B Copyright 2015 独立行政法人情報処理推進機構

21 直近の攻撃全体関連図 メール送信ホスト メール送信者 ( 詐称含む ) メールリレー メール受信者 通信先 12015/ /12 受信組織 A プロバイダ A ホスト名 企業 B 1 通信先 A A 国 ホスト名 B 32015/12 受信組織 B 22015/12 2 通信先 B 送信元 A 42015/ /12 受信組織群 C B 国 32015/ 通信先 C 送信元 B Copyright 2015 独立行政法人情報処理推進機構

22 直近の攻撃全体関連図 メール送信ホスト メール送信者 ( 詐称含む ) メールリレー メール受信者 通信先 12015/ /12 受信組織 A プロバイダ A ホスト名 企業 B 1 通信先 A A 国 12015/12 企業 C ホスト名 B ホスト名 C 32015/12 受信組織 B 2 通信先 B 送信元 A 42015/ /12 受信組織群 C B 国 32015/ 通信先 C 52015/12 送信元 B 5 通信先 D Copyright 2015 独立行政法人情報処理推進機構

23 直近の攻撃全体関連図 メール送信ホスト メール送信者 ( 詐称含む ) メールリレー メール受信者 通信先 12015/ /12 受信組織 A プロバイダ A 62016/1 ホスト名 企業 B 1 通信先 A A 国 12015/12 企業 C ホスト名 B ホスト名 C 32015/12 受信組織 B 2 通信先 B 送信元 A 42015/ /12 受信組織群 C B 国 32015/12 複数プロバイダ 4 3 通信先 C 52015/12 送信元 B 5 通信先 D 6 通信先 E Copyright 2015 独立行政法人情報処理推進機構

24 直近の攻撃全体関連図 メール送信ホスト メール送信者 ( 詐称含む ) メールリレー メール受信者 通信先 12015/ /12 受信組織 A プロバイダ A 62016/1 ホスト名 企業 B 1 通信先 A A 国 12015/12 企業 C ホスト名 B ホスト名 C 32015/12 受信組織 B 2 通信先 B 送信元 A 42015/ /12 受信組織群 C B 国 32015/12 複数プロバイダ 4 3 通信先 C 52015/ /1 受信組織群 送信元 B 72016/ /1 5 通信先 プロバイダ D ホスト名 D 7 6 通信先 E Copyright 2015 独立行政法人情報処理推進機構

25 直近の攻撃全体関連図 メール送信ホスト メール送信者 ( 詐称含む ) メールリレー メール受信者 通信先 12015/ /12 受信組織 A プロバイダ A 企業 B ホスト名 A 8a2016/1 1 通信先 A A 国 12015/12 企業 C ホスト名 B ホスト名 C 32015/12 受信組織 B 2 通信先 B 送信元 A 42015/ /12 受信組織群 C B 国 32015/12 複数プロバイダ 4 3 通信先 C 52015/ /1 受信組織群 送信元 B 72016/ /1 5 通信先 プロバイダD ホスト名 D プロバイダE 8b2016/1 受信組織群 E 6 7 8a 8b 8c 通信先 E ホスト名 E 8c2016/1 受信組織 F Copyright 2015 独立行政法人情報処理推進機構

26 直近の攻撃全体関連図 メール送信ホスト メール送信者 ( 詐称含む ) メールリレー メール受信者 通信先 12015/ /12 受信組織 A プロバイダ A 企業 B ホスト名 A 8a2016/1 9a2016/1 1 通信先 A A 国 12015/12 企業 C ホスト名 B ホスト名 C 32015/12 受信組織 B 2 通信先 B 送信元 A 42015/ /12 受信組織群 C B 国 32015/12 複数プロバイダ 4 3 通信先 C 52015/ /1 受信組織群 送信元 B 72016/ /1 5 通信先 プロバイダD ホスト名 D プロバイダE 8b2016/1 受信組織群 E 6 7 8a 8b 8c 通信先 ホスト名 E プロバイダF ホスト名 F 8c2016/1 9b2016/1 受信組織 F 9a 9b 通信先 F Copyright 2015 独立行政法人情報処理推進機構

27 直近の攻撃全体関連図 過去に Emdiviの標的となったアドレスや組織は今後も狙われる可能性が高いです Copyright 2015 独立行政法人情報処理推進機構

28 1. 標的型サイバー攻撃への取り組み 2. 標的型攻撃メールの見分け方 3. 添付ファイルの見分け方 4. 標的型攻撃メールを見つけたら Copyright 2015 独立行政法人情報処理推進機構 27

29 2.1 標的型攻撃メールの例と見分け方 ~ テクニカルウオッチ ~ 情報提供いただいた標的型攻撃メールの調査 分析を行い 2015 年 1 月 9 日にレポートを公開しました Copyright 2015 独立行政法人情報処理推進機構 28

30 2.2 標的型サイバー攻撃分析レポート ~ その他のテクニカルウオッチ ~ 情報提供いただいた標的型攻撃メールの調査 分析内容を公開し 特徴や傾向の把握に役立てていただいています Copyright 2015 独立行政法人情報処理推進機構 29

31 2.3 標的型攻撃メールの例と見分け方 主な初出の出来事 2005 初観測 ( 実在の外務省職員を詐称 Word 文書 複数の官公庁宛 ) 2006 新聞社を詐称 民間大手企業宛 一太郎文書 実行形式ファイル 2007 未修正の脆弱性を悪用 ( ゼロデイ ) PDF 文書 2008 標的型攻撃メールに関する組織内注意喚起メールを加工 2009 新型インフルエンザ関連情報に偽装 添付ファイルのないメール 2010 [ 海外 ]Stuxnetによるイランの核施設攻撃 2011 東日本大震災 原発事故関連情報に偽装 やりとり型 Mac OS X 2012 [ 海外 ] 水飲み場攻撃 2013 lnk( ショートカット ) ファイル 2014 現在は フリーメールアドレス利用 添付ファイル型が主流 Copyright 2015 独立行政法人情報処理推進機構 30

32 2.3 標的型攻撃メールの例と見分け方 着眼点 ( ア ) テーマ これまで検知された標的型攻撃メールの特徴 1 知らない人からのメールだが 開封せざるを得ない内容例 1: 新聞社 出版社からの取材申込 講演依頼例 2: 就職活動に関する問合せ 履歴書の送付例 3: 製品やサービスに対する問い合わせ クレーム例 4: アンケート調査例 5: やり取り型メール 2 誤って自分宛に送られたメールの様だが 興味をそそられる内容例 1: 議事録 演説原稿などの内部文書送付例 2: VIP 訪問に関する情報 3 これまで届いたことがない 公的機関からのお知らせ例 1: 情報セキュリティに関する注意喚起例 2: インフルエンザ流行情報例 3: 災害情報 Copyright 2015 独立行政法人情報処理推進機構 31

33 2.4 標的型攻撃メールの例と見分け方 着眼点 ( イ ) 送信者 これまで検知された標的型攻撃メールの特徴 1 フリーメールアドレスからの送信 2 送信者のメールアドレスが署名 ( シグネチャ ) と異なる 1 言い回しが不自然な日本語 2 日本語では使用されない漢字 ( 繁体字 簡体字 ) ( ウ ) メール本文 3 正式名称を一部に含むような不審 URL 4HTML メールで 表示と実際の URL が異なるリンク 5 署名の記載内容がおかしい 該当部門が存在しない Copyright 2015 独立行政法人情報処理推進機構 32

34 2.5 標的型攻撃メールの例と見分け方 着眼点 ( エ ) 添付ファイル 1 添付ファイルがある これまで検知された標的型攻撃メールの特徴 2 実行形式ファイル (exe / scr / jar / cpl など ) 3 ショートカットファイル (lnk / pif / url) 4 実行形式ファイルなのに文書ファイルやフォルダのアイコン 5ファイル名が不審 例 1: 二重拡張子 例 2: ファイル拡張子の前に大量の空白文字を挿入 例 3: 文字列を左右反転するRLOコードの利用 例 4: エクスプローラで圧縮ファイルの内容を表示すると ファイル名が文字化け 事務連絡 cod.scr 事務連絡 rcs.doc ここに RLO 文字を挿入すると 次のような見た目になる RLO: Right-to-Left Override アラビア語やヘブライ語などをパソコンで使うための特殊な文字 ( 表示はされない ) Copyright 2015 独立行政法人情報処理推進機構 33

35 実際の標的型攻撃メールの例 ~ いわゆるやりとり型 ~ Copyright 2015 独立行政法人情報処理推進機構 34

36 2.6 標的型攻撃メールの例と見分け方 ~ 取材依頼を装った標的型 ~ イ -1 ア -1 エ -1 ウ -1 Copyright 2015 独立行政法人情報処理推進機構 35

37 実際の標的型攻撃メールの例 ~ 取材依頼を装った標的型 ~ 画面表示 2013 年夏に多くみかけました ZIP ファイルの中身は LNK ( ショートカット ) ファイルで オフィス文章のアイコンで偽装が目立ちました 実際はリンク先を参照するのではなく スクリプトが書かれていて 実行すると次段ウイルスをダウンロードし自動実行します 次段ウイルスは PlugX など 国内の標的型サイバー攻撃で多用される RAT( 遠隔操作ウイルス ) が目立ちます Copyright 2015 独立行政法人情報処理推進機構 36

38 実際の標的型攻撃メールの例 ~ 講演依頼を装った標的型 ~ 特徴 様と呼びかけが入る 講演の依頼を装っている 送付先に関係ありそうなテーマ Copyright 2015 独立行政法人情報処理推進機構 37

39 2.7 標的型攻撃メールの例と見分け方 ~ 就職を装った標的型 ~ イ -1 ア -1 エ -1 イ -2 Copyright 2015 独立行政法人情報処理推進機構 38

40 実際の標的型攻撃メールの例 ~ 就職を装った標的型 ~ 画面表示 国内で ある程度拡散した標的型攻撃メールで 0day 攻撃が使われた事例でした IPA より注意喚起実施 狙われた脆弱性 MS Office 等 CVE 熱い思いを語っている Copyright 2015 独立行政法人情報処理推進機構 39

41 2.8 標的型攻撃メールの例と見分け方 ~ 製品 サービスに関する問合せを装った標的型 ~ イ -1 ア -1 エ -1 エ -2 イ -2 Copyright 2015 独立行政法人情報処理推進機構 40

42 2.9 標的型攻撃メールの例と見分け方 ~ 情報セキュリティに関する注意喚起を装った標的型 ~ イ -1 ア -3 ウ -3 ウ -4 実際にクリックした際に表示されるウェブページの URL Copyright 2015 独立行政法人情報処理推進機構 41

43 実際の標的型攻撃メールの例 ~ 情報セキュリティに関する注意喚起を装った標的型 ~ 一見 IPA からの注意喚起に見えるが 実際は フリーメールアドレスから送られている 特徴実際に IPA から提供された注意喚起文を引用している フリーメールアドレスを利用表示上のリンク先は問題なさそうに見えるが実際のリンク先は危険なURL 表示されたリンク先と実際のリンク先が異なる (.xx が追加されている ) Copyright 2015 独立行政法人情報処理推進機構 42

44 2.10 標的型攻撃メールの例と見分け方 ~ 心当たりのない決済 配送通知を装った標的型 ~ イ -1 ア -5 エ -1 ウ -5 Copyright 2015 独立行政法人情報処理推進機構 43

45 実際の標的型攻撃メール類似例 ~Invoice/Purchase Order~ 想定目的 ダウンローダー zbot Banking Trojan, FakeAV など金銭を目的した攻撃 送信先 ( ターゲット ) のプロファイリング : 開封容易性 PC 設定 キーロガー = 高度な標的型攻撃と類似 類似の攻撃パターン SMS, MMS, Voic , efax 年賀状 クリスマスカード Copyright 2015 独立行政法人情報処理推進機構 44

46 2.11 標的型攻撃メールの例と見分け方 ~ID やパスワードの入力を要求する標的型 ~ ア -6 Copyright 2015 独立行政法人情報処理推進機構 45

47 2.12 標的型攻撃メールの例と見分け方 ~ データエントリー型フィッシング ~ 窃取されたメールアカウントの認証情報は SPAM メールの踏み台や 標的型攻撃メールの素材収集に利用される恐れも ア -6 ウ -1 Copyright 2015 独立行政法人情報処理推進機構 46

48 実際の標的型攻撃メール類似例 ~ID/ パスワード盗用を目的としたフィッシング ~ 想定目的 フリーメールのアカウント窃取 組織の Web メールアカウント窃取 画面表示 想定被害 受信メールの窃取 ( 情報漏えい 他の標的型攻撃メール素材転用 ) 標的型攻撃メールの送信 連絡先の窃取 gmail/yahoo などのアカウントをとられた場合は スマートフォンやアプリ連携 認証連携する他サービスでも被害が想定される Copyright 2015 独立行政法人情報処理推進機構 47

49 実際の標的型攻撃メール類似例 ~ 国内ベンダでの注意喚起実例 ~ 画面表示 官公庁 一般企業 大学など多くの導入実績をもつ製品のサイトで注意喚起されている事例 より引用 Copyright 2015 独立行政法人情報処理推進機構 48

50 1. 標的型サイバー攻撃への取り組み 2. 標的型攻撃メールの見分け方 3. 添付ファイルの見分け方 4. 標的型攻撃メールを見つけたら Copyright 2015 独立行政法人情報処理推進機構 49

51 3.1 添付ファイルの例 ファイルの詳細を必ず見る アイコン上は文書ファイルの様に見えるが ショートカットであることを示す 矢印のマーク エクスプローラの詳細表示で見ると コマンドプロンプトで表示すると ショートカットであることがわかる ショートカットの拡張子 Copyright 2015 独立行政法人情報処理推進機構 50

52 3.2 添付ファイルの例 ファイルの詳細を必ず見る エクスプローラで見ると 実行ファイル (exe) であることがわかる また アイコン偽装されていても アイコンが表示されないため騙されにくい Copyright 2015 独立行政法人情報処理推進機構 51

53 3.3 添付ファイルの例 拡張子偽装に注意 拡張子を表示しないと見えない 実際のファイル名 RLO による拡張子偽装 実際のファイル名 Copyright 2015 独立行政法人情報処理推進機構 52

54 3.4 添付ファイルの例 アイコン偽装に注意 実行ファイル ( ウイルス ) のアイコンは何にでも偽装できる 単純な罠だがそれでも引っかかってしまう人がいる アイコンや拡張子を信用しない! ( ファイルの種別 を表示して確認する ) Copyright 2015 独立行政法人情報処理推進機構 53

55 1. 標的型サイバー攻撃への取り組み 2. 標的型攻撃メールの見分け方 3. 添付ファイルの見分け方 4. 標的型攻撃メールを見つけたら Copyright 2015 独立行政法人情報処理推進機構 54

56 4.1 標的型攻撃メールの対応不審メールに気付いた時の対応 組織内の情報集約窓口 ( 情報システム担当部門など ) に連絡 標的型攻撃メールかどうか判らない場合は 以下へ連絡を 独立行政法人情報処理推進機構 (IPA) 標的型サイバー攻撃特別相談窓口 Copyright 2015 独立行政法人情報処理推進機構 55

57 4.2 標的型攻撃メールの対応添付ファイルを開いたり 不審な URL にアクセスした場合の対応 標的型攻撃メールの添付ファイル実行 不審 URL アクセス パソコンがウィルスに感染した可能性 緒論あるが ネットワークからの切り離し ( 被害拡大の防止 ) 不審メールを受信したパソコンの初期化は一考を 初期化すると感染機器や流出情報の特定が困難に 1 証拠保全と業務復旧の両面から対応の決定を 2 フォレンジック専門のセキュリティベンダーに相談を どうしてよいか判らない場合は とりあえず IPA に相談を Copyright 2015 独立行政法人情報処理推進機構 56

58 4.2 標的型攻撃メールの対応システムにおける標的型攻撃対策への助言 1 機能改善策 画面表示 1. インターネット接続制御 / WEB 通信制御 ( ファイアウォール IDS/IPS Web プロキシ クライアント側制御 UTM/NGFW ) A) IP アドレスでの遮断ができること ( グループ設定で制御できると望ましい ) B) 遮断ログ取得ができること (3 年 1 年 半年 3 ヶ月 1 ヶ月 2 週間 ) C) 許可通信ログ取得ができること D) FQDN( ホスト名 ) で通信先制御ができること E) URL フィルタ機能があること ( カテゴリ指定以外にユーザ設定ができること ) F) 標的型攻撃の知見を基にした不正通信監視を行うこと (MSS/SOC サービス ) G) 接続時に認証できること (Web プロキシ ) Copyright 2015 独立行政法人情報処理推進機構

59 4.2 標的型攻撃メールの対応 システムにおける標的型攻撃対策への助言 2 機能改善策 画面表示 2. 通信制御と不審挙動把握 A) DNS リクエストを監視 制御 ( シンクホール化 ) する B) 通信制御機器の DNS リクエストと端末用 DNS リクエストを分離 ( 外部通報時 ) C) 端末管理台数が多い場合は IT 資産管理ツールを併用する D) クライアント操作ログの取得 ( ファイル操作 API コール ) E) 低いレイヤでの制御 ( セグメント分離 最小限のルーティング設定 脱 IPv4) 3. 運用機能 ( 機能有無 対応者確認 作業日数 ) A) メールログの検索 ( 差出人 件名 本文 添付ファイル名 ) B) 通信ログの検索 ( あて先 IP アドレス あて先 FQDN URL パス ) C) 回線ログの確認 ( キャリア プロバイダ提供のトラフィック表示 ネットワーク監視 ) D) アンチウイルスログ ( 管理サーバ 端末側 サーバ側 ) の確認 E) Web サーバコンテンツたな卸し ( 改ざん 追加有無 ) Copyright 2015 独立行政法人情報処理推進機構

60 4.2 標的型攻撃メールの対応 システムにおける標的型攻撃対策への助言 3 システム利用者向けの運用改善策 画面表示 1. ブラウザの使い分け例 ) 業務用に Internet Exproler インターネット用に Chrome/FireFox を利用 2. メーラー ( メールソフト ) のカスタマイズ 1 差出人 (From) 表示を 表示名 + メールアドレス にする 2 誤クリックを避けるためにメーラーソフトの Proxy 設定を架空の IP へ向ける 3 利用者が気づきやすいように 差出人がフリーメールの場合は件名スタンプをつける 4 特定添付ファイル (exe zip+exe LZH) はサーバで削除してしまう 5From ヘッダーを詐称しているメールを落してしまう 3. 不要なアプリの削除例 )JAVA FlashPlayer Copyright 2015 独立行政法人情報処理推進機構

61 4.2 標的型攻撃メールの対応 システムにおける標的型攻撃対策への助言 4 システム利用者向けの運用改善策 画面表示 4. 標的型攻撃メールの訓練開封率低減よりも開封者報告率 100% 気づいた人の報連相率向上を重視 5. ウイルス警告画面など利用者環境での実体験と対処スキーム確立 EICAR をイントラサイトに置き クリックさせてみるパスワード付 ZIP ファイルでメール送信してみる 6. 定期的な感染痕跡部位の確認 1%TEMP% や %AppData% フォルダ アプリ ユーザのテンポラリフォルダたな卸し 最近では %LOCALAPPDATA% を使う事例も 2HKLM_RUN HKCU_RUN スタートアップフォルダ サービスの定期的差異確認 7. 情報共有活用スキームと 不審メールの情報提供 Copyright 2015 独立行政法人情報処理推進機構

62 4.3 標的型攻撃メールの対応情報共有へのお願い ( Information Sharing ) 標的型サイバー攻撃情報は局所的である 被害の抑止や拡大防止は 局所的な情報を共有し活用することが最善の策である 情報提供にご協力ください!! 情報提供いただきたいもの 1 まずは転送メール形式 今回のために専用のメールアドレスを作成しました! expo2016@tks.ipa.go.jp 2 メールヘッダ情報 eml 形式 msg 形式 ヘッダを表示 で出るテキスト 3 同件有無の確認 メールサーバログの確認(From, Received, Date) 操作がよくわからない場合は IPAに相談を Copyright 2015 独立行政法人情報処理推進機構 61

63 4.4 情報提供が標的型サイバー攻撃対策 ~ サイバー空間利用者みんなの力をあわせて対抗力を ~ 標的型攻撃メールかな? と思ったら? 不審な日本語 差出人とメールアドレスが不審 不審な添付ファイルやリンク 各所属での連絡に加えて IPA へご相談ください! 標的型サイバー攻撃特別相談窓口 電話 ( 対応は 平日の 10:00~12:00 および 13:30~17:00) expo2016@tks.ipa.go.jp このメールアドレスに特定電子メールを送信しないでください Copyright 2015 独立行政法人情報処理推進機構 62