2 実施件数 (2017 年 7 月 ~9 月 ) 2017 年 7 月 ~9 月に J-CSIP 参加組織から IPA に対し サイバー攻撃に関する情報 ( 不審メール 不正 通信 インシデント等 ) の情報提供が行われた件数と それらの情報をもとに IPA から J-CSIP 参加組織へ 情報共

Similar documents
はじめに (1) フィッシング詐欺 ( フィッシング攻撃 ) とは フィッシング詐欺とは インターネットバンキング ショッピングサイト等の利用者のアカウント情報 (ID パスワード等 ) や クレジットカードの情報等を騙し取る攻撃です 典型的な手口としては 攻撃者が本物のウェブサイトと似た偽のウェブ

情報共有の流れと目的 情報共有の基本的な流れ 参加組織 攻撃を検知 IPA へ情報提供 目的 IPA 分析 加工 ( 匿名化など ) 情報共有 結果の共有 1 類似攻撃の早期検知と被害の回避 2 攻撃に対する防御の実施 3 今後想定される攻撃への対策検討 標的型攻撃メールを当面の主対象として運用中

はじめに ウイルスに感染させるための罠が仕掛けられた悪意のある文書ファイルは これまでにも Office の脆弱性の悪用や マクロ機能を悪用する手口のものがありました 昨今 それらとは異なる新たな攻撃手口を使ったものが出てきています 本資料は 新たな攻撃手口について紹介し 注意点を説明するものです

1 運用体制 2018 年 4 月 ~6 月期 ( 以下 本四半期 ) は 新たに医療業界での 情報連携体制 の運用開始 電力業界 SIG で参加組織の増加があり 全体では 2018 年 3 月末の 11 業界 228 組織の体制から 11 業界 229 組織 2 +1 情 報連携体制 (4 団体お

1. 標的型サイバー攻撃への取り組み 2. 標的型攻撃メールの見分け方 3. 添付ファイルの見分け方 4. 標的型攻撃メールを見つけたら Copyright 2015 独立行政法人情報処理推進機構 1

サイバー情報共有イニシアティブ (J-CSIP) 運用状況 [2018 年 1 月 ~3 月 ] 2018 年 4 月 25 日 IPA( 独立行政法人情報処理推進機構 ) 技術本部セキュリティセンター サイバー情報共有イニシアティブ (J-CSIP) 1 について 2018 年 3 月末時点の運用

マルウェアレポート 2018年2月度版

Technical Report 年 8 月 31 日 株式会社セキュアソフト 注意喚起 : バンキングトロージャンに感染させるマルウェア付きメール拡散について 1. 概要最近インターネットバンキングなど金融機関関連情報の窃取を目的としたマルウェア付きメールが 日本国内で多数配

サイバー情報共有イニシアティブ (J-CSIP) 2014 年度活動レポート ~ 国内組織を狙う執拗な攻撃者 X の分析 ~ 目次 本書の要旨 年度の J-CSIP の活動 はじめに 活動の概要 活動の沿革 情報共

情報セキュリティ 10 大脅威 大脅威とは? 2006 年より IPA が毎年発行している資料 10 大脅威選考会 の投票により 情報システムを取巻く脅威を順位付けして解説 Copyright 2017 独立行政法人情報処理推進機構 2

別 紙 平成 25 年上半期のサイバー攻撃情勢について 1 概況警察では サイバーインテリジェンス情報共有ネットワーク *1 を通じ 標的型メール攻撃等のサイバー攻撃事案に係る情報を集約するとともに 事業者等による情報システムの防護に資する分析結果等の情報を共有している 警察は 平成 25 年上半期

脆弱性を狙った脅威の分析と対策について Vol 年 7 月 21 日独立行政法人情報処理推進機構セキュリティセンター (IPA/ISEC) 独立行政法人情報処理推進機構 ( 略称 IPA 理事長 : 西垣浩司 ) は 2008 年度におけ る脆弱性を狙った脅威の一例を分析し 対策をまと

2 Copyright(C) MISEC

今月の呼びかけ 添付資料 ファイル名に細工を施されたウイルスに注意! ~ 見た目でパソコン利用者をだます手口 ~ 2011 年 9 月 IPA に RLTrap というウイルスの大量の検出報告 ( 約 5 万件 ) が寄せられました このウイルスには パソコン利用者がファイルの見た目 ( 主に拡張子

マルウェアレポート 2018年3月度版

映像で知る情報セキュリティ社内研修用教材 Information-technology Promotion Agency, Japan 主な対象主に組織内の情報セキュリティ教育担当者 P マークや ISMS の事務局担当者 コンプライアンス部門担当者 その他情報セキュリティの最新状況を入門的に理解し

スライド 1

月次報告書 (2009 年 1 月分 ) フィッシング情報届出状況 2009 年 2 月 20 日

マルウェアレポート 2017年12月度版

個人情報を盗み出す感染したウイルスにより コンピュータ上に保存されている情報 ( データ ) が勝手に送信されたり キーボード入力を盗み見されたりすること等をいいます 最近のネットバンキングの不正送金もこのカテゴリーに含まれます これ以外にも 以下のような被害を受ける可能性があります 盗まれたクレジ

PowerPoint プレゼンテーション

1 罠のリンクが含まれるメールによる感染まず 利用者に対して 文中に罠のリンクが含まれるメール ( 罠のメール ) が届きます そのリンク先は 一見 PDF ファイル 2 や動画ファイルに見えるよう細工されています ( 図 1-2) また メールの送信元のメールアドレスは 利用者の知人のものである可

PowerPoint プレゼンテーション

1 運用体制 2017 年 10 月 ~12 月期 ( 以下 本四半期 ) は 各 SIG での参加組織拡大があり 全体では 2017 年 9 月末の 11 業界 190 組織の体制から 11 業界 227 組織 2 の体制となった ( 図 1) 2017 年 10 月 ガス業界 SIG に新たな参

図 2: パスワードリスト攻撃の概要 インターネットサービスの安全な利用は 利用者が適切にパスワードを管理することを前提に成り立っており 利用者はパスワードを使い回さず 適切に管理する責任があります 以下はパスワードリスト攻撃を受けたことを 2013 年 4 月以降に発表した企業のうち 試行件数 と

フィッシング対策協議会(じ)

ログを活用したActive Directoryに対する攻撃の検知と対策

本プレゼンのポイント 脅威を知ることが対策への近道 2

JPCERT/CCインシデント報告対応レポート[2011年7月1日~2011年9月30日]

インシデントハンドリング業務報告書

「サイバー情報共有イニシアティブ(J-CSIP)」の紹介

感染条件感染経路タイプウイルス概要 前のバージョン Adobe Reader and Acrobat より前のバージョン Adobe Reader and Acrobat before より前のバージョン Adobe Flash Player before

OSI(Open Systems Interconnection)参照モデル

拓殖大学総合情報センター 学生 Web メール (Office365) 操作マニュアル 目 次 1. Office365 の Web メール 2 2. 利用上の制約事項 送受信メールサイズ制限 メールボックス利用制限 2 3. Office365 のサインイン サインアウト

E 年 2 月 26 日 サービス & セキュリティ株式会社 e-gate センター サプライチェーン攻撃の脅威と対策について 1. 概要 サプライチェーン攻撃のリスクはかねてから指摘されていました 経済産業省が 2015 年に公表した サイバーセキュリティ経営ガイドライン

マルウェアレポート 2018年7月度版

目次 フィッシング対策協議会について フィッシングの動向 フィッシング事例 地方銀行 LINE 大学 フィッシング対策 まとめ 2

第 号 2014 年 4 月 1 日独立行政法人情報処理推進機構 今月の呼びかけ あなたのパソコンは 4 月 9 日以降 大丈夫? ~ 使用中パソコンの判別方法 乗り換えプランを紹介 ~ マイクロソフト社 Windows XP と Office 2003 のサポートが 2014

情報セキュリティ 10 大脅威 2019 ~IT は 便利 の裏に 危険 あり ~ ( 独 ) 情報処理推進機構 (IPA) セキュリティセンターセキュリティ対策推進部土屋正 Copyright 2019 独立行政法人情報処理推進機構 1

Microsoft Word - gred_security_report_vol17.final

第 号 2014 年 1 月 7 日独立行政法人情報処理推進機構 今月の呼びかけ おもいこみ僕は安全それ危険 昨年発生した情報セキュリティに関する様々な事案の中で 金銭被害につながる可能性が高いという 点で 特に一般利用者に影響が高いと考えられるものは以下の 4 つです 1. イ

パソコンをご利用中に Windows のシステム警告 ドライバの更新 システムの破損 等の見慣れない 不審なメッセージが表示された場合の対処法についてドキュメント ID: TS 環境 Windows 10 Windows 8.1 Windows 7 概要 このページでは インターネットを

卒業論文本体の書き方

不正送金対策 フィッシング対策ソフト PhishWall( フィッシュウォール ) プレミアム のご案内 広島県信用組合では インターネットバンキングを安心してご利用いただくため 不正送金 フィッシング対策ソフト PhishWall( フィッシュウォール ) プレミアム を導入しました 無料でご利用

シニアネット福山 ICT 講演会 インターネット安心 安全講座 ~ シニアの安心 便利なネット活用 ~ 2015 年 12 月 4 日 シニアネットひろしま理事長福田卓夫

内容 ( 演習 1) 脆弱性の原理解説 基礎知識 脆弱性の発見方法 演習 1: 意図しない命令の実行 演習解説 2

JPCERT/CCインシデント報告対応レポート[2018年4月1日 ~ 2018年6月30日]

迷惑メール対策 こんなメールに注意 勝手に送られてくる広告宣伝メール メールを受信することに同意していないのに 勝手に送りつけられてくる出会い系 アダルト系サイトや物品販売などの広告宣伝メール 不当 架空請求メール 利用していないサイトの情報料等の名目でお金をだましとろうと 不当 架空請求を 行う詐

目次 はじめに... 2 本書の対象読者 ランサムウェアの脅威 ランサムウェアのタイプ ランサムウェアの種別 ランサムウェアによるファイル暗号化 ファイル暗号化型のランサムウェア感染時の影響範囲... 5

Microsoft PowerPoint - [印刷用] _r1.1.pptx

中小企業向け サイバーセキュリティ対策の極意

安全な Web サイトの作り方 7 版 と Android アプリの脆弱性対策 独立行政法人情報処理推進機構 (IPA) 技術本部セキュリティセンター Copyright 2015 独立行政法人情報処理推進機構

第 号 2013 年 6 月 4 日独立行政法人情報処理推進機構 今月の呼びかけ ウェブサイトが改ざんされないように対策を! ~ サーバーやパソコンのみならず システム全体での対策が必要です ~ IPA セキュリティセンターではコンピュータウイルスや不正アクセスに関する届出を受け

OSI(Open Systems Interconnection)参照モデル

目次 1. はじめに 2. 内部不正による情報漏えいの危険性 3. 情報漏えい対策ポイント 4. 情報漏えい発生時の対応ポイント 5. 参考資料の紹介 ( 講師用 ) Copyright 2015 独立行政法人情報処理推進機構 2

PowerPoint プレゼンテーション

公立大学法人首都大学東京

目 次 1. Windows Live Mail を起動する 1 2. Windows Live Mail の画面構成 1 3. 電子メールを別ウインドウで表示する 2 4. メールを作成する 2 5. メールを送信する 4 6. メールを受信する 5 7. 受信したメールに返信する 5 8. 受信

中小企業向け サイバーセキュリティ対策の極意

講演内容 情報セキュリティ 情 情報セキュリティを取り巻く情勢 インターネット上の脅威を知ろう 個人にかかる脅威 対策 企業にかかる脅威 対策 2

情報セキュリティ 10 大脅威 2018 ~2 章情報セキュリティ 10 大脅威組織編 ~ ~ 引き続き行われるサイバー攻撃 あなたは守りきれますか?~ Copyright 2018 独立行政法人情報処理推進機構 独立行政法人情報処理推進機構 (IPA) 技術本部セキュリティセンター 2018 年

情報セキュリティ 10 大脅威 大脅威とは? 2006 年より IPA が毎年発行している資料 10 大脅威選考会 の投票により 情報システムを取巻く脅威を順位付けして解説 Copyright 2018 独立行政法人情報処理推進機構 2

Microsoft Word Aプレスリリース案_METI修正_.doc

システム設計書

感染条件感染経路タイプウイルス概要 Authplay.dll (aka AuthPlayLib.bundle) を利用する Adobe Reader 9.x ~ より前のバージョンと 10.x から 上記動作環境に一致した環境下で当該 PDF タイプウイルスを実行することで

1. Office365 の Web メール Office365 の Web メールは 電子メール操作をブラウザソフトで利用できるようにしたもので パソコンやスマートフォンから 学内外を問わず利用できます 2. 利用上の制約事項 2-1 送受信メールサイズ制限 項目 制限値 1 通あたりの送信メール

金融工学ガイダンス

SiteLock操作マニュアル

大阪ガス株式会社 情報通信部 御中

7.1 研究者情報の修正 e-rad に登録している自身の情報を修正する手順について説明します 画面 操作概要 トップ (1) グローバルメニュー 研究者情報の修正 を選択 研究者情報の修正 (2) 研究者の情報を修正 研究者情報の修正 ( 入力内容の確認 ) (3) 修正した研究者の情報を確認 研

ここでは 志望動機書のダウンロードの手順について解説します < 注意点 > 市のホームページ 市職員の募集 に 郵送用の申込書類一式が掲載されていますが 郵送用は PDF 形式のため 電子申請では利用できません 下記手順で Word 形式の志望動機書を準備してください 1) 志望動機書は 市のホーム

SoftBank GALAXY Tab4 取扱説明書

Microsoft Word - office365利用手順書.doc

Microsoft PowerPoint _A4_予稿(最終)

目次 1. はじめに 2. 実際の応募手続き 3. 応募手続き完了の確認 2

Trend Micro Cloud App Security ご紹介資料

申請について 研究の概要 に機密情報を含めることはできますか 研究の概要 内の 研究内容に関連する業績( 原著論文 ) は英語論文のみですか また 記載する論文は in press でもよいですか 申請をした後で申請内容を修正したい場合はどのようにすればよいですか 申請をしましたが 都合により取り下

目次 1. コンピュータウイルス届出状況 ウイルス届出件数 不正プログラム検出数 ウイルス検出数 検出ウイルスの種類 ウイルス届出者 ウイルスおよび不正プログラムの検出

マルウェアレポート 2018年4月度版

13.1 ログイン ID の変更 ログイン ID を変更する手順について説明します 画面 操作概要 トップ (1) グローバルメニュー ログイン ID の変更 を選択 ログイン ID の変更 (2) ログイン ID を変更 ログイン ID の変更 (3) ログイン ID の変更を完了 2

Microsoft Word - WebMail.docx

誓約書の同意 4 初回のみ 下記画面が表示されるので内容を確認後 同意する ボタンをクリック 同意していただけない場合はネット調達システムを使うことができません 参照条件設定 5 案件の絞り込み画面が表示されます 5-1 施工地域を選択して 施工地域選択完了 ボタンをクリック - 2 -

Microsoft Word - gred_security_report_vol27_ docx

<4D F736F F D E71905C90BF8EE88F BC90DA905C90BF8ED A E646F63>

マルウェアレポート 2018年8月度版

PowerPoint プレゼンテーション


サイバー空間をめぐる 脅威の情勢について

ファイル宅配便サービス 利用マニュアル

Logstorage for VISUACT 標的型サイバー攻撃 対策レポートテンプレート

2007年度版

JPCERT/CCインシデント報告対応レポート[2018年7月1日~ 2018年9月30日]

10 完了 をクリック 13 このサーバーは認証が必要 をチェックして 設定 をクリック Windows メール Windows Vista に標準のメールソフト Windows メール の設定方法を説明します 1 スタート から 電子メール Windows メール をクリック 11 続いて設定ファ

目次 1. AOS ユーザー登録サイト AOS ユーザー登録 AOS ライセンスキー登録 ios 版アプリ インストール 起動と新規登録 初期設定とバックアップ Andro

CloudEdgeあんしんプラス月次レポート解説書(1_0版) _docx

H29 年度再生医療の産業化に向けた評価基盤技術開発事業 ( 再生医療技術を応用した創薬支援基盤技術の開発 ) 新規公募に係る府省共通研究開発管理システム (e-rad) への入力方法について 1

マルウェアレポート 2018年1月度版

スライド 1

不正送金 フィッシング対策ソフト PhishWall( フィッシュウォール ) プレミアム について 中ノ郷信用組合では インターネットバンキングのセキュリティを高めるため 不正送金 フィッシング対策ソフト PhishWall( フィッシュウォール ) プレミアム をご提供しております ( ご利用は

学会業務情報化システム(SOLTI)

Transcription:

サイバー情報共有イニシアティブ (J-CSIP) 運用状況 [2017 年 7 月 ~9 月 ] 2017 年 10 月 26 日 IPA( 独立行政法人情報処理推進機構 ) 技術本部セキュリティセンター サイバー情報共有イニシアティブ (J-CSIP) 1 について 2017 年 9 月末時点の運用体制 2017 年 7 月 ~9 月の 運用状況を示す 1 運用体制 2017 年 7 月 ~9 月期 ( 以下 本四半期 ) は 新たな SIG の発足 各 SIG での参加組織拡大があり 全体では 2017 年 6 月末の 8 業界 154 組織の体制から 11 業界 190 組織 2 の体制となった ( 図 1) 2017 年 7 月 化学業界 SIG に新たな参加組織があり 20 組織から 22 組織となった 2017 年 9 月 新たに 航空業界 SIG 物流業界 SIG 鉄道業界 SIG がそれぞれ発足した 2017 年 9 月 クレジット業界 SIG に新たな参加組織があり 45 組織から 47 組織となった 図 1 J-CSIP の体制図 1 IPA が情報ハブ ( 集約点 ) となり サイバー攻撃等に関する情報を参加組織間で共有する取り組み https://www.ipa.go.jp/security/j-csip/ 2 複数業界に関係する組織が 複数の SIG に所属するケースも現れている ここでは延べ数としている 1

2 実施件数 (2017 年 7 月 ~9 月 ) 2017 年 7 月 ~9 月に J-CSIP 参加組織から IPA に対し サイバー攻撃に関する情報 ( 不審メール 不正 通信 インシデント等 ) の情報提供が行われた件数と それらの情報をもとに IPA から J-CSIP 参加組織へ 情報共有を実施した件数 (9 月末時点 11 の SIG 全 190 参加組織での合算 ) を 表 1 に示す 表 1 情報提供および情報共有の状況 項番 項目 2016 年 2017 年 10 月 ~12 月 1 月 ~3 月 4 月 ~6 月 7 月 ~9 月 1 IPA への情報提供件数 396 件 73 件 1,213 件 57 件 2 1 参加組織への情報共有実施件数 22 件 9 件 26 件 2 17 件 1 同等の攻撃情報 ( 不審メール等 ) が複数情報提供された際に情報共有を 1 件に集約して配付することや 広く無差別 にばらまかれたウイルスメール等 情報共有対象としない場合があるため 情報提供件数と情報共有実施件数には 差が生じる 2 IPA が独自に入手した情報で J-CSIP 参加組織へ情報共有を行ったもの 10 件を含む 本四半期は情報提供件数が 57 件であり うち標的型攻撃メールとみなした情報は 3 件であった 前四半期は 6 件であったが 本四半期においても標的型攻撃メールの観測数は少ない傾向が続いた 数は減少しているものの 日本語のばらまき型メールが前四半期に引き続き観測された ばらまき型メールとは 国内の一般利用者を攻撃対象に 広く大量に送信されているウイルスメールであり 添付ファイルを開いた場合 オンラインバンキングの情報を窃取するウイルス等に感染させられることを確認している 日本サイバー犯罪対策センター 3 からもばらまき型メールの注意喚起情報が定期的に発信されており 多くの人の目にウイルスメールの情報が留まりやすくなっている しかし メールの件名や本文は一見して不自然だと判断しにくいものが増えており 標的型攻撃メールで使われるような 通常の業務で利用する件名と見間違えるようなものもあり 引き続き注意を要する状況にある また 本四半期に限らず 不審なメールとしてフィッシングメールが情報提供されることがあるが 特に本四半期は Office 365 のアカウント情報を狙ったフィッシングメールが目立った 企業や組織等で利用するクラウド型サービスのアカウント情報が狙われている可能性があり これについては 3 章で改めて述べる 本四半期に確認した標的型攻撃メールは 次にあげる特徴があった 2011 年頃から観測されている やりとり型 による標的型攻撃 4 について 2014 年 5 にも事例を確認 注意喚起を行っていたが 同じ手口による攻撃が 2015 年から 2017 年にかけて 数は少ないが一部の組織へ攻撃が継続している証跡を確認した 海外の関連企業の従業員のアカウントを悪用し ( 乗っ取り ) 国内企業へ不審メールを送り付けるという攻撃を観測した 詳細は明らかではないが 攻撃者が 防御の弱いところから侵入し そこから侵入範囲を拡大しようと試みたものである可能性が考えられる 3 一般財団法人日本サイバー犯罪対策センター JC3 https://www.jc3.or.jp/topics/virusmail.html 4 サイバー情報共有イニシアティブ (J-CSIP)2013 年度活動レポート ~ やり取り型 攻撃に関する分析情報の共有事例 ~ https://www.ipa.go.jp/security/j-csip/ 5 組織外部向け窓口部門の方へ : やり取り型 攻撃に対する注意喚起 ~ 国内 5 組織で再び攻撃を確認 ~ https://www.ipa.go.jp/security/topics/alert20141121.html 2

3 Office 365 のアカウント情報を狙うフィッシングメール本四半期 Office 365 のアカウント情報を騙し取る目的のフィッシングメールを複数観測した この攻撃は 企業等にとって大きな脅威となっていると考えられるため ここで事例を紹介する フィッシングメールとは フィッシング詐欺の典型的な手口である 本物のウェブサイトと似せて作成した偽のウェブサイト ( 訪問者を騙すフィッシングサイト ) へ利用者を誘導させるための偽のメールである これまで フィッシング詐欺の代表的な狙いは インターネットバンキング ショッピングサイト等の利用者のアカウント情報 (ID パスワード等) や クレジットカードの情報等 直接的に金銭の奪取を行うための情報であった 一方 インターネット上で提供されているサービスが多機能化する中で 例えば企業の業務に利用するクラウドサービスの ID とパスワードのような 利用者のサービス上の権限を奪うことが目的とみられる攻撃も見られるようになってきた Office 365 は Microsoft から各種の最新ツールの提供を受けるサービスであり 個人利用だけでなく 企業や学術機関 非営利団体向けのプランもある Office 365 を契約すると メールやスケジュール管理のデータや Microsoft Office の Word や Excel で作成したデータを クラウド環境を使って保存 共有することができる すなわち Office 365 を企業等で導入している場合 そのアカウント情報は その組織内の機密情報にアクセスする手段となる場合がある Office 365 のアカウント情報は 攻撃者にとって魅力的な情報として狙われている可能性がある すなわち フィッシングによってアカウント情報を騙し取り そこから組織内の情報 ( メールやクラウド上に保存したファイル等 ) の窃取や 奪ったメールアカウントを使った別の攻撃への悪用を企図している可能性がある これは 深刻な標的型サイバー攻撃の準備段階 ( 情報収集 組織内侵入の踏み台 ) として行われていることも考えられ 企業 組織にとって大きな被害をもたらしかねない 注意を要する脅威である 一方で Office 365 を利用している企業等の従業員が 自身のアカウント情報の重要さや そのアカウント情報を狙うフィッシング詐欺という攻撃が存在するということを十分に認識していないと 悪意のある者によってアカウント情報を騙し取られ 大きな被害に繋がる可能性がある 本紙で紹介する事例 ( 攻撃手口 ) は一例に過ぎないが このような攻撃があるということ そして企業 組織内で使用している ID やパスワードを入力する際には注意が必要であることを改めて認識し 組織内でも周知していただきたい フィッシングメールの事例 J-CSIP の参加組織内で実際に観測された Office 365 のアカウントを狙うフィッシングメールについて 次の 3 つの手口の事例を紹介する それぞれ 異なる方法でフィッシングサイトへ誘導させる仕組みとなっ ていたことを確認している メールに文書ファイルのようなアイコンを埋め込み クリックさせる手口 メールに html ファイルを添付し html ファイルを開かせる手口 メール本文中にある URL リンクをクリックさせる手口 す それぞれの手口を使った 4 件のメールと メールから誘導されるフィッシングサイトを 参考として次に示 3

メールに文書ファイルのようなアイコンを埋め込み クリックさせる手口 この手口では 一見 メールに何らかのファイルが添付されているかのように見える ( 本文中でも 添付ファイルを確認して や この添付ファイルには 等と英語で書いてあり 誤認を誘っている) が 実際は このアイコンのような画像はメール本文中に埋め込まれた URL リンクである ( 図 2 図 4) メールにある PDF ファイルや Word 文書ファイルのアイコンに見せかけたリンクをクリックすると 文書ファイルが開くのではなく ウェブブラウザが起動し フィッシングサイトが開く (=フィッシングサイトに誘導される ) フィッシングサイトは Office 365 の ID とパスワードの入力を求めるログイン画面となっていた ( 図 3 図 5) これは 文書ファイルの閲覧にログインが必要であるかのように誤認させ ID とパスワードを入力させることで 情報を騙し取るという手口である 図 2 PDF ファイル風のアイコンを使ったフィッシングメール 4

図 3 図 2 のメールから誘導されるフィッシングサイト 5

図 4 Word 文書ファイル風のアイコンを使ったフィッシングメール 図 5 図 4 のメールから誘導されるフィッシングサイト 6

メールに html ファイルを添付し html ファイルを開かせる手口 この手口では メールに html ファイルが添付されており メールの本文では 利用者に対し使用中のストレージ容量が逼迫しているため " 新しい設定情報 " と称する何らかのファイルをダウンロードして追加容量を入手することを促している ( 図 6) このメールに添付されている html ファイルを開くと ウェブブラウザが起動する html ファイルには フィッシングサイトへリダイレクトさせる命令が書かれており 自動的にフィッシングサイトが表示される (=フィッシングサイトへ誘導される ) フィッシングサイトは Office 365 のパスワードの入力を求めるログイン画面となっていた 6 ( 図 7) これは 何らかの設定変更にログインが必要であるかのように誤認させ パスワードを入力させることで 情報を騙し取るという手口である 図 6 html ファイルを添付したフィッシングメール 6 このフィッシングサイトには ID の入力欄が無いが ID はメールアドレスが既に入力されているような状態を模 擬していた 7

図 7 図 6 のメールに添付された html ファイルから誘導されるフィッシングサイト 8

メール本文中にある URL リンクをクリックさせる手口 この手口では 配送会社を装ったメールで メール本文中に URLリンク ("clicking here" の部分 ) が記載されており 配送保留にしている " 重要な " 小包を追跡するために URL リンクをクリックすることを促している ( 図 8) この URL リンクをクリックすると ウェブブラウザが起動し フィッシングサイトが開く (=フィッシングサイトに誘導される ) フィッシングサイトは Office 365 の ID とパスワードの入力を求めるログイン画面となっていた ( 図 9) 配送保留の小包の追跡のために Office 365 のログインが求められるのは不自然ではあるが ログイン画面が表示された際 よく分からない場合はとりあえずログインする ような行動を取っている場合は 騙されてしまうかもしれない このログイン画面で ID とパスワードを入力した場合 入力した内容に関係なく メールに書かれていた本物の配送会社のウェブサイトの画面が開く ( 図 10) とはいえ これは偽のメールであるため 当然ながら小包の配送追跡の画面等は開かない これは 利用者に対し 騙されたことを気付かせにくくするための仕掛けだと思われる 図 8 メール本文中に URL リンクがあるフィッシングメール 9

図 9 図 8 のメールから誘導されるフィッシングサイト 図 10 図 9 のフィッシングサイトから遷移する本物の配送会社のウェブサイト 10

まとめ 4 件のフィッシングメールと フィッシングサイトへの誘導手口の事例を紹介した 事例によりフィッシングサイトの画面は異なっているが いずれにしても 一見して 偽物のログイン画面であると判断がしにくくなっている また フィッシングサイトに誘導する際 文書の閲覧のために ID やパスワードの入力が必要であるかのように見せかける騙しの手口があった クラウドサービスを普段から使用して文書ファイルのやりとり ( 保存や共有 ) を行っている利用者にとっては ウェブブラウザでアクセスした際に ログインするための情報を入力させられるという行為は さほど不自然な挙動と思わない可能性もあり 攻撃者はこのような心理を逆手にとっているものと考えられる フィッシング詐欺への対策は このような攻撃があるということを知り ひとりひとりが騙されないように注意し ID やパスワード メールアドレス等を偽のウェブサイトで入力しないことが重要である 具体的には ID やパスワードの入力が求められる画面は本物であるか URL 等を確認する や ウェブサイトを開く場合 メールに書かれたリンクからではなく ブックマーク等信頼できる方法で開く という対策が有効である より詳しくは フィッシング対策協議会 7 のウェブサイト等も併せて参照していただきたい 今後 悪意のある者が 乗っ取ることで大きな権限を得られる という理由で より積極的に Office 365 等のアカウント情報を狙い フィッシング攻撃を継続する可能性がある Office 365 に限らず クラウド型のサービスを利用している企業 組織においては 利用者がアカウント情報を騙し取られることが組織的なリスクに繋がる 従業員等に対し アカウント情報の適切な取扱いを徹底することが重要である 7 フィッシング対策協議会 https://www.antiphishing.jp/ 11

4 文書ファイルを悪用したフィッシング詐欺の手口本四半期では 脆弱性の悪用とは異なる PDF ファイルを用いるフィッシング詐欺の手口を観測した PDF ファイルは通常のメールの添付ファイルとしてやりとりされることもあるため 実行形式ファイル等と異 なり ファイルの拡張子や形式のみから危険性を判断したり 遮断するという対応が難しい 脆弱性の悪用に対しては修正プログラムの適用で危険を避けることが可能だが 今回観測した手口では それとは異なる対策が必要であり 利用者ひとりひとりに注意点を周知するべく 参加組織内へ情報共有を 実施した この手口について 国内組織への攻撃メールで実際に悪用されていることを観測しているものは一部だ が 今後 国内での攻撃に使われるようになる可能性がある このため 攻撃手口と注意点をまとめた一般 利用者向けの参考資料 8 を 本紙と併せて公開した 参考資料では 文書を共有するクラウドサービスと連携しているかのような PDF ファイルを装う攻撃手口 について 特徴と対応方法について記載している この手口では PDF ファイル内に仕掛けられた罠の部分をクリックすることで ID やパスワードを騙し取るためのフィッシングサイトにアクセスさせられるが フィッシングサイトへのアクセス前に警告画面が表示される 警告メッセージを理解しないまま利用者が特定の操作を行うことで フィッシングサイトへ誘導されてしまう このため 攻撃の特徴 表示される警告画面 アカウントが騙し取られることを防ぐため 利用者が選択すべき操作について広く知っていただくことが重要だと考える 必要に応じ 参考資料を活用していただきたい 標的型サイバー攻撃特別相談窓口 への情報提供のお願い IPA では 一般利用者や企業 組織向けの 標的型サイバー攻撃特別相談窓口 にて 標的型攻撃メールを含む標的型サイバー攻撃全般の相談や情報提供を受け付けている 限られた対象にのみ行われる標的型サイバー攻撃に対し その手口や実態を把握するためには 攻撃を検知した方々からの情報提供が不可欠である ぜひ 相談や情報提供をお寄せいただきたい 標的型サイバー攻撃特別相談窓口 (IPA) https://www.ipa.go.jp/security/tokubetsu/ 以上 8 参考資料 文書ファイルを悪用したフィッシング詐欺の手口に関する注意点 12

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック