広報資料 平成 25 年 8 月 22 日 警備企画課 情報技術解析課 平成 25 年上半期のサイバー攻撃情勢について 1 概況平成 25 年上半期も引き続き 我が国の民間事業者等に対し 情報窃取を企図したとみられるサイバー攻撃 ( 標的型メール攻撃 ) が発生同期間中 民間事業者等に送付されていたとして警察が把握した標的型メール攻撃の件数は ばらまき型 攻撃の減少により 前年同期と比べ大幅減となったが その手口は巧妙化 2 標的型メール攻撃の情勢と特徴 平成 25 年上半期に警察が把握した標的 型メールは 201 件で 前年同期比 351 件 ( 63.) 把握件数減少の要因は 国内外の情勢 に乗じて情報提供等を詐称するメールを 関係各方面に大量に送付する ばらまき 型 攻撃の減少 その一方 業務に関連する内容のメールのやりとりを何通か行った上で標 的型メールを送付する やりとり型 攻撃は 昨年 1 年間で 2 件であったも のが 本年上半期だけで 33 件確認 やりとりの内容は 採用に関する質問等 が 5 割強 製品に関する不具合の問合せ等が約 3 割 標的型メールの送信元アドレスは フリーメールアドレスを使用するもの が 6 割強 送り付けられた不正プログラムの半数は 見かけ上 画像ファイルや文書 ファイルに偽装 標的型メール攻撃に使用 された不正プログラム等に よる通信の接続先は 米国 が約 25% 韓国が約 17% 香港が約 12% タイが約 11% と そのほとんどが外国 3 今後の対応 警察が把握した標的型メール攻撃の件数 手口の特徴を基に注意喚起を行うとともに 情報提供の呼び掛けを行う予定 600 500 400 300 200 100 0 Word 文書に偽装した不正プログラム 509 552 457 201 H23 下半期 H24 上半期 H24 下半期 H25 上半期 5% 17% 11% 12% 25% 17% 米国韓国 香港 タイ カナダ ベトナム 中国 その他 H25 上半期の標的型メール攻撃に使用された不正プログラム等の接続先
別 紙 平成 25 年上半期のサイバー攻撃情勢について 1 概況警察では サイバーインテリジェンス情報共有ネットワーク *1 を通じ 標的型メール攻撃等のサイバー攻撃事案に係る情報を集約するとともに 事業者等による情報システムの防護に資する分析結果等の情報を共有している 警察は 平成 25 年上半期中 本ネットワークを通じて 事業者等に対する標的型メール攻撃 201 件 ( 前年同期比 351 件 ( 63.)) を把握した また 政府機関に対する標的型メール攻撃に関する情報を集約 分析している内閣官房情報セキュリティセンター (NISC) と連携し 政府機関に送付された標的型メールの分析結果についても 本ネットワークを通じて事業者等と情報共有している 共有された情報を基に各事業者等が対策を講じた結果 新たに143 件の標的型メール攻撃が把握されており 被害の未然防止や拡大防止につながっている 2 標的型メール攻撃の手口 (1) ばらまき型 が減少標的型メール攻撃の手口については 国内外の情勢を捉えた情報提供を装い多数の宛先に同一のメールを送付する ばらまき型 の攻撃が 昨年に比べて大幅に減少した ばらまき型 の攻撃は 同じ文面や不正プログラムを多数送信することから 受信者が不審に思う可能性が高まり 攻撃の事実が発覚しやすい ばらまき型 の攻撃が減少したことで 少数の攻撃先に特化した不正プログラムや文面を使用する標的型メール攻撃の割合が 相対的に増加した ばらまき型 *2 ばらまき型以外 24 年中 88% 12% 25 年上半期 24% 7 ばらまき型とそれ以外の標的型メール攻撃の割合 *1 平成 23 年 8 月に警察と先端技術を有する事業者等が構築したネットワークで 本年 8 月 1 日現在 約 5,000 社が参画 *2 同じ文面や不正プログラムが 10 か所以上に送付されていた標的型メール攻撃を ばらま き型 として集計 -1-
(2) やりとり型 が増加 やりとり型 の標的型メール攻撃は 攻撃対象にいきなり不正プログラムを送付するのではなく 採用活動や取引等の業務との関連を装った通常のメールのやりとりを何通か行うことにより 添付ファイル付きのメールが送られても不自然ではない状況を作った上で 不正プログラムを添付したメールを送り付ける手口である やりとり型 の攻撃は 平成 24 年には年間を通じて2 件であったのに対し 25 年上半期には半年間で33 件と大幅に増加した やりとりするメール本文に記載された内容は 5 割超が職員採用に対する質問や応募を装ったものであり 約 3 割が製品に関する質問や不具合の報告を装ったものであった 不正プログラムは 履歴書 質問状 不具合の状況等を記録した文書ファイルと称して 送付されていた また やりとりを開始する1 通目のメールの内容は 約 7 割が問合せ先のメールアドレスを確認するものであった 攻撃を受けたメールアドレスは 約 8 割が対象組織等のホームページ上で公開されているものであった したがって ホームページ上で公開しているメールアドレスのように 不特定多数からのメールを受信する機会の多いパソコンは 組織内の通常業務用のパソコンのネットワークとは分離した専用のものとし 必要のないプログラムが動作しない仕組みを導入するなどの対策を講じることが重要である (3) フリーメールアドレス *3 を送信元とする標的型メールが増加 標的型メールの送信元アド レスとして フリーメールア ドレスを使用するものの割合 が増加している 25 年上半期 には 6 割超の標的型メール がフリーメールアドレスから 送信されており 特に やり 10% 80% 60% 40% 20% 0% とり型 の攻撃は 全てフリーメールアドレスから送信されている このような攻撃に対しては メールサーバの設定により フリーメールア ドレスから送信されたメールを受信した場合は 件名や本文に警告を表示し 2 49% フリーメールアドレスを送信元とする標的型メール攻撃の割合 受信者に注意を促すなどの対策を講じることが重要である 62% H24 上半期 H24 下半期 H25 上半期 *3 無料で利用可能なメールアドレスであり 国内外の様々な事業者によるサービスが提供 されている -2-
(4) 送り付けられた不正プログラムのファイル形式等の特徴 ア イ 全体の半数が圧縮ファイルを添付する手口 標的型メール攻撃で使用される不正プログラムのファイル形式は 全体 の半数が圧縮ファイル形式 (ZIP 形式 RAR 形式 LZH 形式 ) *4 であり 主に 日本国内でのみ使用されている LZH 形式が占める割合が 昨年よりも増加し た これら圧縮ファイルを展開 ( 解凍 ) して生成される不正プログラムの 約 9 割が 実行ファイル形式であった 実行ファイル形式の電子ファイルは 制作者の設定により任意のアイコ ン画像を表示させることが可能であるため 画像ファイルや文書ファイル のアイコンを偽装することにより 受信者に誤信させて不正プログラムを 実行させようとする手口が目立つ 平成 24 年中は ほぼ半数に偽装が施さ れており そのほとんどが Word 文書ファイルのアイコンを表示するよう偽 装されていた これに対し 25 年上半期には ほぼ全ての不正プログラム に偽装が施されており 半数が Word 文書ファイル 約 3 割が画像 (JPEG) ファイルのアイコンを表示するよう偽装されていた Excel ブック形式の添付ファイルが増加 圧縮されていないファイル形式の添付ファイルについては 25 年上半期 には表計算ソフトウェアであるExcel のブック形式 ( 拡張子が xls のも の ) が最も多かった 当該ファイル形式を使用した標的型メールの内容に は 同窓会名簿や住所録の送付を偽装したものが多く見られた 0% 2% 1% 圧縮ファイル (zip) 圧縮ファイル (lzh) 2% 1% 4% 10% 22% 圧縮ファイル (zip) 圧縮ファイル (lzh) 圧縮ファイル (rar) 圧縮ファイル (rar) 40% 50% Excel ブック (xls) Excel ブック (xls) Word 文書 (doc) Word 文書 (doc) 実行ファイル (exe) 33% 19% 実行ファイル (exe) PDFファイル (pdf) その他 9% PDFファイル (pdf) 一太郎文書 (jtd) 1% 0% 平成 24 年平成 25 年上半期 標的型メールに添付された不正プログラムのファイル形式 *4 複数の電子ファイルのデータサイズを縮小し 1 つの電子ファイルにまとめたもの -3-
3 標的型メール攻撃の事例 (1) 採用窓口に対する質問を装った やりとり型 の攻撃企業のウェブサイトに公開されている採用窓口のメールアドレスに対し 転職に関する質問を受け付けているかどうかを確認するメールが送付された 当該企業から返信した後に 質問書を送付すると称して 正常なExcel ブック形式ファイルと不正プログラムを仕込んだ圧縮ファイルの2つを添付したメールが送付された 圧縮ファイルのパスワードはメール本文に記載されており 圧縮ファイルを展開 ( 解凍 ) して生成される実行形式ファイルは アイコンがWord 文書に偽装された上で RLO 機能 *5 によりファイル名もWord 文書に見えるよう偽装されていた (2) 国内外の情勢を捉えた ばらまき型 の攻撃本年 2 月 米国情報セキュリティ関連企業であるマンディアント社が 米国に対するサイバー攻撃への中国軍の関与を指摘するレポートを公表した直後 中国軍がサイバー攻撃 米最新報告 と題したメールや 米国の対中戦略に関する資料送付を装ったメールが送付された これらのメールの本文は マンディアント社のレポートや米国の対中戦略について 日本国内で発行された新聞記事や雑誌記事を引用して作成されていた メールには 不正プログラムを仕込んだPDF ファイルと圧縮ファイルの2つが添付されていた 圧縮ファイルを展開 ( 解凍 ) して生成される実行形式ファイルは アイコンがWord 文書に偽装されていた *5 アラビア語等に対応するため ファイル名を右読みから左読みに変える機能で 例えば ファイル名 fdp.e xe は RLO 機能を使用すると exe.pdf と表示されるため 実行ファ イルを PDF ファイルに偽装することができる -4-