標的型攻撃メールの傾向と見分け方 ~ サイバーレスキュー隊 (J-CRAT) の活動を通して ~ 2016/ 10 独立行政法人情報処理推進機構 (IPA) 技術本部セキュリティセンター 標的型サイバー攻撃特別相談窓口
1. 標的型サイバー攻撃への取り組み 2. 標的型攻撃メールの見分け方 3. 添付ファイルの見分け方 4. 標的型攻撃メールを見つけたら 1
1. 標的型サイバー攻撃への取り組み 2. 標的型攻撃メールの見分け方 3. 添付ファイルの見分け方 4. 標的型攻撃メールを見つけたら 2
1.1 標的型サイバー攻撃に対する取り組み サイバーセキュリティと経済研究会 ( 経産省 ) 2010/12~ での検討政策を受けて展開 Titan Rain 国内の政府機関への標的型メールの観測 APT1 APT12 Op. Aurora PittyTiger Stuxnet RSA 重工被害発覚 2003 ~ 2005 2009 2010 2011 2012 ~ 2013 APT17 Lurid/Nitro 政府機関への攻撃 Luckycat CVE-2012-0158 組織間メールを窃 取 ウイルス添付 Op.DeputyDog Op.Hydra やりとり型 取材 講 演依頼 医療費通知 Xmas 謹賀新 年 標的型攻撃が深刻な脅威に 2014 Poison Ivy PlugX 2010/12 METI サイハ ーセキュリティと経済研究会 Emdivi システム設計 早期対応 *1) *2) 情報共有 *3) 脅威と対策研究会 2010/12 標的型サイバー攻撃特別相談窓口 2011/8 設計 Guide v1 2011/10 分析レホ ート 情報共有 J-CSIP 分析レホ ート 2012/4 2013/8 設計 Guide v3 分析レホ ート レスキュー試行 5 業界の情報共有体制 2014/9 設計 Guide v4 サイバーレスキュー隊 J-CRAT *1)http://www.ipa.go.jp/about/press/20130829.html *2)http://www.ipa.go.jp/about/technicalwatch/20140130.htm *3)http://www.ipa.go.jp/about/press/20140530.html 3
1.2 サイバーレスキュー隊 (J-CRAT) ~ 活動概要 Since 2014~ 標的型サイバー攻撃に対する初動の遅れは 長期的な被害となります (APT) 攻撃や被害の把握 対策の早期着手のため 情報収集と 組織の支援を行っています J-CSIP 独法連絡会 JPCERT/CC 公的機関 業界団体 社団 財団 重要産業関連企業 情報提供支援相談 情報発信 レスキュー支援 公開情報 Web 検索サイト巡回 情報収集 情報提供 サイバーレスキュー隊 (J-CRAT) サイバーレスキュー活動 標的型サイバー攻撃特別相談窓口 公開情報の分析 収集 エスカレーション エスカレーション 技術連携 着手アプローチ ケース 1 ケース 2 ケース 3 支援内容 解析 攻撃 被害の把握 攻撃 被害の可視化 助言 重要産業取引先 ケース1: 標的型サイバー攻撃特別相談窓口に寄せられた支援対象組織からの相談ケース2: 受付した相談から 連鎖的な被害 ( の可能性のある ) 組織が推定された場合ケース3: 公開情報の分析 収集により被害 ( の可能性のある ) 組織が推定された場合 4
1.3 攻撃パターンの一例 ~ 一旦穴が開けば 遠隔から操作できてしまう ~ 標的型攻撃メールに添付された不審なファイル 不審な URL を開いた結果落ちてくるファイルを実行し感染し C2 サーバとの通信が確立されると攻撃者は活動を開始します そして 少し間をおいて より深い活動 ( 横展開 ) に移行し 内部ネットワークを侵攻していきます 1 ウイルス作成 実行ファイル アイコン偽装 拡張子偽装 (RLO) 被害者 攻撃者 2 メール作成準備 宛先 文面 オフィス文章 ウイルス埋め込み マクロ埋め込み 4 感染 3 送付 5C2 サーバ通信確立 6 情報収集 メールデータ PC ログイン ID/Pass ファイルサーバデータ圧縮 / 窃取 AD 管理者権限 5 横展開 C2 サーバ通信確立後 横展開していきます多くの場合 RAT( 遠隔操作ウィルス ) による侵攻がみられます 5
1.4 攻撃連鎖対応事例 ~ サイバーレスキュー隊活動から ~ 攻撃の連鎖 ( 組織をまたがった攻撃 ) が行われている事を確認 その連鎖を追跡することで 他組織の被害を掘り出すことができる 4 組織への攻撃うち 2 組織は遠隔操作 組織 A 組織 B 組織 C 組織 D 攻撃遠隔操作 情報提供 1 組織 B を騙った攻撃を確認 メール分析 不審ファイル調査 通信ログ分析 情報提供 調査支援 2 新たな攻撃先 ( 組織 C) を確認 攻撃者 情報提供 調査支援 対策支援 攻撃 連鎖 をたどることで攻撃実態を把握 3 組織 Cから組織 Dへ攻撃メールが送られていた事実が判明 6
1.5 長期感染の実態 2013 メールによる感染 2014 2015 2016 C2 サーバとの不審通信 (RAT が動かされる状態 ) 何らかの理由で攻撃基盤を手放す 攻撃者のコントロール下にある期間 検知できない アンチウイルス通信先制御等 OS/ アプリ最新 不審通信 / 不審ログインの発見不審レジストリの発見不審ファイル / プロセスの発見定義ファイル更新による検知のようなケースもあるが 多くは気付かずにそのまま放置される 過去に来ていた不審メールの再チェックを ( フリーメール 添付有無 拡張子など ) 被害 攻撃の発見 7
1.6 " 標的型攻撃の実際 " 多くの場合 攻撃は後から気づくもの 多くの場合 攻撃は気づかれずに完了 多くの場合 被害範囲の把握は困難 多くの場合 攻撃のスタートはメールから 標的型は個人 個社 業界をターゲットに 標的型は連鎖して行われる なので 気付く が重要なので 情報共有 が重要 8
直近の分析レポートから 9
標的型サイバー攻撃の脅威と対策 J-CRAT~ 特定業界を執拗に狙う攻撃キャンペーンの分析 ~ http://www.ipa.go.jp/security/j-crat/report/20160629.html 同一の攻撃者と思われる標的型攻撃を追跡し 2015 年 11 月 ~2016 年 3 月までに 137 件の攻撃メールを収集 ( まとまった攻撃をキャンペーンと呼ぶ ) 共通点を有する業界団体 (8 団体 ) を介して 執拗に攻撃を行っている 企業等の正規アカウントを乗っ取り 踏み台にして送るケースが殆どである 本文の類似性の他 ウイルスの添付方法 ウイルスの挙動などが同一である このキャンペーンは 16 のオペレーションに分割でき 攻撃者の挙動分析を実施 宛先 メール件数 組織数 業界団体 86 8 企業 製造業 37 27 企業 卸売業 2 1 企業 ソフトウェア業 1 1 個人 フリーメール 9 7 不明 2 - 総計 137 44 : オペレーション 本キャンペーンで悪用された業界団体は主に製造業に関わるは 8 団体 一般企業を狙った 40 通の内 37 通は同一業界で ある特定の製造業を狙った攻撃であることが分かった
攻撃全体関連図 メール送信ホスト メール送信者 ( 詐称含む ) メールリレー 137 通の攻撃メール分析結果 44 組織 12015/12 メール受信者 通信先 22015/12 受信組織 A プロバイダ A 62016/1 @AAAA.jp 企業 B ホスト名 A 8a2016/1 9a2016/1 1 通信先 A A 国 12015/12 22015/12 @BBBB.jp 企業 C ホスト名 B ホスト名 C 32015/12 受信組織 B 2 通信先 B 送信元 A 42015/12 @CCCC.jp 42015/12 52015/12 受信組織群 C B 国 32015/12 複数プロバイダ 4 3 通信先 C 52015/12 62016/1 受信組織群 D @DDDD.jp 送信元 B 72016/1 72016/1 5 通信先 D @EEEE.jp 82016/1 @FFFF.jp プロバイダD ホスト名 D プロバイダE 8b2016/1 受信組織群 E 6 7 8a 8b 8c 通信先 E,92016/1 @GGGG.jp ホスト名 E プロバイダF ホスト名 F 8c2016/1 9b2016/1 受信組織 F 9a 9b 通信先 F
被害組織は メール送信ホスト メール送信者 ( 詐称含む ) メールリレーアカウント乗っ取り 12015/12 22015/12 メール受信者 同一業界 受信組織 A 通信先 プロバイダ A 62016/1 @AAAA.jp 企業 B ホスト名 A 8a2016/1 9a2016/1 1 通信先 A A 国 12015/12 22015/12 @BBBB.jp 企業 C ホスト名 B ホスト名 C 32015/12 受信組織 B 2 通信先 B 送信元 A 42015/12 @CCCC.jp 42015/12 52015/12 受信組織群 C B 国 32015/12 複数プロバイダ 4 3 通信先 C 52015/12 62016/1 受信組織群 D @DDDD.jp 送信元 B 72016/1 72016/1 5 通信先 D @EEEE.jp 82016/1 @FFFF.jp プロバイダD ホスト名 D プロバイダE 8b2016/1 受信組織群 E 6 7 8a 8b 8c 通信先 E,92016/1 @GGGG.jp ホスト名 E プロバイダF ホスト名 F 8c2016/1 9b2016/1 受信組織 F 9a 9b 通信先 F
攻撃者の 持ち物 メール送信ホスト 攻撃基盤 メール送信者 ( 詐称含む ) メールリレー 12015/12 22015/12 メール受信者 受信組織 A 通信先 攻撃基盤 プロバイダ A 62016/1 @AAAA.jp 企業 B ホスト名 A 8a2016/1 9a2016/1 1 通信先 A A 国 12015/12 22015/12 @BBBB.jp 企業 C ホスト名 B ホスト名 C 32015/12 受信組織 B 2 通信先 B 送信元 A 42015/12 @CCCC.jp 42015/12 52015/12 受信組織群 C B 国 32015/12 複数プロバイダ 4 3 通信先 C 52015/12 62016/1 受信組織群 D @DDDD.jp 送信元 B 72016/1 72016/1 5 通信先 D @EEEE.jp 82016/1 @FFFF.jp プロバイダD ホスト名 D プロバイダE 8b2016/1 受信組織群 E 6 7 8a 8b 8c 通信先 E,92016/1 @GGGG.jp ホスト名 E プロバイダF ホスト名 F 8c2016/1 9b2016/1 受信組織 F 9a 9b 通信先 F
1. 標的型サイバー攻撃への取り組み 2. 標的型攻撃メールの見分け方 3. 添付ファイルの見分け方 4. 標的型攻撃メールを見つけたら 14
2.1 IPA テクニカルウォッチ分析レポート 情報提供いただいた標的型攻撃メールの調査 分析内容を公開し 特徴や傾向の把握に役立てていただいています http://www.ipa.go.jp/about/technicalwatch/20111003.html http://www.ipa.go.jp/about/technicalwatch/20121030.html 2011/3 版 2012/10 版 http://www.ipa.go.jp/security/technicalwatch/20140130.html https://www.ipa.go.jp/security/technicalwatch/20150109.html 2014/1 版 2015/10 版 15
2.2 J-CRAT 活動実績から (1) メール種別割合 (2014/4~2015/3) From メールアドレス割合 (2014/4~2015/3) 添付 URL リンクなし 19 件 (3%) 不明 22 件 (4%) 独立行政法人 9 件 (3%) 大学 5 件 (1%) その他 11 件 (3%) URL リンク 36 件 (6%) 存在しない 12 件 (4%) 省庁 22 件 (7%) 添付 ( 非圧縮 ) 168 件 (27%) 添付 ( 圧縮 ) 364 件 (60%) 企業 112 件 (34%) フリーメール 157 件 (48%) N=609 N=328 16
2.2 J-CRAT 活動実績から (2) 不審ファイル種別割合 (2014/4~2015/3) ファイル圧縮形式割合 不審ファイル種別 7z 13 件 (3%) lzh 26 件 (7%) arj 2 件 (1%) gz 2 件 (1%) cab 1 件 (0%) com, 4, 1% lnk, 3, 1% pif, 3, jtd, 5, 1% 1% jar, 6, 1% cpl, 13, 3% pdf 28 件 (6%) rtf, 3, 1% その他, 8, 2% rar 70 件 (19%) zip 253 件 (69%) scr 71 件 (15%) exe 228 件 (48%) マイクロソフトオフィス 108 件 (23%) N=367 N=480 17
2.3 感染の契機 添付ファイルを実行 ダウンローダーの実行 マルウェアのドロップ メーラーの設定による自動実行 HTML 等 現在のところ テキスト形式のメールをメーラーで表示しただけで感染したケースは公表されていません 実行しなければ初期侵入が防げます 18
2.4 メールの見分け方 4 つの着眼点 テーマ ( 件名 ) 送信者 メール本文 添付ファイル 見分ける = 添付ファイルを開く 実行してしまう前に不審点を見つける 19
2.4.1 テーマ ( 件名 ) 着眼点 テーマ 過去の標的型攻撃で見られたケース 知らない人からのメールだが 開封せざるを得ない内容 1 新聞社 出版社からの取材申込 講演依頼 2 就職活動に関する問合せ 履歴書の送付 3 製品やサービスに対する問い合わせ クレーム 4 アンケート調査 5 やり取り型メール 誤って自分宛に送られたメールの様だが 興味をそそられる内容 1 議事録 演説原稿などの内部文書送付 2 VIP 訪問に関する情報 これまで届いたことがない 公的機関からのお知らせ 1 情報セキュリティに関する注意喚起 2 インフルエンザ流行情報 3 災害情報 20
2.4.2 送信者とメール本文 着眼点 送信者 フリーメールアドレスからの送信 過去の標的型攻撃で見られたケース 送信者のメールアドレスが署名 ( シグネチャ ) と異なる 言い回しが不自然な日本語 日本語では使用されない漢字 ( 繁体字 簡体字 ) カタカナ メール本文 正式名称を一部に含むような不審 URL HTML メールで 表示と実際の URL が異なるリンク 署名の記載内容がおかしい 該当部門が存在しない 21
2.4.3 添付ファイル 着眼点 過去の標的型攻撃で見られたケース 実行形式ファイル (exe / scr / jar / cpl など ) ショートカットファイル (lnk / pif / url) 添付ファイル 実行形式ファイルなのに文書ファイルやフォルダのアイコン ファイル名が不審 二重拡張子 ファイル拡張子の前に大量の空白文字を挿入 文字列を左右反転する RLO コードの利用 エクスプローラで圧縮ファイルの内容を表示するとファイル名が文字化け 事務連絡 cod.scr 事務連絡 rcs.doc ここに RLO 文字を挿入すると 次のような見た目になる RLO: Right-to-Left Override アラビア語やヘブライ語などをパソコンで使うための特殊な文字 ( 表示はされない ) 22
2.5.1 メールサンプル 1 ~ 取材を装ったケース ~ メールアドレスに不審点はないか 添付ファイルはどんな形式か 使っている漢字や言い回しに不審的はないか URL は正規の URL か 日本で使われていない漢字 23
2.5.2 メールサンプル 2 ~ 就職を装ったケース ~ 署名とメールドメインが違う 24
2.5.3 メールサンプル 3 ~ 情報セキュリティに関する注意喚起を装ったケース ~ 実際にクリックした際に表示されるウェブページの URL 25
2.5.4 メールサンプル 4 ~ 心当たりのない決済 配送通知を装った標的型 ~ 日本であまり使われない圧縮形式 (rar) 26
2.5.5 メールサンプル 5 ~ID やパスワードの入力を要求する標的型 ~ ID パスワードを要求 27
2.5.6 メールサンプル 6 ~ データエントリー型フィッシング ~ 窃取されたメールアカウントの認証情報は SPAM メールの踏み台や 標的型攻撃メールの素材収集に利用される恐れも データエントリーを要求 28
1. 標的型サイバー攻撃への取り組み 2. 標的型攻撃メールの見分け方 3. 添付ファイルの見分け方 4. 標的型攻撃メールを見つけたら 29
3.1 実行形式ファイルの例 Windows デフォルト exe com bat scr cmd pif スクリプト拡張子 js vbs アプリケーション lnk url swf 巧妙に隠される実行形式ファイル気付くにはいくつかのポイントがあります メールから直接開かない! ファイルの詳細を必ず見る! 30
3.2 ショートカットファイルリンク先にコマンドを保持 アイコン上は文書ファイルの様に見えるが ショートカットであることを示す 矢印のマーク エクスプローラの詳細表示で見ると コマンドプロンプトで表示すると ショートカットであることがわかる ショートカットの拡張子 31
3.3 アイコン偽装 アイコンを他のものに変更 全て exe ファイルだが アイコンを変更しているためぱっと見 アプリケーションファイルに見える アイコンや拡張子を信用しない! ( ファイルの種別 を表示して確認する ) 圧縮ファイルも ファイル詳細 で見ればアイコン表示されずにチェック可能 32
3.4 拡張子偽装 3 種 2 重拡張子と RLO 表示 RLO: Right-to-Left Override アラビア語やヘブライ語などをパソコンで使うための特殊な文字 右 左 拡張子を表示しないと見えない RLO による拡張子偽装 実際のファイル名 ファイル名の中に空白を入れている 実際のファイル名 33
1. 標的型サイバー攻撃への取り組み 2. 標的型攻撃メールの見分け方 3. 添付ファイルの見分け方 4. 標的型攻撃メールを見つけたら 34
4.1 感染時の準備できていますか? 不審メール受信後の手順を明確化 システム部門への報告 ( 情報共有 ) 実行していた場合は初期化の前にデータ保全 メールログの保存 メールログ調査方法の確立 外部アクセスログの保存 外部アクセスログ調査方法の確立 ログが保存されていても 調査方法がわからない ツールがない 時間がかかるというケースが多い 35
4.2 情報提供が攻撃対策 ~ サイバー空間利用者みんなの力をあわせて対抗力を ~ 標的型攻撃メールかな? と思ったら? 不審な日本語 差出人とメールアドレスが不審 不審な添付ファイルやリンク 組織内での情報共有に加えて IPA へご相談ください! http://www.ipa.go.jp/security/tokubetsu/ 標的型サイバー攻撃特別相談窓口 電話 03-5978-7599 ( 対応は 平日の 10:00~12:00 および 13:30~17:00) E-mail tokusou@tks.ipa.go.jp このメールアドレスに特定電子メールを送信しないでください 36
4.3 情報提供のお願い 不審メールって? アンチウィルスで検知されない 4つの点で不審点がある 件名 送信元 本文 添付ファイル 公開情報で同件がない バラマキ型情報は比較的短期間に Web に Google 等で 単語 メールアドレス 添付ファイル名 などのキーワード検索 メールの情報提供方法 ヘッダ情報が重要なのでメール全体を ファイルで保存 msg 形式 eml 形式 37
4.4 レスキュー活動にご協力ください 標的型サイバー攻撃に対する初動の遅れは 長期的な被害となります (APT) 攻撃や被害の把握 対策の早期着手のため 情報収集と 組織の支援を行っています J-CSIP 独法連絡会 JPCERT/CC 公的機関 業界団体 社団 財団 重要産業関連企業 情報提供支援相談 情報発信 レスキュー支援 公開情報 Web 検索サイト巡回 情報収集 情報提供 サイバーレスキュー隊 (J-CRAT) サイバーレスキュー活動 標的型サイバー攻撃特別相談窓口 公開情報の分析 収集 エスカレーション エスカレーション 技術連携 着手アプローチ ケース 1 ケース 2 ケース 3 支援内容 解析 攻撃 被害の把握 攻撃 被害の可視化 助言 重要産業取引先 ケース1: 標的型サイバー攻撃特別相談窓口に寄せられた支援対象組織からの相談ケース2: 受付した相談から 連鎖的な被害 ( の可能性のある ) 組織が推定された場合ケース3: 公開情報の分析 収集により被害 ( の可能性のある ) 組織が推定された場合 38
TIPS 39
利用者向け対策例 1. WindowsOS のカスタマイズ ファイル拡張子の表示 2. Office アプリケーションのカスタマイズ マクロ無効化 3. メーラー ( メールソフト ) のカスタマイズ 1 差出人 (From) 表示を 表示名 + メールアドレス にする 2 差出人がフリーメールの場合は件名スタンプをつける 3 特定添付ファイル (exe zip+exe LZH) は受け取らない 4From ヘッダーを詐称しているメールは受け取らない 4. ブラウザの使い分け 脆弱性が多いといわれる IE は業務アプリでしか使わない 5. 不要なアプリの削除 JAVA FlashPlayer 等
標的型に効かない対策? アンチウィルスソフト 検出できないなら 標的型には効かないよね? 必要です! 今効かなくても 明日効くことがある 感染 攻撃には段階があり 複数のマルウェア ツールの組み合わせで侵攻するケースも なので自動更新と通知を忘れずに 41