標的型攻撃メールの傾向と見分け方 ~ サイバーレスキュー隊 (J-CRAT) の活動を通して ~ 2016/ 10 独立行政法人情報処理推進機構 (IPA) 技術本部セキュリティセンター標的型サイバー攻撃特別相談窓口 Copyright 2016 独立行政法人情報処理推進機構

標的型攻撃メールの傾向と見分け方 ~ サイバーレスキュー隊 (J-CRAT) の活動を通して ~ 2016/ 10 独立行政法人情報処理推進機構 (IPA) 技術本部セキュリティセンター標的型サイバー攻撃特別相談窓口

1. 標的型サイバー攻撃への取り組み 2. 標的型攻撃メールの見分け方 3. 添付ファイルの見分け方 4. 標的型攻撃メールを見つけたら 1

1. 標的型サイバー攻撃への取り組み 2. 標的型攻撃メールの見分け方 3. 添付ファイルの見分け方 4. 標的型攻撃メールを見つけたら 2

1.1 標的型サイバー攻撃に対する取り組みサイバーセキュリティと経済研究会 ( 経産省 ) 2010/12~ での検討政策を受けて展開 Titan Rain 国内の政府機関への標的型メールの観測 APT1 APT12 Op. Aurora PittyTiger Stuxnet RSA 重工被害発覚 2003 ~ 2005 2009 2010 2011 2012 ~ 2013 APT17 Lurid/Nitro 政府機関への攻撃 Luckycat CVE-2012-0158 組織間メールを窃取ウイルス添付 Op.DeputyDog Op.Hydra やりとり型取材講演依頼医療費通知 Xmas 謹賀新年標的型攻撃が深刻な脅威に 2014 Poison Ivy PlugX 2010/12 METI サイハーセキュリティと経済研究会 Emdivi システム設計早期対応 *1) *2) 情報共有 *3) 脅威と対策研究会 2010/12 標的型サイバー攻撃特別相談窓口 2011/8 設計 Guide v1 2011/10 分析レホート情報共有 J-CSIP 分析レホート 2012/4 2013/8 設計 Guide v3 分析レホートレスキュー試行 5 業界の情報共有体制 2014/9 設計 Guide v4 サイバーレスキュー隊 J-CRAT *1)http://www.ipa.go.jp/about/press/20130829.html *2)http://www.ipa.go.jp/about/technicalwatch/20140130.htm *3)http://www.ipa.go.jp/about/press/20140530.html 3

1.2 サイバーレスキュー隊 (J-CRAT) ~ 活動概要 Since 2014~ 標的型サイバー攻撃に対する初動の遅れは長期的な被害となります (APT) 攻撃や被害の把握対策の早期着手のため情報収集と組織の支援を行っています J-CSIP 独法連絡会 JPCERT/CC 公的機関業界団体社団財団重要産業関連企業情報提供支援相談情報発信レスキュー支援公開情報 Web 検索サイト巡回情報収集情報提供サイバーレスキュー隊 (J-CRAT) サイバーレスキュー活動標的型サイバー攻撃特別相談窓口公開情報の分析収集エスカレーションエスカレーション技術連携着手アプローチケース 1 ケース 2 ケース 3 支援内容解析攻撃被害の把握攻撃被害の可視化助言重要産業取引先ケース1: 標的型サイバー攻撃特別相談窓口に寄せられた支援対象組織からの相談ケース2: 受付した相談から連鎖的な被害 ( の可能性のある ) 組織が推定された場合ケース3: 公開情報の分析収集により被害 ( の可能性のある ) 組織が推定された場合 4

1.3 攻撃パターンの一例 ~ 一旦穴が開けば遠隔から操作できてしまう ~ 標的型攻撃メールに添付された不審なファイル不審な URL を開いた結果落ちてくるファイルを実行し感染し C2 サーバとの通信が確立されると攻撃者は活動を開始しますそして少し間をおいてより深い活動 ( 横展開 ) に移行し内部ネットワークを侵攻していきます 1 ウイルス作成実行ファイルアイコン偽装拡張子偽装 (RLO) 被害者攻撃者 2 メール作成準備宛先文面オフィス文章ウイルス埋め込みマクロ埋め込み 4 感染 3 送付 5C2 サーバ通信確立 6 情報収集メールデータ PC ログイン ID/Pass ファイルサーバデータ圧縮 / 窃取 AD 管理者権限 5 横展開 C2 サーバ通信確立後横展開していきます多くの場合 RAT( 遠隔操作ウィルス ) による侵攻がみられます 5

1.4 攻撃連鎖対応事例 ~ サイバーレスキュー隊活動から ~ 攻撃の連鎖 ( 組織をまたがった攻撃 ) が行われている事を確認その連鎖を追跡することで他組織の被害を掘り出すことができる 4 組織への攻撃うち 2 組織は遠隔操作組織 A 組織 B 組織 C 組織 D 攻撃遠隔操作情報提供 1 組織 B を騙った攻撃を確認メール分析不審ファイル調査通信ログ分析情報提供調査支援 2 新たな攻撃先 ( 組織 C) を確認攻撃者情報提供調査支援対策支援攻撃連鎖をたどることで攻撃実態を把握 3 組織 Cから組織 Dへ攻撃メールが送られていた事実が判明 6

1.5 長期感染の実態 2013 メールによる感染 2014 2015 2016 C2 サーバとの不審通信 (RAT が動かされる状態 ) 何らかの理由で攻撃基盤を手放す攻撃者のコントロール下にある期間検知できないアンチウイルス通信先制御等 OS/ アプリ最新不審通信 / 不審ログインの発見不審レジストリの発見不審ファイル / プロセスの発見定義ファイル更新による検知のようなケースもあるが多くは気付かずにそのまま放置される過去に来ていた不審メールの再チェックを ( フリーメール添付有無拡張子など ) 被害攻撃の発見 7

1.6 " 標的型攻撃の実際 " 多くの場合攻撃は後から気づくもの多くの場合攻撃は気づかれずに完了多くの場合被害範囲の把握は困難多くの場合攻撃のスタートはメールから標的型は個人個社業界をターゲットに標的型は連鎖して行われるなので気付くが重要なので情報共有が重要 8

直近の分析レポートから 9

標的型サイバー攻撃の脅威と対策 J-CRAT~ 特定業界を執拗に狙う攻撃キャンペーンの分析 ~ http://www.ipa.go.jp/security/j-crat/report/20160629.html 同一の攻撃者と思われる標的型攻撃を追跡し 2015 年 11 月 ~2016 年 3 月までに 137 件の攻撃メールを収集 ( まとまった攻撃をキャンペーンと呼ぶ ) 共通点を有する業界団体 (8 団体 ) を介して執拗に攻撃を行っている企業等の正規アカウントを乗っ取り踏み台にして送るケースが殆どである本文の類似性の他ウイルスの添付方法ウイルスの挙動などが同一であるこのキャンペーンは 16 のオペレーションに分割でき攻撃者の挙動分析を実施宛先メール件数組織数業界団体 86 8 企業製造業 37 27 企業卸売業 2 1 企業ソフトウェア業 1 1 個人フリーメール 9 7 不明 2 - 総計 137 44 : オペレーション本キャンペーンで悪用された業界団体は主に製造業に関わるは 8 団体一般企業を狙った 40 通の内 37 通は同一業界である特定の製造業を狙った攻撃であることが分かった

攻撃全体関連図メール送信ホストメール送信者 ( 詐称含む ) メールリレー 137 通の攻撃メール分析結果 44 組織 12015/12 メール受信者通信先 22015/12 受信組織 A プロバイダ A 62016/1 @AAAA.jp 企業 B ホスト名 A 8a2016/1 9a2016/1 1 通信先 A A 国 12015/12 22015/12 @BBBB.jp 企業 C ホスト名 B ホスト名 C 32015/12 受信組織 B 2 通信先 B 送信元 A 42015/12 @CCCC.jp 42015/12 52015/12 受信組織群 C B 国 32015/12 複数プロバイダ 4 3 通信先 C 52015/12 62016/1 受信組織群 D @DDDD.jp 送信元 B 72016/1 72016/1 5 通信先 D @EEEE.jp 82016/1 @FFFF.jp プロバイダD ホスト名 D プロバイダE 8b2016/1 受信組織群 E 6 7 8a 8b 8c 通信先 E,92016/1 @GGGG.jp ホスト名 E プロバイダF ホスト名 F 8c2016/1 9b2016/1 受信組織 F 9a 9b 通信先 F

被害組織はメール送信ホストメール送信者 ( 詐称含む ) メールリレーアカウント乗っ取り 12015/12 22015/12 メール受信者同一業界受信組織 A 通信先プロバイダ A 62016/1 @AAAA.jp 企業 B ホスト名 A 8a2016/1 9a2016/1 1 通信先 A A 国 12015/12 22015/12 @BBBB.jp 企業 C ホスト名 B ホスト名 C 32015/12 受信組織 B 2 通信先 B 送信元 A 42015/12 @CCCC.jp 42015/12 52015/12 受信組織群 C B 国 32015/12 複数プロバイダ 4 3 通信先 C 52015/12 62016/1 受信組織群 D @DDDD.jp 送信元 B 72016/1 72016/1 5 通信先 D @EEEE.jp 82016/1 @FFFF.jp プロバイダD ホスト名 D プロバイダE 8b2016/1 受信組織群 E 6 7 8a 8b 8c 通信先 E,92016/1 @GGGG.jp ホスト名 E プロバイダF ホスト名 F 8c2016/1 9b2016/1 受信組織 F 9a 9b 通信先 F

攻撃者の持ち物メール送信ホスト攻撃基盤メール送信者 ( 詐称含む ) メールリレー 12015/12 22015/12 メール受信者受信組織 A 通信先攻撃基盤プロバイダ A 62016/1 @AAAA.jp 企業 B ホスト名 A 8a2016/1 9a2016/1 1 通信先 A A 国 12015/12 22015/12 @BBBB.jp 企業 C ホスト名 B ホスト名 C 32015/12 受信組織 B 2 通信先 B 送信元 A 42015/12 @CCCC.jp 42015/12 52015/12 受信組織群 C B 国 32015/12 複数プロバイダ 4 3 通信先 C 52015/12 62016/1 受信組織群 D @DDDD.jp 送信元 B 72016/1 72016/1 5 通信先 D @EEEE.jp 82016/1 @FFFF.jp プロバイダD ホスト名 D プロバイダE 8b2016/1 受信組織群 E 6 7 8a 8b 8c 通信先 E,92016/1 @GGGG.jp ホスト名 E プロバイダF ホスト名 F 8c2016/1 9b2016/1 受信組織 F 9a 9b 通信先 F

1. 標的型サイバー攻撃への取り組み 2. 標的型攻撃メールの見分け方 3. 添付ファイルの見分け方 4. 標的型攻撃メールを見つけたら 14

2.1 IPA テクニカルウォッチ分析レポート情報提供いただいた標的型攻撃メールの調査分析内容を公開し特徴や傾向の把握に役立てていただいています http://www.ipa.go.jp/about/technicalwatch/20111003.html http://www.ipa.go.jp/about/technicalwatch/20121030.html 2011/3 版 2012/10 版 http://www.ipa.go.jp/security/technicalwatch/20140130.html https://www.ipa.go.jp/security/technicalwatch/20150109.html 2014/1 版 2015/10 版 15

2.2 J-CRAT 活動実績から (1) メール種別割合 (2014/4~2015/3) From メールアドレス割合 (2014/4~2015/3) 添付 URL リンクなし 19 件 (3%) 不明 22 件 (4%) 独立行政法人 9 件 (3%) 大学 5 件 (1%) その他 11 件 (3%) URL リンク 36 件 (6%) 存在しない 12 件 (4%) 省庁 22 件 (7%) 添付 ( 非圧縮 ) 168 件 (27%) 添付 ( 圧縮 ) 364 件 (60%) 企業 112 件 (34%) フリーメール 157 件 (48%) N=609 N=328 16

2.2 J-CRAT 活動実績から (2) 不審ファイル種別割合 (2014/4~2015/3) ファイル圧縮形式割合不審ファイル種別 7z 13 件 (3%) lzh 26 件 (7%) arj 2 件 (1%) gz 2 件 (1%) cab 1 件 (0%) com, 4, 1% lnk, 3, 1% pif, 3, jtd, 5, 1% 1% jar, 6, 1% cpl, 13, 3% pdf 28 件 (6%) rtf, 3, 1% その他, 8, 2% rar 70 件 (19%) zip 253 件 (69%) scr 71 件 (15%) exe 228 件 (48%) マイクロソフトオフィス 108 件 (23%) N=367 N=480 17

2.3 感染の契機添付ファイルを実行ダウンローダーの実行マルウェアのドロップメーラーの設定による自動実行 HTML 等現在のところテキスト形式のメールをメーラーで表示しただけで感染したケースは公表されていません実行しなければ初期侵入が防げます 18

2.4 メールの見分け方 4 つの着眼点テーマ ( 件名 ) 送信者メール本文添付ファイル見分ける = 添付ファイルを開く実行してしまう前に不審点を見つける 19

2.4.1 テーマ ( 件名 ) 着眼点テーマ過去の標的型攻撃で見られたケース知らない人からのメールだが開封せざるを得ない内容 1 新聞社出版社からの取材申込講演依頼 2 就職活動に関する問合せ履歴書の送付 3 製品やサービスに対する問い合わせクレーム 4 アンケート調査 5 やり取り型メール誤って自分宛に送られたメールの様だが興味をそそられる内容 1 議事録演説原稿などの内部文書送付 2 VIP 訪問に関する情報これまで届いたことがない公的機関からのお知らせ 1 情報セキュリティに関する注意喚起 2 インフルエンザ流行情報 3 災害情報 20

2.4.2 送信者とメール本文着眼点送信者フリーメールアドレスからの送信過去の標的型攻撃で見られたケース送信者のメールアドレスが署名 ( シグネチャ ) と異なる言い回しが不自然な日本語日本語では使用されない漢字 ( 繁体字簡体字 ) カタカナメール本文正式名称を一部に含むような不審 URL HTML メールで表示と実際の URL が異なるリンク署名の記載内容がおかしい該当部門が存在しない 21

2.4.3 添付ファイル着眼点過去の標的型攻撃で見られたケース実行形式ファイル (exe / scr / jar / cpl など ) ショートカットファイル (lnk / pif / url) 添付ファイル実行形式ファイルなのに文書ファイルやフォルダのアイコンファイル名が不審二重拡張子ファイル拡張子の前に大量の空白文字を挿入文字列を左右反転する RLO コードの利用エクスプローラで圧縮ファイルの内容を表示するとファイル名が文字化け事務連絡 cod.scr 事務連絡 rcs.doc ここに RLO 文字を挿入すると次のような見た目になる RLO: Right-to-Left Override アラビア語やヘブライ語などをパソコンで使うための特殊な文字 ( 表示はされない ) 22

2.5.1 メールサンプル 1 ~ 取材を装ったケース ~ メールアドレスに不審点はないか添付ファイルはどんな形式か使っている漢字や言い回しに不審的はないか URL は正規の URL か日本で使われていない漢字 23

2.5.2 メールサンプル 2 ~ 就職を装ったケース ~ 署名とメールドメインが違う 24

2.5.3 メールサンプル 3 ~ 情報セキュリティに関する注意喚起を装ったケース ~ 実際にクリックした際に表示されるウェブページの URL 25

2.5.4 メールサンプル 4 ~ 心当たりのない決済配送通知を装った標的型 ~ 日本であまり使われない圧縮形式 (rar) 26

2.5.5 メールサンプル 5 ~ID やパスワードの入力を要求する標的型 ~ ID パスワードを要求 27

2.5.6 メールサンプル 6 ~ データエントリー型フィッシング ~ 窃取されたメールアカウントの認証情報は SPAM メールの踏み台や標的型攻撃メールの素材収集に利用される恐れもデータエントリーを要求 28

1. 標的型サイバー攻撃への取り組み 2. 標的型攻撃メールの見分け方 3. 添付ファイルの見分け方 4. 標的型攻撃メールを見つけたら 29

3.1 実行形式ファイルの例 Windows デフォルト exe com bat scr cmd pif スクリプト拡張子 js vbs アプリケーション lnk url swf 巧妙に隠される実行形式ファイル気付くにはいくつかのポイントがありますメールから直接開かない! ファイルの詳細を必ず見る! 30

3.2 ショートカットファイルリンク先にコマンドを保持アイコン上は文書ファイルの様に見えるがショートカットであることを示す矢印のマークエクスプローラの詳細表示で見るとコマンドプロンプトで表示するとショートカットであることがわかるショートカットの拡張子 31

3.3 アイコン偽装アイコンを他のものに変更全て exe ファイルだがアイコンを変更しているためぱっと見アプリケーションファイルに見えるアイコンや拡張子を信用しない! ( ファイルの種別を表示して確認する ) 圧縮ファイルもファイル詳細で見ればアイコン表示されずにチェック可能 32

3.4 拡張子偽装 3 種 2 重拡張子と RLO 表示 RLO: Right-to-Left Override アラビア語やヘブライ語などをパソコンで使うための特殊な文字右左拡張子を表示しないと見えない RLO による拡張子偽装実際のファイル名ファイル名の中に空白を入れている実際のファイル名 33

1. 標的型サイバー攻撃への取り組み 2. 標的型攻撃メールの見分け方 3. 添付ファイルの見分け方 4. 標的型攻撃メールを見つけたら 34

4.1 感染時の準備できていますか? 不審メール受信後の手順を明確化システム部門への報告 ( 情報共有 ) 実行していた場合は初期化の前にデータ保全メールログの保存メールログ調査方法の確立外部アクセスログの保存外部アクセスログ調査方法の確立ログが保存されていても調査方法がわからないツールがない時間がかかるというケースが多い 35

4.2 情報提供が攻撃対策 ~ サイバー空間利用者みんなの力をあわせて対抗力を ~ 標的型攻撃メールかな? と思ったら? 不審な日本語差出人とメールアドレスが不審不審な添付ファイルやリンク組織内での情報共有に加えて IPA へご相談ください! http://www.ipa.go.jp/security/tokubetsu/ 標的型サイバー攻撃特別相談窓口電話 03-5978-7599 ( 対応は平日の 10:00~12:00 および 13:30~17:00) E-mail tokusou@tks.ipa.go.jp このメールアドレスに特定電子メールを送信しないでください 36

4.3 情報提供のお願い不審メールって? アンチウィルスで検知されない 4つの点で不審点がある件名送信元本文添付ファイル公開情報で同件がないバラマキ型情報は比較的短期間に Web に Google 等で単語メールアドレス添付ファイル名などのキーワード検索メールの情報提供方法ヘッダ情報が重要なのでメール全体をファイルで保存 msg 形式 eml 形式 37

4.4 レスキュー活動にご協力ください標的型サイバー攻撃に対する初動の遅れは長期的な被害となります (APT) 攻撃や被害の把握対策の早期着手のため情報収集と組織の支援を行っています J-CSIP 独法連絡会 JPCERT/CC 公的機関業界団体社団財団重要産業関連企業情報提供支援相談情報発信レスキュー支援公開情報 Web 検索サイト巡回情報収集情報提供サイバーレスキュー隊 (J-CRAT) サイバーレスキュー活動標的型サイバー攻撃特別相談窓口公開情報の分析収集エスカレーションエスカレーション技術連携着手アプローチケース 1 ケース 2 ケース 3 支援内容解析攻撃被害の把握攻撃被害の可視化助言重要産業取引先ケース1: 標的型サイバー攻撃特別相談窓口に寄せられた支援対象組織からの相談ケース2: 受付した相談から連鎖的な被害 ( の可能性のある ) 組織が推定された場合ケース3: 公開情報の分析収集により被害 ( の可能性のある ) 組織が推定された場合 38

TIPS 39

利用者向け対策例 1. WindowsOS のカスタマイズファイル拡張子の表示 2. Office アプリケーションのカスタマイズマクロ無効化 3. メーラー ( メールソフト ) のカスタマイズ 1 差出人 (From) 表示を表示名 + メールアドレスにする 2 差出人がフリーメールの場合は件名スタンプをつける 3 特定添付ファイル (exe zip+exe LZH) は受け取らない 4From ヘッダーを詐称しているメールは受け取らない 4. ブラウザの使い分け脆弱性が多いといわれる IE は業務アプリでしか使わない 5. 不要なアプリの削除 JAVA FlashPlayer 等

標的型に効かない対策? アンチウィルスソフト検出できないなら標的型には効かないよね? 必要です! 今効かなくても明日効くことがある感染攻撃には段階があり複数のマルウェアツールの組み合わせで侵攻するケースもなので自動更新と通知を忘れずに 41