IPA テクニカルウォッチ 標 的 型 攻 撃 メールの 例 と 見 分 け 方
目 次 1. はじめに... 1 1.1. 本 書 の 対 象 読 者... 2 1.2. 注 意 事 項... 2 2. 標 的 型 攻 撃 メールの 見 分 け 方... 3 2.1. 標 的 型 攻 撃 メールと 注 意 する 時 の 着 眼 点... 3 2.2. 標 的 型 攻 撃 メールの 例... 5 2.2.1. 新 聞 社 や 出 版 社 からの 取 材 申 込 のメール... 7 2.2.2. 就 職 活 動 に 関 する 問 い 合 わせのメール... 8 2.2.3. 製 品 に 関 する 問 い 合 わせのメール... 9 2.2.4. セキュリティに 係 る 注 意 喚 起 のメール... 10 2.2.5. 注 文 書 送 付 のメール... 12 2.2.6. アカウント 情 報 の 入 力 を 要 求 するメール(その1)... 13 2.2.7. アカウント 情 報 の 入 力 を 要 求 するメール(その2)... 14 2.3. 添 付 ファイルの 種 類... 16 2.3.1. zip 圧 縮 ファイル... 16 2.3.2. 実 行 形 式 ファイル... 19 2.3.3. データ 形 式 ファイル... 19 2.3.4. ショートカットファイル... 20 3. 標 的 型 攻 撃 メールへの 対 応... 22 4. おわりに... 23 5. 参 考 資 料... 24 本 書 の 標 的 型 攻 撃 メールの 例 では 実 際 の 標 的 型 攻 撃 メールをイメージできるよう に 架 空 の 組 織 名 や 個 人 名 などの 名 称 を 記 載 している それらはすべて 仮 名 であり 同 一 もしくは 類 似 の 組 織 名 や 個 人 名 などの 名 称 が 万 が 一 実 在 しても 本 書 の 記 載 内 容 とは 無 関 係 である
1. はじめに 特 定 の 組 織 や 人 から 機 密 情 報 を 窃 取 する 標 的 型 サイバー 攻 撃 が 深 刻 な 脅 威 となって いるが その 中 でも 標 的 型 攻 撃 メール が 依 然 として 猛 威 を 振 るっている 1 標 的 型 攻 撃 メールは 不 特 定 多 数 に 大 量 に 送 られるウイルスメールとは 異 なり 特 定 の 組 織 や 人 にしか 送 られないため セキュリティソフトの 定 義 ファイルに 登 録 される 前 に 標 的 とするメール 受 信 者 まで 届 いてしまう そのため 受 信 者 がセキュリティソフトを 利 用 していても 被 害 を 防 ぐことが 難 しい また メール 受 信 者 が 不 審 をいだかないように 様 々な 騙 しのテクニックが 駆 使 されてい るため メール 受 信 者 は 本 物 のメールと 勘 違 いしてしまい ウイルス 感 染 の 仕 掛 けが 施 さ れた 添 付 ファイルを 開 いたり 本 文 に 記 載 されたウイルス 感 染 の 仕 掛 けが 施 されたサイト へのリンクをクリックしたりしてしまう 可 能 性 が 高 い 添 付 ファイルの 開 封 や 本 文 のリンク 先 にアクセスすると 遠 隔 操 作 ウイルス(RAT : Remote Access Trojan/Remote Administration Tool)に 感 染 し 新 たなウイルスの 感 染 組 織 システム 内 へのウイルス 拡 散 情 報 収 集 機 密 情 報 の 外 部 への 漏 えい システムの 破 壊 といった 大 きな 被 害 へ 発 展 することになる 標 的 型 攻 撃 メールについては 国 内 でも 2005 年 頃 から 報 道 されるようになったが 特 に 2011 年 9 月 に 大 手 重 工 の 被 害 が 報 道 されてからは 多 数 のメディアで 取 り 上 げられるよう になり ここ 数 年 は 実 際 のメールが 報 道 されることも 多 くなったため 目 にする 機 会 は 増 えたともいえよう このような 標 的 型 攻 撃 メールは 大 手 企 業 や 官 公 庁 だけでなく それ らの 組 織 と 関 係 のある 業 界 団 体 や 中 小 企 業 に 対 して 行 われることにも 留 意 が 必 要 である 加 えて プライベートで 利 用 しているメールアドレスを 一 時 的 に 業 務 メールで 使 用 してい る またはしていた 場 合 には プライベートのメール 利 用 環 境 でも 不 審 なメールに 注 意 す る 必 要 がある 本 書 は 標 的 型 攻 撃 メールの 具 体 的 な 例 を 示 すことで メール 受 信 者 が 標 的 型 攻 撃 メー ルに 気 づくためのノウハウを 培 い 標 的 型 攻 撃 メールによる 被 害 が 低 減 されることを 目 的 としている なお 標 的 型 攻 撃 についての 一 般 的 な 説 明 は IPA から 多 数 の 資 料 を 公 開 しており それ らは 5. 参 考 資 料 に 示 す 1 サイバー 情 報 共 有 イニシアティブ(J-CSIP(ジェイシップ))の 運 用 状 況 のレポートを 参 照 (https://www.ipa.go.jp/security/j-csip/index.html) 1
1.1. 本 書 の 対 象 読 者 業 務 で 電 子 メールを 利 用 する 人 (プライベートのメールアドレスやフリーメールも 含 む) 組 織 でセキュリティ 教 育 に 携 わっている 人 ( 教 材 としての 活 用 ) 1.2. 注 意 事 項 標 的 型 攻 撃 メールの 騙 しのテクニックは 日 々 進 化 しており 本 書 で 説 明 する 着 眼 点 で 全 ての 標 的 型 攻 撃 メールを 見 抜 けるとは 限 らない そのため OS や 各 種 ソフトウェアのアッ プデート セキュリティソフトを 最 新 の 状 態 に 保 つといった 基 本 的 なセキュリティ 対 策 も 合 わせて 実 施 する 必 要 がある 受 信 したメールを 不 審 に 感 じた 場 合 には メール 文 面 を 見 た リンクをクリックした 添 付 ファイルを 開 いてしまったかもしれない など 些 細 な 点 も 含 め 組 織 で 定 められて いる 運 用 ルールに 従 い 組 織 内 の 情 報 集 約 窓 口 に 速 やかに 相 談 連 絡 することが 重 要 であ る 一 方 情 報 システム 担 当 部 門 は 利 用 者 が 不 審 なメールに 気 づいた 際 の 情 報 集 約 の 体 制 及 び 運 用 ルールを 整 備 するとともに 組 織 内 に 周 知 し 迅 速 に 情 報 の 集 約 が 行 える 体 制 を 整 える 必 要 がある さらに これまでは 攻 撃 の 初 期 侵 入 を 防 止 ( 入 口 対 策 )する 事 を 前 提 と してシステム 設 定 が 行 われていたが 利 用 者 が 標 的 型 攻 撃 メールを 見 抜 けずにウイルスに 感 染 してしまうなどの 入 口 対 策 が 突 破 され 内 部 に 侵 入 されることを 前 提 とした 上 で 侵 害 拡 大 防 止 及 び 監 視 強 化 を 目 的 としたシステム 設 計 ( 内 部 対 策 )も 講 じていく 必 要 が ある IPA では その 様 な 考 えに 基 づいたシステム 設 計 ガイドを 公 開 している 2 ので 参 考 にしていただきたい なお 組 織 の 情 報 セキュリティ 対 策 として 組 織 内 の 情 報 セキュリティ 問 題 を 専 門 に 扱 うインシデント 対 応 チームである CSIRT(Computer Security Incident Response Team) の 設 置 が 注 目 されている CSIRT については 一 般 社 団 法 人 JPCERT コーディネーショ ンセンターより 構 築 を 支 援 する 資 料 などが 公 開 されている 3 ので 参 照 いただきたい 加 えて 標 的 型 攻 撃 メールを 受 信 した 際 や 標 的 型 サイバー 攻 撃 の 被 害 に 遭 われた 際 には 他 の 組 織 における 被 害 の 予 防 と 拡 大 防 止 のために IPA などの 標 的 型 サイバー 攻 撃 の 対 応 の 支 援 を 行 っている 機 関 へ 相 談 や 情 報 提 供 いただきたい 2 https://www.ipa.go.jp/security/vuln/newattack.html 3 CSIRT マテリアル:https://www.jpcert.or.jp/csirt_material/ 2
2. 標 的 型 攻 撃 メールの 見 分 け 方 本 章 では 標 的 型 攻 撃 メールの 例 を 示 し 見 分 けるためのポイントを 説 明 する 加 えて 日 本 語 の 文 面 ではないが 請 求 書 や 送 付 状 などを 装 いボットウイルスや 偽 セキ ュリティソフト ランサムウェアの 感 染 を 目 的 とするメールや ID やパスワードなどの 入 力 を 要 求 するフィッシングメールも 存 在 しており 結 果 的 に 標 的 型 攻 撃 メールと 同 じ 被 害 が 生 じる 可 能 性 もあるため その 例 も 合 わせて 掲 載 している 標 的 型 攻 撃 メールには 受 信 者 が 不 審 をいだかないように 高 度 な 騙 しのテクニックが 用 いられる そのため 本 書 の 例 に 類 似 した 本 物 のメールやその 逆 に 本 書 の 例 に 類 似 しな い 巧 妙 な 標 的 型 攻 撃 メールも 存 在 することを 理 解 した 上 で 参 考 にしていただきたい 2.1. 標 的 型 攻 撃 メールと 注 意 する 時 の 着 眼 点 表 2-1 は IPA に 情 報 提 供 があった 標 的 型 攻 撃 メールや 公 開 情 報 から 得 た 知 見 を 基 に 標 的 型 攻 撃 メールの 特 徴 をまとめたものである これらの 特 徴 に 複 数 合 致 するメールを 受 信 した 場 合 は 標 的 型 攻 撃 メールの 可 能 性 があ るため 注 意 して 対 応 する 必 要 がある 対 応 方 法 については 3. 標 的 型 攻 撃 メールへの 対 応 を 参 照 いただきたい (ア) メールのテーマ 表 2-1 標 的 型 攻 撃 メールの 着 眼 点 1 知 らない 人 からのメールだが メール 本 文 の URL や 添 付 ファイ ルを 開 かざるを 得 ない 内 容 ( 例 1) 新 聞 社 や 出 版 社 からの 取 材 申 込 や 講 演 依 頼 ( 例 2) 就 職 活 動 に 関 する 問 い 合 わせや 履 歴 書 送 付 ( 例 3) 製 品 やサービスに 関 する 問 い 合 わせ クレーム ( 例 4) アンケート 調 査 2 心 当 たりのないメールだが 興 味 をそそられる 内 容 ( 例 1) 議 事 録 演 説 原 稿 などの 内 部 文 書 送 付 ( 例 2) VIP 訪 問 に 関 する 情 報 3 これまで 届 いたことがない 公 的 機 関 からのお 知 らせ ( 例 1) 情 報 セキュリティに 関 する 注 意 喚 起 ( 例 2) インフルエンザ 等 の 感 染 症 流 行 情 報 ( 例 3) 災 害 情 報 4 組 織 全 体 への 案 内 3
(イ) 差 出 人 のメール アドレス (ウ) メールの 本 文 (エ) 添 付 ファイル ( 例 1) 人 事 情 報 ( 例 2) 新 年 度 の 事 業 方 針 ( 例 3) 資 料 の 再 送 差 替 え 5 心 当 たりのない 決 裁 や 配 送 通 知 ( 英 文 の 場 合 が 多 い) ( 例 1) 航 空 券 の 予 約 確 認 ( 例 2) 荷 物 の 配 達 通 知 6 ID やパスワードなどの 入 力 を 要 求 するメール ( 例 1) メールボックスの 容 量 オーバーの 警 告 ( 例 2) 銀 行 からの 登 録 情 報 確 認 1 フリーメールアドレスから 送 信 されている 2 差 出 人 のメールアドレスとメール 本 文 の 署 名 に 記 載 されたメー ルアドレスが 異 なる 1 日 本 語 の 言 い 回 しが 不 自 然 である 2 日 本 語 では 使 用 されない 漢 字 ( 繁 体 字 簡 体 字 )が 使 われている 3 実 在 する 名 称 を 一 部 に 含 む URL が 記 載 されている 4 表 示 されている URL(アンカーテキスト)と 実 際 のリンク 先 の URL が 異 なる(HTML メールの 場 合 ) 5 署 名 の 内 容 が 誤 っている ( 例 1) 組 織 名 や 電 話 番 号 が 実 在 しない ( 例 2) 電 話 番 号 が FAX 番 号 として 記 載 されている 1 ファイルが 添 付 されている 2 実 行 形 式 ファイル( exe / scr / cpl など)が 添 付 されている 3 ショートカットファイル( lnk など)が 添 付 されている 4 アイコンが 偽 装 されている ( 例 1) 実 行 形 式 ファイルなのに 文 書 ファイルやフォルダのアイコ ンとなっている 5 ファイル 拡 張 子 が 偽 装 されている ( 例 1) 二 重 拡 張 子 となっている ( 例 2) ファイル 拡 張 子 の 前 に 大 量 の 空 白 文 字 が 挿 入 されている ( 例 3) ファイル 名 に RLO 4 が 使 用 されている 4 Right-to-Left Override と 呼 ばれる 文 字 の 表 示 上 の 並 びを 左 右 逆 にする 制 御 文 字 参 考 : ファイル 名 に 細 工 を 施 されたウイルスに 注 意! (2011 年 11 月 の 呼 びかけ)(IPA) https://www.ipa.go.jp/security/txt/2011/11outline.html 4
2.2. 標 的 型 攻 撃 メールの 例 本 節 では 標 的 型 攻 撃 メールの 例 を 用 いて 不 審 か 否 かを 見 分 けるための 着 眼 点 を 示 す 以 降 の 各 ページ 内 の 項 番 ( 例 えば ア-1 )は 表 2-1 標 的 型 攻 撃 メールの 着 眼 点 の 項 番 に 対 応 する 本 書 では マイクロソフト Microsoft Outlook 2010 で 表 示 した 画 面 を 掲 載 しているが 受 信 メールの 表 示 形 式 は 利 用 しているメールソフトにより 異 なる 5 ため 注 意 いただきたい なお 添 付 ファイルに 関 しては 2.3. 添 付 ファイルの 種 類 を 確 認 いただきたい 各 例 は 実 際 の 標 的 型 攻 撃 メールを 基 に 標 的 型 攻 撃 メールの 特 徴 を 理 解 し 易 いように 加 工 したメールである なお 本 書 への 掲 載 にあたり 実 際 の 標 的 型 攻 撃 メールにおいて フリーメールアドレスが 利 用 されていたものについては すべてドメイン 名 を example.com に 置 き 換 えている 表 2-2 標 的 型 攻 撃 メールの 着 眼 点 と 本 書 の 各 節 の 対 応 表 節 番 号 及 びページ 番 号 標 的 型 攻 撃 メールの 例 添 付 ファイルの 種 類 着 眼 点 2.2.1 P.7 2.2.2 P.8 2.2.3 P.9 2.2.4 P.10 2.2.5 P.12 2.2.6 P.13 2.2.7 P.14 2.3.1 P.16 2.3.2 P.19 2.3.3 P.19 2.3.4 P.20 (ア) 1 知 らない 人 からのメールだが メー ル 本 文 の URL や 添 付 ファイルを 開 かざるを 得 ない 内 容 2 心 当 たりのないメールだが 興 味 を そそられる 内 容 3 これまで 届 いたことがない 公 的 機 関 からのお 知 らせ 4 組 織 全 体 への 案 内 (イ) (ウ) 5 心 当 たりのない 決 裁 や 配 送 通 知 6 ID やパスワードなどの 入 力 を 要 求 す るメール 1 フリーメールアドレスから 送 信 され ている 2 差 出 人 のメールアドレスとメール 本 文 の 署 名 に 記 載 されたメールアドレ スが 異 なる 1 日 本 語 の 言 い 回 しが 不 自 然 である 2 日 本 語 では 使 用 されない 漢 字 が 使 わ れている 3 実 在 する 名 称 を 一 部 に 含 む URL が 記 載 されている 4 表 示 されている URL と 実 際 のリン ク 先 の URL が 異 なる 5 署 名 の 内 容 が 誤 っている 5 メールソフトにより 差 出 人 の 表 示 形 式 等 が 異 なる 場 合 がある 例 えば Mozilla Thunderbird 31.3.0 の 場 合 差 出 人 の 表 示 形 式 は 表 示 名 として 登 録 されているものが 表 示 されるだけで 実 際 のメールアドレスは 表 示 されない 5
(エ) 1 ファイルが 添 付 されている 2 実 行 形 式 ファイルが 添 付 されている 3 ショートカットファイルが 添 付 され ている 4 アイコンが 偽 装 されている 5 ファイル 拡 張 子 が 偽 装 されている 6
2.2.1. 新 聞 社 や 出 版 社 からの 取 材 申 込 のメール イ-1 ア-1 エ-1 ウ-2 出 版 社 からの 取 材 申 し 込 み ア-1 を 装 った 標 的 型 攻 撃 メールの 例 6である 日 頃 から 執 筆 活 動 やセミナー 等 の 講 師 を 行 い 報 道 機 関 からの 取 材 に 対 応 することがあ る 人 にとって このような 取 材 申 し 込 みのメールを 装 った 標 的 型 攻 撃 メールは 知 らない 人 からのメールであっても 無 視 することが 難 しいだけでなく 本 物 のメールと 区 別 する ことも 難 しい また 興 味 本 位 から 質 問 内 容 を 見 てみたい と 感 じ 添 付 ファイルを 開 いてしまう 可 能 性 もあるだろう しかしながら 差 出 人 のメールアドレスが フリーメールアドレス( 図 中 では @example.com)である 点 イ-1 メールの 本 文 で 日 本 語 では 使 用 されない 漢 字 が 使 わ れている 点 ウ-2 zip 圧 縮 ファイルが 添 付 されている 点 エ-1 から 慎 重 に 対 応 する 必 要 がある このようなメールが 届 いた 場 合 は すぐにメールに 返 信 したり メールに 記 載 されてい る 電 話 番 号 に 連 絡 したりするのではなく ウェブ 等 の 当 該 メール 以 外 の 情 報 源 から 当 該 組 織 (この 例 では 週 刊 IPA )の 電 話 番 号 や 問 合 せメールアドレスを 調 べ この 差 出 人 が 実 在 するか このメールを 送 信 したかなどを 確 認 することで 標 的 型 攻 撃 メールか 否 かを 判 断 する 必 要 がある 6 取 材 申 し 込 みを 装 った 標 的 型 攻 撃 メールは 2013 年 秋 に 多 く 見 受 けられた 7
2.2.2. 就 職 活 動 に 関 する 問 い 合 わせのメール イ-1 ア-1 エ-1 イ-2 1 1 就 職 活 動 に 関 する 学 生 からの 問 い 合 わせ ア-1 を 装 った 標 的 型 攻 撃 メールの 例 7であ る 学 生 の 場 合 就 職 活 動 にフリーメールアドレス( 図 中 では@example.com)を 使 うこと イ -1 は 十 分 考 えられるが この 例 では 差 出 人 のメールアドレス(フリーメールアドレ ス)と 署 名 のメールアドレス( 大 学 のメールアドレス)が 一 致 しない 点 イ-2 から 慎 重 に 対 応 する 必 要 がある なお 不 特 定 の 人 からの 問 い 合 わせを 受 け 付 ける 窓 口 では 就 職 活 動 に 関 する 問 い 合 わ せのメールに 限 らず フリーメールアドレスから 添 付 ファイル 付 き エ-1 のメールが 届 くことが 十 分 考 えられるため 常 に 不 審 なメールか 否 かについて 判 断 する 必 要 がある 7 少 し 日 本 語 に 不 自 然 な 点 があるが 真 摯 な 熱 意 と 共 に 送 られる 標 的 型 攻 撃 メールは 2013 年 以 降 時 期 を 問 わず 発 生 している 8
2.2.3. 製 品 に 関 する 問 い 合 わせのメール イ-1 ア-1 エ-1 イ-2 製 品 に 関 する 問 い 合 わせ ア-1 を 装 った 標 的 型 攻 撃 メールの 例 8である 本 文 中 に 実 際 の 製 品 名 やサービス 名 が 記 載 されている 場 合 が 多 い フリーメールアドレス( 図 中 では@example.com)を 利 用 している 点 イ-1 だけでは 不 審 と 判 断 できないが 差 出 人 のメールアドレスと 署 名 のメールアドレスが 異 なる 点 イ -2 が 不 審 である また zip 圧 縮 ファイルが 添 付 されている エ-1 ため 慎 重 に 対 応 する 必 要 がある 8 本 例 は 日 本 語 であるが 2.2.5 注 文 書 送 付 のメール のように 外 国 語 で 届 くことも 考 え られる 9
2.2.4. セキュリティに 係 る 注 意 喚 起 のメール イ-1 ア-3 公 的 機 関 からのセキュリティに 係 る 注 意 喚 起 ア-3 を 装 った 標 的 型 攻 撃 メールの 例 9で ある 公 的 機 関 からのメールにも 関 わらず 差 出 人 のメールアドレスがフリーメールアドレス ( 図 中 では@example.com)である 点 イ-1 が 不 審 である また 本 文 の URL にも 注 意 が 必 要 である 本 メールは HTML メールとして 送 信 され ており HTML メールでは 表 示 されている URL(アンカーテキスト)と 実 際 に URL をク リックした 際 に 表 示 されるウェブページをそれぞれ 設 定 することができる 使 用 しているメールソフトによって 操 作 方 法 は 異 なるが メールの 表 示 形 式 をテキスト 表 示 にすることで 実 際 にクリックした 際 に 表 示 されるウェブページの URL を 確 認 すること ができる Microsoft Outlook 2010 で 同 メールをテキスト 表 示 にした 画 面 を 以 下 に 示 す ウ-4 ウ-3 メールソフト 上 に 表 示 されている URL 実 際 にクリックした 際 に 表 示 されるウェブページの URL 9 一 般 にフィッシングと 呼 ばれる 手 法 である 特 に 特 定 組 織 に 送 られるものを 海 外 ではスピ アフィッシングと 呼 ぶことが 多 い フィッシングについては 以 下 を 参 照 https://www.ipa.go.jp/security/personal/protect/phishing.html 10
この 例 では 表 示 されている URL(http://technet.microsoft.com/ )と 実 際 にクリ ックした 際 に 表 示 されるウェブページの URL(http://technet.microsoft.com.xx/ )が 異 なる 点 ウ-4 及 び 実 在 する 名 称 を 一 部 に 含 む URL が 記 載 されている 点 ウ-3 が 不 審 である 11
2.2.5. 注 文 書 送 付 のメール イ-1 ア-5 エ-1 海 外 からの 注 文 ア-5 を 装 ったメールの 例 10である 普 段 から 海 外 の 企 業 とやり 取 りをしている 場 合 本 物 のメールと 区 別 することは 難 しい しかしながら 突 然 取 引 のない 企 業 からこのようなメールが 届 くことは 考 えづらいため 心 当 たりのない 場 合 は 不 審 なメールの 可 能 性 が 高 いと 判 断 し 慎 重 に 対 応 する 必 要 がある また 差 出 人 のメールアドレスがフリーメールアドレス( 図 中 では@example.com)であ る 点 イ-1 及 び 国 内 では 使 われることが 少 ない rar 圧 縮 形 式 の 添 付 ファイルが 添 付 さ れている 点 エ-1 が 不 審 である なお 注 文 書 だけではなく 請 求 書 や 送 付 状 などの 送 付 を 装 ったメールも 確 認 されてい る 10 他 にも Invoice Booking efax MMS 配 送 会 社 を 装 ったものもある 多 くはボッ トウイルスに 感 染 させる 手 口 であるが 最 近 ではボットウイルス 感 染 を 使 った 標 的 型 サイ バー 攻 撃 も 海 外 で 報 道 されているため 十 分 注 意 が 必 要 である 12
2.2.6. アカウント 情 報 の 入 力 を 要 求 するメール(その1) イ-1 ア-6 システム 管 理 者 からのアカウント 情 報 の 要 求 ア-6 を 装 ったメールの 例 11である 添 付 ファイルやリンクが 存 在 しないがパスワードなどのアカウント 情 報 をメールで 返 信 するように 要 求 している 点 ア-6 及 びシステム 管 理 者 からの 連 絡 にも 関 わらず 差 出 人 のメールアドレスがフリーメールアドレス( 図 中 では@example.com)である 点 イ-1 が 不 審 である このようなメールが 届 いた 場 合 は 安 易 にメールに 返 信 せず 組 織 内 の 情 報 システム 部 門 に 電 話 等 で 確 認 するべきである もし このメールに 返 信 して 自 身 の 名 前 やメールアドレス メールパスワードが 攻 撃 者 に 渡 ってしまうと 別 の 標 的 型 攻 撃 メールに 悪 用 されたり 自 分 宛 てに 標 的 型 攻 撃 メー ルが 届 いたりする 可 能 性 がある 手 段 は 異 なるが 遠 隔 操 作 ウイルスが 添 付 された 標 的 型 攻 撃 メールと 同 様 にアカウント 情 報 を 詐 取 することを 目 的 とした 手 口 である 11 このようなメールに 返 信 することは 無 いかもしれないが 気 の 緩 みで 思 わず 回 答 してし まう 可 能 性 もあるため 注 意 が 必 要 である このようなメールは ( 自 動 翻 訳 のような 文 面 で) 日 本 語 をはじめ 複 数 の 言 語 で 存 在 している 13
2.2.7. アカウント 情 報 の 入 力 を 要 求 するメール(その2) イ-1 ア-6 ウ-1 日 本 語 ではあるものの 2.2.6. アカウント 情 報 の 入 力 を 要 求 するメール(その1) と 同 様 のシステム 管 理 者 からのアカウント 情 報 の 要 求 ア-6 を 装 ったメールの 例 12である システム 管 理 者 からの 連 絡 にも 関 わらず 差 出 人 のメールアドレスがフリーメールアドレ ス( 図 中 では@example.com)である 点 イ-1 及 び 全 体 的 に 本 文 の 日 本 語 が 不 自 然 で ある 点 ウ-1 から 不 審 なメールである 可 能 性 が 考 えられる 不 自 然 な 日 本 語 は 日 本 語 を 理 解 していない 攻 撃 者 が 自 動 翻 訳 ソフトを 利 用 したためと 推 察 される 12 2013 年 には 国 内 においてウェブメールのログイン 画 面 を 装 った 例 があった また スマ ートフォンで 使 うアカウント 情 報 の 入 力 を 求 めるものもあるため 注 意 が 必 要 である 14
実 際 のメールでは 本 文 中 の URL をクリックすると 実 在 するウェブサイトを 模 したア カウント 情 報 の 入 力 を 要 求 する ア-6 ウェブサイトに 接 続 される 場 合 によっては 本 文 中 の URL をクリックし 攻 撃 者 が 用 意 したウェブサイトに 接 続 することで ウイルスに 感 染 する 危 険 性 もあるため 注 意 する 必 要 がある 15
2.3. 添 付 ファイルの 種 類 本 節 では 標 的 型 攻 撃 メールで 使 われる 添 付 ファイルの 例 を 紹 介 する なお 添 付 ファイルを 使 った 主 な 騙 しのテクニックであるアイコン 偽 装 ファイル 拡 張 子 偽 装 ( 二 重 拡 張 子 大 量 の 空 白 文 字 の 挿 入 RLO の 使 用 )については これまでに IPA から 公 開 している 資 料 13を 参 照 いただきたい 2.3.1. zip 圧 縮 ファイル データを 格 納 するためのファイル 形 式 である 標 的 型 攻 撃 メールにおいては この zip 圧 縮 ファイルの 中 に 後 述 の 実 行 形 式 ファイル や データ 形 式 ファイル などが 格 納 され ている 場 合 がある しかし zip 圧 縮 ファイル 自 体 は 一 般 的 なメールのやり 取 りでも 利 用 されているため zip 圧 縮 ファイルが 添 付 されているだけでは 不 審 なメールとは 判 断 できな い そのため zip 圧 縮 ファイルの 中 にどのようなファイルが 格 納 されているかを 確 認 する 必 要 がある zip 圧 縮 ファイルの 中 身 の 確 認 方 法 の 一 例 を 以 下 に 示 す 以 下 の 作 業 では 操 作 ミスによりウイルス 感 染 被 害 が 発 生 する 可 能 性 があるた め 興 味 本 位 などでむやみに 中 身 を 確 認 することはせず 不 審 と 思 えば 組 織 で 定 められている 運 用 ルールに 従 い 組 織 内 の 情 報 集 約 窓 口 に 速 やかに 連 絡 相 談 す ることが 重 要 である 連 絡 相 談 先 が 不 明 な 場 合 は ぜひ IPA に 相 談 していただきたい 13 標 的 型 攻 撃 メール< 危 険 回 避 > 対 策 のしおり( 第 1 版 ): https://www.ipa.go.jp/security/antivirus/shiori.html 16
(a) 添 付 ファイルを 任 意 のフォルダに 保 存 する ただし この 時 点 で セキュリティソフ トがウイルス 検 知 の 警 告 を 表 示 したときは それ 以 上 の 作 業 を 行 わない (b) zip 圧 縮 ファイルを 右 クリックして プログラムから 開 く をクリックする 17
(c) 推 奨 されたプログラムの エクスプローラー を 一 度 クリックした 後 に OK をク リックする (d) エクスプローラーの 表 示 方 法 を 詳 細 とすることで ファイルの 種 類 を 確 認 で きる この 例 では アプリケーション である エクスプローラーの 表 示 方 法 を 詳 細 にする このアイコンをさらに 右 クリックしプロパティを 表 示 させ より 詳 しい 情 報 を 表 示 することも 可 能 だが 誤 ってファイルを 開 いて しまう 可 能 性 があるため 推 奨 しない 18
2.3.2. 実 行 形 式 ファイル 実 行 形 式 ファイルは 自 由 にアイコンが 設 定 できるため 実 行 形 式 ファイルのアイコンを 後 述 のデータ 形 式 ファイルなどに 偽 装 して 添 付 した 標 的 型 攻 撃 メールが 見 受 けられる 実 行 形 式 ファイルは 命 令 の 集 まりであるため 開 いてしまうだけで 攻 撃 者 が 事 前 にファ イル 内 に 記 述 した 命 令 が 実 行 され 新 たなウイルスのダウンロードや 遠 隔 操 作 などが 行 わ れてしまう 万 一 添 付 ファイルが 実 行 形 式 ファイルであれば 安 易 に 開 いてはいけない 実 行 形 式 ファイルを 開 く 際 には そのファイルが 本 当 に 信 頼 できるのかどうかを 確 認 し 慎 重 に 開 く 必 要 がある Windows 環 境 を 対 象 とした 標 的 型 攻 撃 メールで 確 認 された 実 行 形 式 ファイルの 一 例 とし ては 拡 張 子 が exe scr cpl といったものが 確 認 されている メールソフトやセキュリティソフトによっては 実 行 形 式 ファイルが 添 付 されているだ けで 警 告 を 表 示 したり 開 けないようにしたりする 機 能 を 持 つものがあるため 最 近 は 実 行 形 式 ファイルを 直 接 添 付 するメールはほとんど 無 くなった 注 ) 情 報 漏 えい 対 策 のために ファイルを 暗 号 化 して 実 行 形 式 ファイル( 自 己 解 凍 形 式 ) でメールに 添 付 している 場 合 もあるため その 際 には 送 信 元 に 確 認 する 必 要 がある 2.3.3. データ 形 式 ファイル データ 形 式 ファイルはデータの 集 まりであるため そのデータを 読 み 込 むことができる プログラムに 読 み 込 ませる 必 要 がある 一 般 的 に 事 前 にデータ 形 式 ファイルごとにどのプ ログラムに 読 み 込 ませるかが 設 定 されているため 利 用 者 はデータ 形 式 ファイルを 開 くだ けで 自 動 的 にプログラムがデータ 形 式 ファイルを 読 み 込 み 起 動 する 仕 組 みになっている そのため 攻 撃 者 は データ 形 式 ファイルの 中 にそのデータを 読 み 込 むプログラムの 脆 弱 性 を 悪 用 するウイルスや 悪 意 のある 動 作 をするコマンドを 埋 め 込 んだりすることがある 特 に 利 用 者 が 多 い Microsoft Office 関 連 のファイルや PDF ファイルは 標 的 型 攻 撃 メー ルにおいて 他 のデータ 形 式 ファイルと 比 べてウイルスが 埋 め 込 まれることが 多 い また 日 本 のみを 標 的 とするためなのか 日 本 語 のワープロソフトである 一 太 郎 のデータ 形 式 フ ァイルにウイルスなどが 埋 め 込 まれることもある これらのデータ 形 式 ファイルは 本 物 のメールのやり 取 りでも 多 用 されているため フ ァイルの 種 類 だけでウイルスメールかどうかを 見 分 けることは 困 難 である データ 形 式 ファイルを 開 く 前 には 当 該 データ 形 式 ファイルを 開 くアプリケーションや OS のアップデートを 確 認 するとともに セキュリティソフトの 定 義 ファイルを 最 新 の 状 態 にしてから 開 くことが 重 要 である なお アプリケーションや OS セキュリティソフトを 最 新 の 状 態 にしていても 修 正 プログラムが 提 供 される 前 にプログラムの 脆 弱 性 が 攻 撃 に 19
悪 用 される 場 合 (ゼロデイ 攻 撃 )もあるため 最 新 の 状 態 のアプリケーションや OS セキ ュリティソフトを 使 用 していても 絶 対 安 全 とは 言 い 切 れないことに 留 意 する 必 要 がある 2.3.4. ショートカットファイル ショートカットファイルは 実 際 のファイルやフォルダ アプリケーションの 場 所 を 示 すファイルであり 実 体 がそこになくても 見 掛 け 上 はショートカットファイルを 実 体 その ものとして 扱 え ファイルへのアクセスを 簡 単 にすることができる ファイル 拡 張 子 は lnk であり その 特 徴 として 通 常 の 設 定 ではファイル 拡 張 子 が 表 示 されない 場 合 があり ファイルに 存 在 する 設 定 値 にウイルスをダウンロードする 命 令 を 記 述 することも 可 能 であるため 標 的 型 攻 撃 メールにおいて 悪 用 される 場 合 がある 通 常 ショートカットファイルを 添 付 したメールを 送 ることは 限 定 的 な 状 況 下 でのみ 行 われると 考 えられるため ショートカットファイルが 添 付 されていた 場 合 には 不 審 な メールである 可 能 性 を 疑 う 必 要 がある 14 以 下 にショートカットファイルのアイコンを 示 す アイコンの 表 示 から 一 見 するとデ ータ 形 式 ファイルのように 見 えるが アイコンの 左 下 に 矢 印 のマーク があることから ショートカットファイルであることが 判 断 できる エクスプローラーの 詳 細 表 示 では 種 類 に ショートカット と 表 示 される もし zip 圧 縮 ファイルにショートカットファイル が 含 まれている 場 合 は 2.3.1 zip 圧 縮 ファイル で 説 明 した 確 認 方 法 で 同 様 の 確 認 が 可 能 である エ-3 14 正 当 なメールの 差 出 人 が 間 違 えてファイル 実 体 ではなくショートカットを 添 付 してし まうミスも 考 えられる 20
コマンドプロンプトでファイルのリストを 表 示 しても ファイル 拡 張 子 が lnk である ことからショートカットファイルであることが 確 認 できる 実 行 形 式 ファイルと 同 様 にショートカットファイルもアイコンが 自 由 に 設 定 できるため アイコン 偽 装 が 可 能 であるが どのようなアイコンに 偽 装 してもショートカットファイル であることを 示 すアイコンの 左 下 の 矢 印 のマーク が 表 示 されるため 不 審 であること に 気 づくことができる 21
3. 標 的 型 攻 撃 メールへの 対 応 標 的 型 攻 撃 メールは 標 的 とする 組 織 の 複 数 のメールアドレスに 届 くことが 多 い その ため 標 的 型 攻 撃 メールを 発 見 した 場 合 は 発 見 者 が 自 分 に 届 いたメールだけを 削 除 する だけでは 対 応 として 不 十 分 である 例 えば 同 じ 標 的 型 攻 撃 メールが 5 人 に 届 いたとして 4 人 が 気 づき 1 人 が 気 づかずにウイルスに 感 染 してしまった 場 合 組 織 としては 被 害 が 発 生 してしまう つまり 標 的 型 攻 撃 メールについて 組 織 内 で 情 報 共 有 することが 重 要 であ る 具 体 的 には 次 の 対 応 が 考 えられる 不 審 メールに 気 付 いたメール 受 信 者 は 組 織 で 定 められている 運 用 ルールに 従 い 組 織 内 の 情 報 集 約 窓 口 に 速 やかに 報 告 する 情 報 集 約 窓 口 に 集 約 された 情 報 を 基 に 情 報 システム 担 当 部 門 などは 当 該 メール を 含 め 類 似 の 不 審 メールが 他 に 届 いていないかを メールサーバのログなどにより 調 査 する 情 報 システム 担 当 部 門 などは 不 審 メールが 届 いたすべての 端 末 で 添 付 ファイル を 開 いたり 不 審 な URL にアクセスしたりしていないかなどを 確 認 する 標 的 型 攻 撃 メールかどうか 判 らない 場 合 や 相 手 の 連 絡 先 がわからず 真 正 性 が 確 認 でき ない 場 合 には IPA では 専 門 的 知 見 を 有 する 相 談 員 が 対 応 する 標 的 型 サイバー 攻 撃 の 特 別 相 談 窓 口 を 設 置 しているので 活 用 していただきたい この 他 にも IPA では ウイルス 及 び 不 正 アクセスに 関 する 総 合 的 な 相 談 窓 口 である 情 報 セキュリティ 安 心 相 談 窓 口 15 を 設 置 しているので あわせて 活 用 いただきたい 標 的 型 攻 撃 メールは 長 期 間 に 渡 り 手 を 変 え 品 を 変 え 何 回 も 届 くことが 多 い そのた め 組 織 においては 標 的 型 攻 撃 メールに 関 する 情 報 を 入 手 した 場 合 に 組 織 全 体 に 対 し て 注 意 喚 起 を 行 い 被 害 の 有 無 を 確 認 することが 重 要 である なお 情 報 共 有 による 被 害 の 拡 大 と 予 防 のために 標 的 型 攻 撃 の 情 報 収 集 分 析 注 意 喚 起 などを 行 っている IPA にも 情 報 提 供 していただきたい 独 立 行 政 法 人 情 報 処 理 推 進 機 構 (IPA) 標 的 型 サイバー 攻 撃 の 特 別 相 談 窓 口 https://www.ipa.go.jp/security/tokubetsu/ 15 情 報 セキュリティ 安 心 相 談 窓 口 :https://www.ipa.go.jp/security/anshin/ 22
4. おわりに 2005 年 10 月 に 国 内 における 標 的 型 攻 撃 メールに 関 する 報 道 がされてから 9 年 が 経 つが まだまだ 広 く 一 般 には 標 的 型 攻 撃 メールは 認 知 されていない 一 部 の 大 企 業 や 官 公 庁 を 標 的 とした 攻 撃 しか 報 道 されていないことが その 要 因 のひとつと 考 えられる しかし 一 部 の 大 企 業 や 官 公 庁 だけではなく 最 終 的 な 標 的 とする 組 織 と 関 係 がある 中 小 企 業 や 業 界 団 体 にも 標 的 型 攻 撃 メールは 届 いており そのような 組 織 が 長 期 にわたりウイルスに 感 染 していたケースも 確 認 している 標 的 型 攻 撃 メールへの 対 策 として セキュリティベンダ 各 社 から 次 々に 製 品 やサービス が 発 表 されている しかし 攻 撃 者 もそれに 対 応 して 攻 撃 手 法 を 変 化 させており システ ムで 防 ぐだけでは 十 分 とは 言 えず メール 受 信 者 が 自 身 で 不 審 なメールを 見 分 けることも 重 要 な 対 策 のひとつと 考 えられる そのため 本 書 では 不 審 なメールを 見 分 ける 着 眼 点 を 読 者 のノウハウとしてもらうために 標 的 型 攻 撃 メールの 例 を 基 にして 不 審 なメールを 見 分 けるためのポイントを 説 明 した 標 的 型 攻 撃 メールは 同 じ 組 織 の 複 数 のメールアドレスに 届 く 場 合 が 多 いため 一 人 で も 気 づくことができれば 他 の 人 に 届 いた 標 的 型 攻 撃 メールも 発 見 できる 可 能 性 が 高 い そのため 不 審 なメールに 気 付 いた 人 は 組 織 で 定 められている 運 用 ルールに 従 い 速 やか に 情 報 集 約 窓 口 に 報 告 することが 重 要 である また 組 織 内 に 限 らず 組 織 間 においても 同 様 に 情 報 を 共 有 することで 複 数 の 組 織 で 被 害 の 拡 散 防 止 と 予 防 が 可 能 なため 情 報 共 有 は 標 的 型 攻 撃 における 重 要 な 対 策 であると 言 える IPA では 標 的 型 サイバー 攻 撃 に 関 して 専 門 的 知 見 を 有 する 相 談 員 が 対 応 する 標 的 型 サ イバー 攻 撃 の 特 別 相 談 窓 口 16 を 設 置 し 相 談 を 受 け 付 けているので 不 審 なメールを 発 見 した 場 合 は ぜひご 連 絡 をお 願 いしたい IPA では 今 後 も 継 続 して 標 的 型 サイバー 攻 撃 に 関 する 情 報 を 収 集 分 析 し 関 係 各 機 関 と 連 携 し 安 心 して 情 報 システムが 利 用 できる 社 会 を 目 指 す 所 存 である 最 後 に 本 書 が 我 が 国 の 標 的 型 サイバー 攻 撃 の 被 害 低 減 の 一 助 になれば 幸 いである 16 標 的 型 サイバー 攻 撃 の 特 別 相 談 窓 口 :https://www.ipa.go.jp/security/tokubetsu/ 23
5. 参 考 資 料 IPA がウェブに 公 開 している 標 的 型 攻 撃 メールに 関 する 資 料 を 以 下 に 示 す 標 的 型 攻 撃 メール 関 連 及 び 事 例 分 析 1 テクニカルウォッチ 標 的 型 攻 撃 メールの 傾 向 と 事 例 分 析 <2013 年 > https://www.ipa.go.jp/security/technicalwatch/20140130.html 2 テクニカルウォッチ フリーメールからの 送 信 が 増 加 傾 向 に: 最 近 の 標 的 型 攻 撃 メー ルの 傾 向 と 事 例 分 析 https://www.ipa.go.jp/about/technicalwatch/20121030.html 3 テクニカルウォッチ 標 的 型 攻 撃 メールの 分 析 https://www.ipa.go.jp/about/technicalwatch/20111003.html 4 標 的 型 サイバー 攻 撃 の 事 例 分 析 と 対 策 レポート https://www.ipa.go.jp/about/press/20120120.html 5 東 日 本 大 震 災 に 乗 じた 標 的 型 攻 撃 メールによるサイバー 攻 撃 の 分 析 調 査 報 告 書 https://www.ipa.go.jp/about/press/20110929_2.html 6 標 的 型 メール 攻 撃 対 策 に 向 けたシステム 設 計 ガイド https://www.ipa.go.jp/about/press/20130829.html 標 的 型 攻 撃 の 組 織 への 普 及 啓 発 1 動 画 あなたの 組 織 が 狙 われている!~ 標 的 型 攻 撃 その 脅 威 と 対 策 ~ https://www.ipa.go.jp/security/keihatsu/videos/ 2 対 策 のしおり 標 的 型 攻 撃 メール< 危 険 回 避 > 対 策 のしおり https://www.ipa.go.jp/security/antivirus/shiori.html 3 2014 年 版 10 大 脅 威 https://www.ipa.go.jp/security/vuln/10threats2014.html 標 的 型 攻 撃 への 対 策 1 テクニカルウォッチ 攻 撃 者 に 狙 われる 設 計 運 用 上 の 弱 点 についてのレポート https://www.ipa.go.jp/security/technicalwatch/20140328.html 2 サイバー 情 報 共 有 イニシアティブ(J-CSIP)2013 年 度 活 動 レポート https://www.ipa.go.jp/about/press/20140530.html 3 講 演 資 料 標 的 型 サイバー 攻 撃 の 脅 威 と 対 策 https://www.ipa.go.jp/security/event/2013/isec-semi/documents/2013videosemi_targ eted_cyber_attacks_v1.pdf https://www.ipa.go.jp/security/event/2013/isec-semi/documents/2013videosemi_targ eted_cyber_attacks_v1a.pdf 4 講 演 資 料 標 的 型 攻 撃 / 新 しいタイプの 攻 撃 の 実 態 と 対 策 https://www.ipa.go.jp/files/000024542.pdf 24
IPA テクニカルウォッチ 標 的 型 攻 撃 メールの 例 と 見 分 け 方 [ 発 行 ] 2015 年 1 月 9 日 [ 著 作 制 作 ] 独 立 行 政 法 人 情 報 処 理 推 進 機 構 技 術 本 部 セキュリティセンター [ 執 筆 者 ] 岡 野 裕 樹 木 邑 実 辻 宏 郷 青 木 眞 夫 25