標的型攻撃メールの傾向と事例分析 2015/ 05 独立行政法人情報処理推進機構 (IPA) 技術本部セキュリティセンター 伊東宏明 Copyright 2015 独立行政法人情報処理推進機構
1. 標的型サイバー攻撃への取り組み 2. 標的型攻撃メールの見分け方 3. 添付ファイルの見分け方 4. 標的型攻撃メールを見つけたら Copyright 2015 独立行政法人情報処理推進機構 1
2.1 標的型攻撃メールの例と見分け方 ~ テクニカルウオッチ ~ 情報提供いただいた標的型攻撃メールの調査 分析を行い 2015 年 1 月 9 日にレポートを公開しました https://www.ipa.go.jp/security/technicalwatch/20150109.html Copyright 2015 独立行政法人情報処理推進機構 2
2.2 標的型サイバー攻撃分析レポート ~ その他のテクニカルウオッチ ~ 情報提供いただいた標的型攻撃メールの調査 分析内容を公開し 特徴や傾向の把握に役立てていただいています http://www.ipa.go.jp/about/technicalwatch/20111003.html http://www.ipa.go.jp/about/technicalwatch/20121030.html http://www.ipa.go.jp/security/technicalwatch/20140130.html Copyright 2015 独立行政法人情報処理推進機構 3
2.3 標的型攻撃メールの例と見分け方 ( ア ) メールのテーマ 1 知らない人からのメールだが メール本文のURLや添付ファイルを開かざるを得ない内容 ( 例 1) 新聞社や出版社からの取材申込や講演依頼 ( 例 2) 就職活動に関する問い合わせや履歴書送付 ( 例 3) 製品やサービスに関する問い合わせ クレーム ( 例 4) アンケート調査 2 心当たりのないメールだが 興味をそそられる内容 ( 例 1) 議事録 演説原稿などの内部文書送付 ( 例 2) VIP 訪問に関する情報 3 これまで届いたことがない公的機関からのお知らせ ( 例 1) 情報セキュリティに関する注意喚起 ( 例 2) インフルエンザ等の感染症流行情報 ( 例 3) 災害情報 4 組織全体への案内 ( 例 1) 人事情報 ( 例 2) 新年度の事業方針 ( 例 3) 資料の再送 差替え 5 心当たりのない 決裁や配送通知 ( 英文の場合が多い ) ( 例 1) 航空券の予約確認 ( 例 2) 荷物の配達通知 6 IDやパスワードなどの入力を要求するメール ( 例 1) メールボックスの容量オーバーの警告 ( 例 2) 銀行からの登録情報確認 https://www.ipa.go.jp/security/technicalwatch/20150109.html Copyright 2015 独立行政法人情報処理推進機構 4
2.4 標的型攻撃メールの例と見分け方 ( イ ) 送信者のメールアドレス 1 フリーメールアドレスから送信されている 2 送信者のメールアドレスとメール本文の署名に記載されたメールアドレスが異なる ( ウ ) メールの本文 1 2 3 日本語の言い回しが不自然である 日本語では使用されない漢字 ( 繁体字 簡体字 ) が使われている 実在する名称を一部に含む URL が記載されている 4 表示されている URL( アンカーテキスト ) と実際のリンク先の URL が異なる (html メールの場合 ) 5 署名の内容が誤っている ( 例 1) 組織名や電話番号が実在しない ( 例 2) 電話番号がFAX 番号として記載されている https://www.ipa.go.jp/security/technicalwatch/20150109.html Copyright 2015 独立行政法人情報処理推進機構 5
2.5 標的型攻撃メールの例と見分け方 ( エ ) 添付ファイル 1 ファイルが添付されている 2 実行形式ファイル ( exe / scr / cpl など ) が添付されている 3 ショートカットファイル ( lnk など ) が添付されている 4 アイコンが偽装されている ( 例 1) 実行形式ファイルなのに文書ファイルやフォルダのアイコンとなっている 5 ファイル名が不審である ( 例 1) 二重拡張子となっている ( 例 2) ファイル拡張子の前に 大量の空白文字が挿入されている ( 例 3) 文字列を左右反転するRLOコードが利用されている 事務連絡 cod.scr 事務連絡 rcs.doc ここに RLO 文字を挿入すると 次のような見た目になる RLO: Right-to-Left Override アラビア語やヘブライ語などをパソコンで使うための特殊な文字 ( 表示はされない ) https://www.ipa.go.jp/security/technicalwatch/20150109.html Copyright 2015 独立行政法人情報処理推進機構 6
実際の標的型攻撃メールの例 ~ いわゆるやりとり型 ~ Copyright 2015 独立行政法人情報処理推進機構 7
2.6 標的型攻撃メールの例と見分け方 ~ 取材依頼を装った標的型 ~ イ -1 ア -1 エ -1 ウ -1 Copyright 2015 独立行政法人情報処理推進機構 8
2.7 標的型攻撃メールの例と見分け方 ~ 就職を装った標的型 ~ イ -1 ア -1 エ -1 イ -2 Copyright 2015 独立行政法人情報処理推進機構 9
2.8 標的型攻撃メールの例と見分け方 ~ 製品 サービスに関する問合せを装った標的型 ~ イ -1 ア -1 エ -1 エ -2 イ -2 Copyright 2015 独立行政法人情報処理推進機構 10
2.9 標的型攻撃メールの例と見分け方 ~ 情報セキュリティに関する注意喚起を装った標的型 ~ イ -1 ア -3 ウ -3 ウ -4 実際にクリックした際に表示されるウェブページの URL Copyright 2015 独立行政法人情報処理推進機構 11
実際の標的型攻撃メールの例 ~ 情報セキュリティに関する注意喚起を装った標的型 ~ 一見 IPA からの注意喚起に見えるが 実際は フリーメールアドレスから送られている 特徴実際に IPA から提供された注意喚起文を引用している フリーメールアドレスを利用 表示上のリンク先は問題なさそうに見えるが実際のリンク先は危険な URL 表示されたリンク先と実際のリンク先が異なる (.xx が追加されている ) Copyright 2015 独立行政法人情報処理推進機構 12
2.10 標的型攻撃メールの例と見分け方 ~ 心当たりのない決済 配送通知を装った標的型 ~ イ -1 ア -5 エ -1 ウ -5 Copyright 2015 独立行政法人情報処理推進機構 13
2.11 標的型攻撃メールの例と見分け方 ~ID やパスワードの入力を要求する標的型 ~ ア -6 Copyright 2015 独立行政法人情報処理推進機構 14
2.12 標的型攻撃メールの例と見分け方 ~ データエントリー型フィッシング ~ 窃取されたメールアカウントの認証情報は SPAM メールの踏み台や 標的型攻撃メールの素材収集に利用される恐れも ア -6 ウ -1 Copyright 2015 独立行政法人情報処理推進機構 15
1. 標的型サイバー攻撃への取り組み 2. 標的型攻撃メールの見分け方 3. 添付ファイルの見分け方 4. 標的型攻撃メールを見つけたら Copyright 2015 独立行政法人情報処理推進機構 16
3.1 添付ファイルの例 ファイルの詳細を必ず見る アイコン上は文書ファイルの様に見えるが ショートカットであることを示す 矢印のマーク エクスプローラの詳細表示で見ると コマンドプロンプトで表示すると ショートカットであることがわかる ショートカットの拡張子 Copyright 2015 独立行政法人情報処理推進機構 17
3.2 添付ファイルの例 ファイルの詳細を必ず見る エクスプローラで見ると 実行ファイル (exe) であることがわかる また アイコン偽装されていても アイコンが表示されないため騙されにくい Copyright 2015 独立行政法人情報処理推進機構 18
3.3 添付ファイルの例 拡張子偽装に注意 拡張子を表示しないと見えない 実際のファイル名 RLO による拡張子偽装 実際のファイル名 Copyright 2015 独立行政法人情報処理推進機構 19
3.4 添付ファイルの例 アイコン偽装に注意 実行ファイル ( ウイルス ) のアイコンは何にでも偽装できる 単純な罠だがそれでも引っかかってしまう人がいる アイコンや拡張子を信用しない! ( ファイルの種別 を表示して確認する ) Copyright 2015 独立行政法人情報処理推進機構 20
1. 標的型サイバー攻撃への取り組み 2. 標的型攻撃メールの見分け方 3. 添付ファイルの見分け方 4. 標的型攻撃メールを見つけたら Copyright 2015 独立行政法人情報処理推進機構 21
4.1 標的型攻撃メールの対応不審メールに気付いた時の対応 組織内の情報集約窓口 ( 情報システム担当部門など ) に連絡 標的型攻撃メールかどうか判らない場合は 以下へ連絡を 独立行政法人情報処理推進機構 (IPA) 標的型サイバー攻撃特別相談窓口 https://www.ipa.go.jp/security/tokubetsu/ Copyright 2015 独立行政法人情報処理推進機構 22
4.2 標的型攻撃メールの対応添付ファイルを開いたり 不審な URL にアクセスした場合の対応 標的型攻撃メールの添付ファイル実行 不審 URL アクセス パソコンがウィルスに感染した可能性 緒論あるが ネットワークからの切り離し ( 被害拡大の防止 ) 不審メールを受信したパソコンの初期化は一考を 初期化すると感染機器や流出情報の特定が困難に 1 証拠保全と業務復旧の両面から対応の決定を 2 フォレンジック専門のセキュリティベンダーに相談を どうしてよいか判らない場合は とりあえず IPA に相談を Copyright 2015 独立行政法人情報処理推進機構 23
4.3 標的型攻撃メールの対応情報共有へのお願い ( Information Sharing ) 標的型サイバー攻撃情報は局所的である 被害の抑止や拡大防止は 局所的な情報を共有し活用することが最善の策である 情報提供にご協力ください!! 情報提供いただきたいもの 1 まずは転送メール形式 今回のセミナーのために専用のメールアドレスを作成しました! expo201505@tks.ipa.go.jp 2 メールヘッダ情報 eml 形式 msg 形式 ヘッダを表示 で出るテキスト 3 同件有無の確認 メールサーバログの確認(From, Received, Date) 操作がよくわからない場合は IPAに相談を Copyright 2015 独立行政法人情報処理推進機構 24
4.4 情報提供が標的型サイバー攻撃対策 ~ サイバー空間利用者みんなの力をあわせて対抗力を ~ 標的型攻撃メールかな? と思ったら? 不審な日本語 差出人とメールアドレスが不審 不審な添付ファイルやリンク 各所属での連絡に加えて IPA へご相談ください! http://www.ipa.go.jp/security/tokubetsu/ 標的型サイバー攻撃特別相談窓口 電話 03-5978-7599 ( 対応は 平日の 10:00~12:00 および 13:30~17:00) E-mail tokusou@ipa.go.jp このメールアドレスに特定電子メールを送信しないでください Copyright 2015 独立行政法人情報処理推進機構 25