～サイバーレスキュー隊 J－CRAT の活動を通し …1.3 標的型サイバー攻撃の連鎖～標的型サイバー攻撃の連鎖（チェーン）の実態～・標的型攻撃は、様々な攻撃形態をとるため多層防御が重要です。

Copyright © 2015 独立行政法人情報処理推進機構

標的型攻撃メールの傾向と見分け方～サイバーレスキュー隊(Ｊ－ＣＲＡＴ)の活動を通して～

独立行政法人情報処理推進機構（IPA）技術本部セキュリティセンター

情報セキュリティ技術ラボラトリー

2016/ 05

Copyright © 2015 独立行政法人情報処理推進機構 1

1. 標的型サイバー攻撃への取り組み2. 標的型攻撃メールの見分け方3. 添付ファイルの見分け方4. 標的型攻撃メールを見つけたら




1.1 標的型サイバー攻撃に対する取り組み「サイバーセキュリティと経済研究会」(経産省) 2010/12～

での検討政策を受けて展開

Stuxnet

Op. Aurora

RSA

重工被害発覚Titan Rain

国内の政府機関への標的型メールの観測

2003 ~ 2005 2009 2010 2011 2012~ 2013

「脅威と対策研究会」

2014

●2010/12 METI 「ｻｲﾊﾞｰｾｷｭﾘﾃｨと経済研究会」

「標的型サイバー攻撃特別相談窓口」

2011/8設計Guide v1


「情報共有J-CSIP」

2011/10

2012/4

2010/12

サイバーﾚｽｷｭｰ隊J-CRAT」

５業界の情報共有体制

標的型攻撃が深刻な脅威に

▼分析ﾚﾎﾟｰﾄ ▼分析ﾚﾎﾟｰﾄ

ﾚｽｷｭｰ試行

*1)http://www.ipa.go.jp/about/press/20130829.html*2)http://www.ipa.go.jp/about/technicalwatch/20140130.htm*3)http://www.ipa.go.jp/about/press/20140530.html

＊１）

＊２）

＊３）

システム設計

早期対応

情報共有

▲分析ﾚﾎﾟｰﾄ

Lurid/Nitro

政府機関への攻撃Luckycat

APT1 APT12Op.Hydra

Op.DeputyDog

APT17 CVE-2012-0158

PittyTiger


やりとり型、取材・講

演依頼、医療費通知、

Xmas、謹賀新年・・・

組織間メールを窃

取、ウイルス添付

Poison IvyPlugX

Emdivi


標的型サイバー攻撃に対する初動の遅れは、長期的な被害となります。（APT）

攻撃や被害の把握、対策の早期着手のため、情報収集と、組織の支援を行っています。

1.2 サイバーレスキュー隊（J-CRAT）～活動概要 Since 2014～

公的機関

業界団体、社団・財団

重要産業関連企業

重要産業取引先

情報発信

情報提供支援相談

Web検索サイト巡回

標的型サイバー攻撃特別相談窓口

公開情報の分析・収集

公開情報

ケース１

ケース２

ケース３

サイバーレスキュー隊 (J-CRAT)サイバーレスキュー活動

支援内容

解析

攻撃・被害の可視化

情報収集

JPCERT/CC情報提供

着手アプローチ

エスカレーション

エスカレーション

ケース1：標的型サイバー攻撃特別相談窓口に寄せられた支援対象組織からの相談ケース2：受付した相談から、連鎖的な被害（の可能性のある）組織が推定された場合ケース3：公開情報の分析、収集により被害（の可能性のある）組織が推定された場合

攻撃・被害の把握

助言

レスキュー支援

J-CSIP 独法連絡会

技術連携


1.2 J-CRAT活動実績

2014年度 2015年度

4月～9月 10月～3月計 4月～9月

相談件数 41 66 107 246

レスキュー支援数 17 21 38 104

オンサイト 6 5 11 31

■相談件数、支援件数（2014/4～2015/9）



■メール種別割合（2014/4～2015/3） ■Fromメールアドレス割合（2014/4～2015/3）

添付(圧縮)364件(60%)

添付(非圧縮)168件(27%)

URLリンク

36件(6%)

添付・URLリンクなし

19件(3%)不明

22件(4%)

N=609

フリーメール

157件(48%)

企業

112件(34%)

省庁

22件(7%)

存在しない

12件(4%)

独立行政法人

9件(3%)大学

5件(1%)その他

11件(3%)

N=328



■ファイル圧縮形式割合 ■不審ファイル種別

不審ファイル種別割合（2014/4～2015/3）

zip253件(69%)

rar70件(19%)

lzh26件(7%)

7z13件(3%)

arj2件(1%)

gz2件(1%) cab

1件(0%)

N=367

exe228件(48%)

マイクロソフトオフィス

108件(23%)

scr71件(15%)

pdf28件(6%)

cpl, 13, 3%

jar, 6, 1%jtd, 5, 1%

com, 4, 1% lnk, 3, 1% pif, 3, 1%

rtf, 3, 1%

その他, 8, 2%

N=480


1.3 標的型サイバー攻撃の連鎖～標的型サイバー攻撃の連鎖（チェーン）の実態～

・標的型攻撃は、様々な攻撃形態をとるため多層防御が重要です。組織内での、多層防御（入口、出口、内部、統括管理）だけでなく、

- 組織をまたがった攻撃に対しては、攻撃の連鎖(チェーン)を上流で断つことが重要となります。

- 攻撃連鎖の遮断は日本のシステムにおける多層防御の一つとなります。

国

官公庁

公的機関

業界団体（社団、財団）

取引先企業／組織

攻撃者

①

攻撃者

③

④

凡例① 直接攻撃② ある組織から上流の組織への攻撃③ ある組織から傘下の組織への攻撃④ ある組織と関連する組織への攻撃

③①

②

③

①

WeekPointとして狙われる


攻撃連鎖の一例～重要情報が無くても、攻撃インフラとして利用される～

攻撃者

③メールの窃取

②ID/Passの窃取被害者

各自の組織メールではなく、古くから使っているフリーメール、今使っているフリーメールの情報も、攻撃者にとっては有益な攻撃ツール素材。

①標的型攻撃メールでウイルスに感染

・業務メールをついつい個人メールへ転送してしまう・業務上、組織のネットワークから外部のメール（出向・派遣元メール）を見てしまう・過去のメール、アドレス帳に相手の職務情報が書かれているなど、標的にされる情報は多数存在します。

WeekPointとして狙われた組織

④ウイルス付詐称メール

画面表示


攻撃連鎖対応事例～サイバーレスキュー隊活動で明らかになった事象～

組織D

攻撃者

①組織Bを騙った攻撃を確認

②新たな攻撃先(組織C)を確認

標的型攻撃メール分析

不審ファイル調査通信ログ分析共有情報作成

情報提供

情報提供・調査支援

情報提供・調査支援・対策支援

組織A 組織B 組織C

③組織Cから組織Dへ攻撃メールが送られていた事実が判明

・攻撃の連鎖(組織をまたがった攻撃)が行われている事を確認・その連鎖を追跡することで、他組織の被害を掘り出すことができた

攻撃

遠隔操作

画面表示


標的型サイバー攻撃の連鎖～攻撃中継の実例～

・感染後長期潜伏され、攻撃素材が現れるのを待ち、巧妙な手口に活用される事例がありました。

①標的型攻撃メールによる感染

攻撃者

小規模組織

BさんAさん

大規模組織

②Aさんになりすましたメール

③Bさんになりすましたメール

情報窃取

情報窃取

攻撃間隔は約半年

攻撃潜伏期間が3年に及ぶものもあり


攻撃パターン～代表的な攻撃方法～

標的型攻撃メールは、不審な添付ファイルやURLリンクを攻撃対象に送りつけ、それを実行させるために差出人や文面を偽装（転用）したり、ファイルの見た目を加工したりします。

攻撃者

①不審ファイル付き標的型攻撃メール

②不審 URLリンク付き標的型攻撃メール

実行ファイル・アイコン偽装・拡張子偽装（RLO）

オフィス文章・ウイルス埋め込み・マクロ埋め込み

・ドメイン偽装・表示と異なるリンク

・パスワード付圧縮ファイル・そのまま添付

このまま、RAT（遠隔操作ウイルス）として動くものも、次段として遠隔操作ウイルスを取りにいくものもある。

このほかに、次のような攻撃手法も使われます。・特定のWeb閲覧者だけを狙う水のみ場攻撃・オンライン広告機能を悪用するマルバタイジング・隔離環境のシステムを狙うUSB自動実行悪用

画面表示


攻撃連鎖の一例～一旦穴が開けば、遠隔から操作できてしまう～

攻撃者

被害者

③送付

標的型攻撃メールに添付された不審なファイル、不審なURLを開いた結果落ちてくるファイルを実行し感染してしまうと、即座（数分～数十分）に攻撃者は活動し始めます。そして、少し間をおいて、より深い活動に移行するケースが多くあります。

①初段ウイルス作成

②メール作成準備・宛先・文面

④感染

⑤C2サーバ通信（次段ウイルスを持ってくることもある）

⑥情報収集・メールデータ・PCログインID/Pass・ファイルサーバデータ圧縮/窃取・AD管理者権限

⑤横展開

⑥C2サーバ通信（別のC2のこともある）

このタイミングで攻撃を阻止できるよう、情報共有が必要となってきます。

このタイミングで攻撃を予見できるよう、各セキュリティベンダの発表情報や、既存のC2サーバ観測、テスト用ウイルスの発見など公開情報検索を評価実施しはじめました。

画面表示


システムA

システムB

アンチウイルス管理サーバ

ADサーバファイルサーバ

IT資産管理

海外WAN 国内WAN

インターネット

メール Web クラウド

独自インターネット

VPN

端末

海外現地メールWeb

①最初の感染

②AD感染、認証情報漏洩ファイルサーバデータ漏洩攻撃ツール発見

④他端末感染（RAT）

⑤想定外のインターネット接続

⑥VPN経由での侵入⑦WebShell経由での侵入

⑧Webメール不正利用

⑨国内IT部門が関知しない海外システムでの同様の被害

⑩想定外のインターネット接続

③攻撃ツール発見

標的型サイバー攻撃の痕跡～全体像～


デモンストレーション～標的型攻撃メールの添付を開いたら～

標的型攻撃メールの傾向と事例分析＜2013年＞～ますます巧妙化、高度化する国内組織への標的型攻撃メールの手口～http://www.ipa.go.jp/security/technicalwatch/20140130.html

デモでは、レジストリを表示して確認していますが、レジストリを誤って操作する可能性がありますのでご注意ください。

また、かならずこの確認方法でチェックできるとは限りません。

詳細は、2013年のテクニカルウオッチをご覧ください。

独立行政法人情報処理推進機構(IPA)標的型サイバー攻撃特別相談窓口

https://www.ipa.go.jp/security/tokubetsu/


直近の攻撃全体関連図

メール送信ホスト

メールリレーメール受信者メール送信者

通信先



A国

送信元A


メールリレーメール受信者メール送信者(詐称含む)

プロバイダA

受信組織A

ホスト名A

①2015/12

①2015/12

通信先A

通信先

@AAAA.jp①



A国

送信元A


メールリレーメール受信者

プロバイダA

企業B

受信組織A

ホスト名B

ホスト名A

①2015/12

②2015/12

①2015/12

②2015/12

通信先A

通信先B

通信先

@AAAA.jp

@BBBB.jp

①

②

メール送信者(詐称含む)



B国

送信元B

A国

送信元A



プロバイダA

企業B

受信組織A

ホスト名B

ホスト名A

①2015/12

②2015/12

①2015/12

②2015/12

③2015/12

通信先A

通信先B

通信先C

通信先

受信組織B

@AAAA.jp

@BBBB.jp

③2015/12

①

②

③




B国

送信元B

A国

送信元A



プロバイダA

企業B

受信組織A

ホスト名B

ホスト名A

①2015/12

②2015/12

④2015/12

①2015/12

②2015/12

③2015/12

④2015/12

受信組織群C

通信先A

通信先B

通信先C

通信先

受信組織B

@AAAA.jp

@BBBB.jp

③2015/12

①

②

③

④




B国

送信元B

A国

送信元A



プロバイダA

企業B

企業C

受信組織A

ホスト名B

ホスト名A

ホスト名C

@CCCC.jp

①2015/12

②2015/12

⑤2015/12

④2015/12

①2015/12

②2015/12

③2015/12

④2015/12

⑤2015/12受信組織群C

通信先A

通信先B

通信先C

通信先D

通信先

受信組織B

@AAAA.jp

@BBBB.jp

③2015/12

⑤

①

②

③

④




B国

送信元B

A国

送信元A



プロバイダA

企業B

企業C

複数プロバイダ

受信組織A

ホスト名B

ホスト名A

ホスト名C

@CCCC.jp

@DDDD.jp

①2015/12

②2015/12

⑤2015/12

④2015/12

⑥2016/1

①2015/12

②2015/12

③2015/12

④2015/12

⑤2015/12受信組織群C

通信先A

通信先B

通信先C

通信先D

通信先E

通信先

受信組織B

@AAAA.jp

@BBBB.jp

③2015/12

⑤

⑥2016/1

①

②

③

④

⑥



⑦


B国

送信元B

A国

送信元A



プロバイダA

企業B

企業C


プロバイダD

受信組織A

ホスト名B

ホスト名A

ホスト名C

ホスト名D

@CCCC.jp

@DDDD.jp

@EEEE.jp

①2015/12

②2015/12

⑤2015/12

④2015/12

⑥2016/1

⑦2016/1

⑦2016/1

①2015/12

②2015/12

③2015/12

④2015/12

⑤2015/12

受信組織群D

受信組織群C

通信先A

通信先B

通信先C

通信先D

通信先E

通信先

受信組織B

@AAAA.jp

@BBBB.jp

③2015/12

⑤

⑥2016/1

①

②

③

④

⑥




B国

送信元B

A国

送信元A



プロバイダA

企業B

企業C


プロバイダD

受信組織A

受信組織F

ホスト名B

ホスト名A

ホスト名C

ホスト名D

プロバイダE

ホスト名E

@CCCC.jp

@DDDD.jp

@EEEE.jp

@FFFF.jp

①2015/12

②2015/12

⑤2015/12

④2015/12

⑥2016/1

⑦2016/1

⑧2016/1

⑦2016/1

⑧b2016/1

⑧c2016/1

①2015/12

②2015/12

③2015/12

④2015/12

⑤2015/12

受信組織群D

受信組織群E

受信組織群C

通信先A

通信先B

通信先C

通信先D

通信先E

通信先

受信組織B

@AAAA.jp

@BBBB.jp

③2015/12

⑤

⑥2016/1

①

②

③

④

⑥⑧a

⑧b⑧c

⑦

⑧a2016/1




B国

送信元B

A国

送信元A



プロバイダA

企業B

企業C


プロバイダD

受信組織A

受信組織F

ホスト名B

ホスト名A

ホスト名C

ホスト名D

プロバイダE

ホスト名E

@CCCC.jp

@DDDD.jp

@EEEE.jp

@FFFF.jp

①2015/12

②2015/12

⑤2015/12

④2015/12

⑥2016/1

⑦2016/1

⑧2016/1

⑦2016/1

⑧b2016/1

⑧c2016/1

①2015/12

⑧a2016/1

②2015/12

③2015/12

④2015/12

⑤2015/12

受信組織群D

受信組織群E

受信組織群C

通信先A

通信先B

通信先C

通信先D

通信先E

通信先

受信組織B

@AAAA.jp

@BBBB.jp

③2015/12

⑤

⑥2016/1

①

②

③

④

⑥⑧a

⑧b⑧c

⑦

プロバイダF

ホスト名F

@GGGG.jp

,⑨2016/1

⑨a2016/1

⑨b2016/1

通信先F

⑨a

⑨b




過去に

Emdiviの標的となった

アドレスや組織は

今後も狙われる可能性が高いです。




2.1 標的型攻撃メールの例と見分け方～テクニカルウオッチ～

https://www.ipa.go.jp/security/technicalwatch/20150109.html

情報提供いただいた標的型攻撃メールの調査・分析を行い2015年1月9日にレポートを公開しました


情報提供いただいた標的型攻撃メールの調査・分析内容を公開し、特徴や傾向の把握に役立てていただいています。

29

2.2 標的型サイバー攻撃分析レポート～その他のテクニカルウオッチ～

http://www.ipa.go.jp/about/technicalwatch/20111003.html http://www.ipa.go.jp/about/technicalwatch/20121030.html http://www.ipa.go.jp/security/technicalwatch/20140130.html


2.3 標的型攻撃メールの例と見分け方

主な初出の出来事

2005 初観測（実在の外務省職員を詐称、Word文書、複数の官公庁宛）

2006 新聞社を詐称、民間大手企業宛、一太郎文書、実行形式ファイル

2007 未修正の脆弱性を悪用（ゼロデイ）、PDF文書

2008 標的型攻撃メールに関する組織内注意喚起メールを加工

2009 新型インフルエンザ関連情報に偽装、添付ファイルのないメール

2010 ［海外］Stuxnetによるイランの核施設攻撃

2011 東日本大震災・原発事故関連情報に偽装、やりとり型、Mac OS X2012 ［海外］水飲み場攻撃

2013 lnk（ショートカット）ファイル

2014 現在は、フリーメールアドレス利用・添付ファイル型が主流




着眼点これまで検知された標的型攻撃メールの特徴

（ア）テーマ

①知らない人からのメールだが、開封せざるを得ない内容例１：新聞社・出版社からの取材申込・講演依頼例２：就職活動に関する問合せ・履歴書の送付例３：製品やサービスに対する問い合わせ・クレーム例４：アンケート調査例５：やり取り型メール

②誤って自分宛に送られたメールの様だが、興味をそそられる内容例１：議事録・演説原稿などの内部文書送付例２： VIP訪問に関する情報

③これまで届いたことがない、公的機関からのお知らせ例１：情報セキュリティに関する注意喚起例２：インフルエンザ流行情報例３：災害情報





（イ）送信者

①フリーメールアドレスからの送信

②送信者のメールアドレスが署名（シグネチャ）と異なる

（ウ）メール本文

①言い回しが不自然な日本語

②日本語では使用されない漢字（繁体字、簡体字）

③正式名称を一部に含むような不審URL

④HTMLメールで、表示と実際のURLが異なるリンク

⑤署名の記載内容がおかしい、該当部門が存在しない




事務連絡cod.scr

事務連絡rcs.doc

RLO: Right-to-Left Overrideアラビア語やヘブライ語などをパソコンで使うための特殊な文字（表示はされない）

ここにRLO文字を挿入すると、次のような見た目になる。


（エ）添付ファイル

①添付ファイルがある

②実行形式ファイル（exe / scr / jar / cpl など）

③ショートカットファイル（lnk / pif / url）④実行形式ファイルなのに文書ファイルやフォルダのアイコン

⑤ファイル名が不審例１：二重拡張子例２：ファイル拡張子の前に大量の空白文字を挿入例３：文字列を左右反転するRLOコードの利用例４：エクスプローラで圧縮ファイルの内容を表示すると

ファイル名が文字化け


実際の標的型攻撃メールの例～いわゆるやりとり型～


【ア－①】

【イ－①】

【エ－①】

【ウ－①】

2.6 標的型攻撃メールの例と見分け方～取材依頼を装った標的型～


実際の標的型攻撃メールの例～取材依頼を装った標的型～

2013年夏に多くみかけました。

ZIPファイルの中身はLNK（ショートカット）ファイルで、オフィス文章のアイコンで偽装が目立ちました。

実際はリンク先を参照するのではなく、スクリプトが書かれていて、実行すると次段ウイルスをダウンロードし自動実行します。

次段ウイルスはPlugXなど、

国内の標的型サイバー攻撃で多用されるRAT（遠隔操作ウイルス）が目立ちます。

画面表示


実際の標的型攻撃メールの例～講演依頼を装った標的型～

特徴○○様と呼びかけが入る

講演の依頼を装っている

送付先に関係ありそうなテーマ


2.7 標的型攻撃メールの例と見分け方～就職を装った標的型～

【イ－①】

【ア－①】

【エ－①】

【イ－②】


実際の標的型攻撃メールの例～就職を装った標的型～

熱い思いを語っている

国内で、ある程度拡散した標的型攻撃メールで、0day攻撃が使われた事例でした。→IPAより注意喚起実施。

狙われた脆弱性MS Office等CVE-2013-3906

画面表示


2.8 標的型攻撃メールの例と見分け方～製品・サービスに関する問合せを装った標的型～

【イ－①】

【ア－①】

【エ－①】、【エ－②】【イ－②】


2.9 標的型攻撃メールの例と見分け方～情報セキュリティに関する注意喚起を装った標的型～

【ア－③】

【イ－①】

【ウ－③】、【ウ－④】

実際にクリックした際に表示されるウェブページのURL


実際の標的型攻撃メールの例～情報セキュリティに関する注意喚起を装った標的型～

特徴実際にIPAから提供された注意喚起文を引用している

フリーメールアドレスを利用

表示上のリンク先は問題なさそうに見えるが実際のリンク先は危険なURL

表示されたリンク先と実際のリンク先が異なる(.xxが追加されている)

フリーメールアドレスから送られている

一見、IPAからの注意喚起に見えるが

実際は、、


2.10 標的型攻撃メールの例と見分け方～心当たりのない決済・配送通知を装った標的型～

【ア－⑤】

【ウ－⑤】

【イ－①】

【エ－①】


実際の標的型攻撃メール類似例～Invoice/Purchase Order～

想定目的・ダウンローダー、zbot → Banking Trojan, FakeAVなど金銭を目的した攻撃・送信先（ターゲット）のプロファイリング：開封容易性、PC設定、キーロガー＝高度な標的型攻撃と類似

類似の攻撃パターン・SMS, MMS, VoiceMail, eFAX・年賀状、クリスマスカード


2.11 標的型攻撃メールの例と見分け方～IDやパスワードの入力を要求する標的型～

【ア－⑥】


2.12 標的型攻撃メールの例と見分け方～データエントリー型フィッシング～

【ア－⑥】

【ウ－①】

窃取されたメールアカウントの認証情報は、SPAMメールの踏み台や、標的型攻撃メールの素材収集に利用される恐れも。


実際の標的型攻撃メール類似例～ID/パスワード盗用を目的としたフィッシング～

想定目的・フリーメールのアカウント窃取・組織のWebメールアカウント窃取

想定被害・受信メールの窃取（情報漏えい、他の標的型攻撃メール素材転用）・標的型攻撃メールの送信・連絡先の窃取・gmail/yahooなどのアカウントをとられた場合は、スマートフォンやアプリ連携、認証連携する他サービスでも被害が想定される

画面表示


実際の標的型攻撃メール類似例～国内ベンダでの注意喚起実例～

http://www.transware.co.jp/phishing/index.html より引用

官公庁、一般企業、大学など多くの導入実績をもつ製品のサイトで注意喚起されている事例

画面表示




3.1 添付ファイルの例

ファイルの詳細を必ず見る

アイコン上は文書ファイルの様に見えるが…

ショートカットであることを示す「矢印のマーク」

エクスプローラの詳細表示で見ると… コマンドプロンプトで表示すると…

ショートカットであることがわかる

ショートカットの拡張子

50



ファイルの詳細を必ず見る

エクスプローラで見ると…

実行ファイル（exe）であることがわかる。また、アイコン偽装されていても、アイコンが表示されないため騙されにくい。

51


3.3 添付ファイルの例拡張子偽装に注意

実際のファイル名

実際のファイル名

「RLO」による拡張子偽装

拡張子を表示しないと見えない

52



• 実行ファイル（ウイルス）のアイコンは何にでも偽装できる

• 単純な罠だがそれでも引っかかってしまう人がいる

アイコン偽装に注意

アイコンや拡張子を信用しない！（「ファイルの種別」を表示して確認する）

53




4.1 標的型攻撃メールの対応不審メールに気付いた時の対応

・組織内の情報集約窓口（情報システム担当部門など）に連絡

独立行政法人情報処理推進機構(IPA)標的型サイバー攻撃特別相談窓口

https://www.ipa.go.jp/security/tokubetsu/

・標的型攻撃メールかどうか判らない場合は、以下へ連絡を


4.2 標的型攻撃メールの対応添付ファイルを開いたり、不審なURLにアクセスした場合の対応

・標的型攻撃メールの添付ファイル実行、不審ＵＲＬアクセス→ パソコンがウィルスに感染した可能性

・どうしてよいか判らない場合は、とりあえずＩＰＡに相談を

・緒論あるが、ネットワークからの切り離し（被害拡大の防止）

・不審メールを受信したパソコンの初期化は一考を→ 初期化すると感染機器や流出情報の特定が困難に

① 証拠保全と業務復旧の両面から対応の決定を

② フォレンジック専門のセキュリティベンダーに相談を


1. インターネット接続制御/ WEB通信制御（ファイアウォール、IDS/IPS、Webプロキシ、クライアント側制御、UTM/NGFW ）

A) IPアドレスでの遮断ができること（グループ設定で制御できると望ましい）B) 遮断ログ取得ができること（３年、１年、半年、３ヶ月、１ヶ月、２週間、）C) 許可通信ログ取得ができることD) FQDN（ホスト名）で通信先制御ができることE) URLフィルタ機能があること（カテゴリ指定以外にユーザ設定ができるこ

と）F) 標的型攻撃の知見を基にした不正通信監視を行うこと（MSS/SOC

サービス）G) 接続時に認証できること（Webプロキシ）

4.2 標的型攻撃メールの対応システムにおける標的型攻撃対策への助言①

【機能改善策】画面表示


2. 通信制御と不審挙動把握A) DNSリクエストを監視、制御（シンクホール化）するB) 通信制御機器のDNSリクエストと端末用DNSリクエストを分離（外部通報

時）C) 端末管理台数が多い場合はIT資産管理ツールを併用するD) クライアント操作ログの取得（ファイル操作、APIコール）E) 低いレイヤでの制御（セグメント分離、最小限のルーティング設定、脱IPv4）

3. 運用機能（機能有無、対応者確認、作業日数）A) メールログの検索（差出人、件名、本文、添付ファイル名）B) 通信ログの検索（あて先IPアドレス、あて先FQDN、URLパス）

C) 回線ログの確認（キャリア・プロバイダ提供のトラフィック表示、ネットワーク監視）

D) アンチウイルスログ（管理サーバ、端末側、サーバ側）の確認E) Webサーバコンテンツたな卸し（改ざん、追加有無）

【機能改善策】

4.2 標的型攻撃メールの対応システムにおける標的型攻撃対策への助言② 画面表示


【システム利用者向けの運用改善策】

1. ブラウザの使い分け例）業務用にInternet Exproler、インターネット用にChrome/FireFoxを利用

2. メーラー（メールソフト）のカスタマイズ①差出人（From）表示を「表示名＋メールアドレス」にする②誤クリックを避けるためにメーラーソフトのProxy設定を架空の

IPへ向ける

③利用者が気づきやすいように、差出人がフリーメールの場合は件名スタンプをつける

④特定添付ファイル（exe、zip+exe、LZH）はサーバで削除してしまう

⑤Fromヘッダーを詐称しているメールを落してしまう3. 不要なアプリの削除

例）JAVA、FlashPlayer

4.2 標的型攻撃メールの対応システムにおける標的型攻撃対策への助言③ 画面表示


【システム利用者向けの運用改善策】

4. 標的型攻撃メールの訓練開封率低減よりも開封者報告率100%気づいた人の報連相率向上を重視

5. ウイルス警告画面など利用者環境での実体験と対処スキーム確立EICAR をイントラサイトに置き、クリックさせてみるパスワード付ZIPファイルでメール送信してみる

6. 定期的な感染痕跡部位の確認①%TEMP%や%AppData%フォルダ、アプリ・ユーザのテンポラリ

フォルダたな卸し※最近では %LOCALAPPDATA% を使う事例も

②HKLM_RUN、HKCU_RUN、スタートアップフォルダ、サービスの定期的差異確認

7. 情報共有活用スキームと、不審メールの情報提供

4.2 標的型攻撃メールの対応システムにおける標的型攻撃対策への助言④ 画面表示


4.3 標的型攻撃メールの対応情報共有へのお願い（ Information Sharing ）

・標的型サイバー攻撃情報は局所的である

・操作がよくわからない場合は、ＩＰＡに相談を

・被害の抑止や拡大防止は、局所的な情報を共有し活用することが最善の策である。

・情報提供いただきたいもの

① まずは転送メール形式

② メールヘッダ情報・eml形式、msg形式、「ヘッダを表示」で出るテキスト

③ 同件有無の確認・メールサーバログの確認（From, Received, Date）

情報提供にご協力ください！！

今回のために専用のメールアドレスを作成しました！

[email protected]


?

標的型攻撃メールかな？と思ったら・・・

IPAへご相談ください！

http://www.ipa.go.jp/security/tokubetsu/

4.4情報提供が標的型サイバー攻撃対策～サイバー空間利用者みんなの力をあわせて対抗力を～

62

標的型サイバー攻撃特別相談窓口電話 03-5978-7599

(対応は、平日の10:00～12:00 および13:30～17:00)

E-mail [email protected]※このメールアドレスに特定電子メールを送信しないでください。

・不審な日本語・差出人とメールアドレスが不審・不審な添付ファイルやリンク

各所属での連絡に加えて

Documents

～サイバーレスキュー隊 J－CRAT の活動を通し …1.3 標的型サイバー攻撃の連鎖 ～標的型サイバー攻撃の連鎖（チェーン）の実態～ ・標的型攻撃は、様々な攻撃形態をとるため多層防御が重要です。

～サイバーレスキュー隊 J－CRAT の活動を通し …1.3 標的型サイバー攻撃の連鎖～標的型サイバー攻撃の連鎖（チェーン）の実態～・標的型攻撃は、様々な攻撃形態をとるため多層防御が重要です。