Upload
others
View
1
Download
0
Embed Size (px)
Citation preview
Copyright © 2015 独立行政法人 情報処理推進機構
標的型攻撃メールの傾向と見分け方~サイバーレスキュー隊(J-CRAT)の活動を通して~
独立行政法人 情報処理推進機構(IPA)技術本部 セキュリティセンター
情報セキュリティ技術ラボラトリー
2016/ 05
Copyright © 2015 独立行政法人 情報処理推進機構 1
1. 標的型サイバー攻撃への取り組み2. 標的型攻撃メールの見分け方3. 添付ファイルの見分け方4. 標的型攻撃メールを見つけたら
Copyright © 2015 独立行政法人 情報処理推進機構 2
1. 標的型サイバー攻撃への取り組み2. 標的型攻撃メールの見分け方3. 添付ファイルの見分け方4. 標的型攻撃メールを見つけたら
Copyright © 2015 独立行政法人 情報処理推進機構 3
1.1 標的型サイバー攻撃に対する取り組み「サイバーセキュリティと経済 研究会」(経産省) 2010/12~
での検討政策を受けて展開
Stuxnet
Op. Aurora
RSA
重工被害発覚Titan Rain
国内の政府機関への標的型メールの観測
2003 ~ 2005 2009 2010 2011 2012~ 2013
「脅威と対策研究会」
2014
●2010/12 METI 「サイバーセキュリティと経済研究会」
「標的型サイバー攻撃特別相談窓口」
2011/8設計Guide v1
2013/8設計Guide v3
「情報共有J-CSIP」
2011/10
2012/4
2010/12
サイバーレスキュー隊J-CRAT」
5業界の情報共有体制
標的型攻撃が深刻な脅威に
▼分析レポート ▼分析レポート
レスキュー試行
*1)http://www.ipa.go.jp/about/press/20130829.html*2)http://www.ipa.go.jp/about/technicalwatch/20140130.htm*3)http://www.ipa.go.jp/about/press/20140530.html
*1)
*2)
*3)
システム設計
早期対応
情報共有
▲分析レポート
Lurid/Nitro
政府機関への攻撃Luckycat
APT1 APT12Op.Hydra
Op.DeputyDog
APT17 CVE-2012-0158
PittyTiger
2014/9設計Guide v4
やりとり型、取材・講
演依頼、医療費通知、
Xmas、謹賀新年・・・
組織間メールを窃
取、ウイルス添付
Poison IvyPlugX
Emdivi
Copyright © 2015 独立行政法人 情報処理推進機構 4
標的型サイバー攻撃に対する初動の遅れは、長期的な被害となります。(APT)
攻撃や被害の把握、対策の早期着手のため、情報収集と、組織の支援を行っています。
1.2 サイバーレスキュー隊(J-CRAT)~活動概要 Since 2014~
公的機関
業界団体、社団・財団
重要産業関連企業
重要産業取引先
情報発信
情報提供支援相談
Web検索サイト巡回
標的型サイバー攻撃特別相談窓口
公開情報の分析・収集
公開情報
ケース1
ケース2
ケース3
サイバーレスキュー隊 (J-CRAT)サイバーレスキュー活動
支援内容
解析
攻撃・被害の可視化
情報収集
JPCERT/CC情報提供
着手アプローチ
エスカレーション
エスカレーション
ケース1: 標的型サイバー攻撃特別相談窓口に寄せられた支援対象組織からの相談ケース2: 受付した相談から、連鎖的な被害(の可能性のある)組織が推定された場合ケース3: 公開情報の分析、収集により被害(の可能性のある)組織が推定された場合
攻撃・被害の把握
助言
レスキュー支援
J-CSIP 独法連絡会
技術連携
Copyright © 2015 独立行政法人 情報処理推進機構 5
1.2 J-CRAT活動実績
2014年度 2015年度
4月~9月 10月~3月 計 4月~9月
相談件数 41 66 107 246
レスキュー支援数 17 21 38 104
オンサイト 6 5 11 31
■相談件数、支援件数 (2014/4~2015/9)
Copyright © 2015 独立行政法人 情報処理推進機構 6
1.2 J-CRAT活動実績
■メール種別割合 (2014/4~2015/3) ■Fromメールアドレス割合 (2014/4~2015/3)
添付(圧縮)364件(60%)
添付(非圧縮)168件(27%)
URLリンク
36件(6%)
添付・URLリンクなし
19件(3%)不明
22件(4%)
N=609
フリーメール
157件(48%)
企業
112件(34%)
省庁
22件(7%)
存在しない
12件(4%)
独立行政法人
9件(3%)大学
5件(1%)その他
11件(3%)
N=328
Copyright © 2015 独立行政法人 情報処理推進機構 7
1.2 J-CRAT活動実績
■ファイル圧縮形式割合 ■不審ファイル種別
不審ファイル種別割合 (2014/4~2015/3)
zip253件(69%)
rar70件(19%)
lzh26件(7%)
7z13件(3%)
arj2件(1%)
gz2件(1%) cab
1件(0%)
N=367
exe228件(48%)
マイクロソフトオフィス
108件(23%)
scr71件(15%)
pdf28件(6%)
cpl, 13, 3%
jar, 6, 1%jtd, 5, 1%
com, 4, 1% lnk, 3, 1% pif, 3, 1%
rtf, 3, 1%
その他, 8, 2%
N=480
Copyright © 2015 独立行政法人 情報処理推進機構 8
1.3 標的型サイバー攻撃の連鎖~標的型サイバー攻撃の連鎖(チェーン)の実態 ~
・ 標的型攻撃は、様々な攻撃形態をとるため多層防御が重要です。組織内での、多層防御(入口、出口、内部、統括管理)だけでなく、
- 組織をまたがった攻撃に対しては、攻撃の連鎖(チェーン)を上流で断つことが重要となります。
- 攻撃連鎖の遮断は日本のシステムにおける多層防御の一つとなります。
国
官公庁
公的機関
業界団体(社団、財団)
取引先企業/組織
攻撃者
①
攻撃者
③
④
凡例① 直接攻撃② ある組織から上流の組織への攻撃③ ある組織から傘下の組織への攻撃④ ある組織と関連する組織への攻撃
③①
②
③
①
WeekPointとして狙われる
Copyright © 2015 独立行政法人 情報処理推進機構 9
攻撃連鎖の一例~重要情報が無くても、攻撃インフラとして利用される~
攻撃者
③メールの窃取
②ID/Passの窃取被害者
各自の組織メールではなく、古くから使っているフリーメール、今使っているフリーメールの情報も、攻撃者にとっては有益な攻撃ツール素材。
①標的型攻撃メールでウイルスに感染
・業務メールをついつい個人メールへ転送してしまう・業務上、組織のネットワークから外部のメール(出向・派遣元メール)を見てしまう・過去のメール、アドレス帳に相手の職務情報が書かれているなど、標的にされる情報は多数存在します。
WeekPointとして狙われた組織
④ウイルス付詐称メール
画面表示
Copyright © 2015 独立行政法人 情報処理推進機構 10
攻撃連鎖対応事例~サイバーレスキュー隊活動で明らかになった事象~
組織D
攻撃者
①組織Bを騙った攻撃を確認
②新たな攻撃先(組織C)を確認
標的型攻撃メール分析
不審ファイル調査通信ログ分析共有情報作成
情報提供
情報提供・調査支援
情報提供・調査支援・対策支援
組織A 組織B 組織C
③組織Cから組織Dへ攻撃メールが送られていた事実が判明
・ 攻撃の連鎖(組織をまたがった攻撃)が行われている事を確認・ その連鎖を追跡することで、他組織の被害を掘り出すことができた
攻撃
遠隔操作
画面表示
Copyright © 2015 独立行政法人 情報処理推進機構 11
標的型サイバー攻撃の連鎖~攻撃中継の実例 ~
・感染後長期潜伏され、攻撃素材が現れるのを待ち、巧妙な手口に活用される事例がありました。
①標的型攻撃メールによる感染
攻撃者
小規模組織
BさんAさん
大規模組織
②Aさんになりすましたメール
③Bさんになりすましたメール
情報窃取
情報窃取
攻撃間隔は約半年
攻撃潜伏期間が3年に及ぶものもあり
Copyright © 2015 独立行政法人 情報処理推進機構 12
攻撃パターン~代表的な攻撃方法~
標的型攻撃メールは、不審な添付ファイルやURLリンクを攻撃対象に送りつけ、それを実行させるために差出人や文面を偽装(転用)したり、ファイルの見た目を加工したりします。
攻撃者
①不審ファイル付き標的型攻撃メール
②不審 URLリンク付き 標的型攻撃メール
実行ファイル・アイコン偽装・拡張子偽装(RLO)
オフィス文章・ウイルス埋め込み・マクロ埋め込み
・ドメイン偽装・表示と異なるリンク
・パスワード付圧縮ファイル・そのまま添付
このまま、RAT(遠隔操作ウイルス)として動くものも、次段として遠隔操作ウイルスを取りにいくものもある。
このほかに、次のような攻撃手法も使われます。・特定のWeb閲覧者だけを狙う水のみ場攻撃・オンライン広告機能を悪用するマルバタイジング・隔離環境のシステムを狙うUSB自動実行悪用
画面表示
Copyright © 2015 独立行政法人 情報処理推進機構 13
攻撃連鎖の一例~一旦穴が開けば、遠隔から操作できてしまう~
攻撃者
被害者
③送付
標的型攻撃メールに添付された不審なファイル、不審なURLを開いた結果落ちてくるファイルを実行し感染してしまうと、即座(数分~数十分)に攻撃者は活動し始めます。そして、少し間をおいて、より深い活動に移行するケースが多くあります。
①初段ウイルス作成
②メール作成準備・宛先・文面
④感染
⑤C2サーバ通信(次段ウイルスを持ってくることもある)
⑥情報収集・メールデータ・PCログインID/Pass・ファイルサーバデータ圧縮/窃取・AD管理者権限
⑤横展開
⑥C2サーバ通信(別のC2のこともある)
このタイミングで攻撃を阻止できるよう、情報共有が必要となってきます。
このタイミングで攻撃を予見できるよう、各セキュリティベンダの発表情報や、既存のC2サーバ観測、テスト用ウイルスの発見など公開情報検索を評価実施しはじめました。
画面表示
Copyright © 2015 独立行政法人 情報処理推進機構 14
システムA
システムB
アンチウイルス管理サーバ
ADサーバファイルサーバ
IT資産管理
海外WAN 国内WAN
インターネット
メール Web クラウド
独自インターネット
VPN
端末
海外現地メールWeb
①最初の感染
②AD感染、認証情報漏洩ファイルサーバデータ漏洩攻撃ツール発見
④他端末感染(RAT)
⑤想定外のインターネット接続
⑥VPN経由での侵入⑦WebShell経由での侵入
⑧Webメール不正利用
⑨国内IT部門が関知しない海外システムでの同様の被害
⑩想定外のインターネット接続
③攻撃ツール発見
標的型サイバー攻撃の痕跡~全体像 ~
Copyright © 2015 独立行政法人 情報処理推進機構 15
デモンストレーション~標的型攻撃メールの添付を開いたら~
標的型攻撃メールの傾向と事例分析<2013年>~ますます巧妙化、高度化する国内組織への標的型攻撃メールの手口~http://www.ipa.go.jp/security/technicalwatch/20140130.html
デモでは、レジストリを表示して確認していますが、レジストリを誤って操作する可能性がありますのでご注意ください。
また、かならずこの確認方法でチェックできるとは限りません。
詳細は、2013年のテクニカルウオッチをご覧ください。
独立行政法人 情報処理推進機構(IPA)標的型サイバー攻撃特別相談窓口
https://www.ipa.go.jp/security/tokubetsu/
Copyright © 2015 独立行政法人情報処理推進機構
直近の攻撃全体関連図
メール送信ホスト
メールリレー メール受信者メール送信者
通信先
Copyright © 2015 独立行政法人情報処理推進機構
直近の攻撃全体関連図
A国
送信元A
メール送信ホスト
メールリレー メール受信者メール送信者(詐称含む)
プロバイダA
受信組織A
ホスト名A
①2015/12
①2015/12
通信先A
通信先
@AAAA.jp①
Copyright © 2015 独立行政法人情報処理推進機構
直近の攻撃全体関連図
A国
送信元A
メール送信ホスト
メールリレー メール受信者
プロバイダA
企業B
受信組織A
ホスト名B
ホスト名A
①2015/12
②2015/12
①2015/12
②2015/12
通信先A
通信先B
通信先
@AAAA.jp
@BBBB.jp
①
②
メール送信者(詐称含む)
Copyright © 2015 独立行政法人情報処理推進機構
直近の攻撃全体関連図
B国
送信元B
A国
送信元A
メール送信ホスト
メールリレー メール受信者
プロバイダA
企業B
受信組織A
ホスト名B
ホスト名A
①2015/12
②2015/12
①2015/12
②2015/12
③2015/12
通信先A
通信先B
通信先C
通信先
受信組織B
@AAAA.jp
@BBBB.jp
③2015/12
①
②
③
メール送信者(詐称含む)
Copyright © 2015 独立行政法人情報処理推進機構
直近の攻撃全体関連図
B国
送信元B
A国
送信元A
メール送信ホスト
メールリレー メール受信者
プロバイダA
企業B
受信組織A
ホスト名B
ホスト名A
①2015/12
②2015/12
④2015/12
①2015/12
②2015/12
③2015/12
④2015/12
受信組織群C
通信先A
通信先B
通信先C
通信先
受信組織B
@AAAA.jp
@BBBB.jp
③2015/12
①
②
③
④
メール送信者(詐称含む)
Copyright © 2015 独立行政法人情報処理推進機構
直近の攻撃全体関連図
B国
送信元B
A国
送信元A
メール送信ホスト
メールリレー メール受信者
プロバイダA
企業B
企業C
受信組織A
ホスト名B
ホスト名A
ホスト名C
@CCCC.jp
①2015/12
②2015/12
⑤2015/12
④2015/12
①2015/12
②2015/12
③2015/12
④2015/12
⑤2015/12受信組織群C
通信先A
通信先B
通信先C
通信先D
通信先
受信組織B
@AAAA.jp
@BBBB.jp
③2015/12
⑤
①
②
③
④
メール送信者(詐称含む)
Copyright © 2015 独立行政法人情報処理推進機構
直近の攻撃全体関連図
B国
送信元B
A国
送信元A
メール送信ホスト
メールリレー メール受信者
プロバイダA
企業B
企業C
複数プロバイダ
受信組織A
ホスト名B
ホスト名A
ホスト名C
@CCCC.jp
@DDDD.jp
①2015/12
②2015/12
⑤2015/12
④2015/12
⑥2016/1
①2015/12
②2015/12
③2015/12
④2015/12
⑤2015/12受信組織群C
通信先A
通信先B
通信先C
通信先D
通信先E
通信先
受信組織B
@AAAA.jp
@BBBB.jp
③2015/12
⑤
⑥2016/1
①
②
③
④
⑥
メール送信者(詐称含む)
Copyright © 2015 独立行政法人情報処理推進機構
⑦
直近の攻撃全体関連図
B国
送信元B
A国
送信元A
メール送信ホスト
メールリレー メール受信者
プロバイダA
企業B
企業C
複数プロバイダ
プロバイダD
受信組織A
ホスト名B
ホスト名A
ホスト名C
ホスト名D
@CCCC.jp
@DDDD.jp
@EEEE.jp
①2015/12
②2015/12
⑤2015/12
④2015/12
⑥2016/1
⑦2016/1
⑦2016/1
①2015/12
②2015/12
③2015/12
④2015/12
⑤2015/12
受信組織群D
受信組織群C
通信先A
通信先B
通信先C
通信先D
通信先E
通信先
受信組織B
@AAAA.jp
@BBBB.jp
③2015/12
⑤
⑥2016/1
①
②
③
④
⑥
メール送信者(詐称含む)
Copyright © 2015 独立行政法人情報処理推進機構
直近の攻撃全体関連図
B国
送信元B
A国
送信元A
メール送信ホスト
メールリレー メール受信者
プロバイダA
企業B
企業C
複数プロバイダ
プロバイダD
受信組織A
受信組織F
ホスト名B
ホスト名A
ホスト名C
ホスト名D
プロバイダE
ホスト名E
@CCCC.jp
@DDDD.jp
@EEEE.jp
@FFFF.jp
①2015/12
②2015/12
⑤2015/12
④2015/12
⑥2016/1
⑦2016/1
⑧2016/1
⑦2016/1
⑧b2016/1
⑧c2016/1
①2015/12
②2015/12
③2015/12
④2015/12
⑤2015/12
受信組織群D
受信組織群E
受信組織群C
通信先A
通信先B
通信先C
通信先D
通信先E
通信先
受信組織B
@AAAA.jp
@BBBB.jp
③2015/12
⑤
⑥2016/1
①
②
③
④
⑥⑧a
⑧b⑧c
⑦
⑧a2016/1
メール送信者(詐称含む)
Copyright © 2015 独立行政法人情報処理推進機構
直近の攻撃全体関連図
B国
送信元B
A国
送信元A
メール送信ホスト
メールリレー メール受信者
プロバイダA
企業B
企業C
複数プロバイダ
プロバイダD
受信組織A
受信組織F
ホスト名B
ホスト名A
ホスト名C
ホスト名D
プロバイダE
ホスト名E
@CCCC.jp
@DDDD.jp
@EEEE.jp
@FFFF.jp
①2015/12
②2015/12
⑤2015/12
④2015/12
⑥2016/1
⑦2016/1
⑧2016/1
⑦2016/1
⑧b2016/1
⑧c2016/1
①2015/12
⑧a2016/1
②2015/12
③2015/12
④2015/12
⑤2015/12
受信組織群D
受信組織群E
受信組織群C
通信先A
通信先B
通信先C
通信先D
通信先E
通信先
受信組織B
@AAAA.jp
@BBBB.jp
③2015/12
⑤
⑥2016/1
①
②
③
④
⑥⑧a
⑧b⑧c
⑦
プロバイダF
ホスト名F
@GGGG.jp
,⑨2016/1
⑨a2016/1
⑨b2016/1
通信先F
⑨a
⑨b
メール送信者(詐称含む)
Copyright © 2015 独立行政法人情報処理推進機構
直近の攻撃全体関連図
過去に
Emdiviの標的となった
アドレスや組織は
今後も狙われる可能性が高いです。
Copyright © 2015 独立行政法人 情報処理推進機構 27
1. 標的型サイバー攻撃への取り組み2. 標的型攻撃メールの見分け方3. 添付ファイルの見分け方4. 標的型攻撃メールを見つけたら
Copyright © 2015 独立行政法人 情報処理推進機構 28
2.1 標的型攻撃メールの例と見分け方~テクニカルウオッチ~
https://www.ipa.go.jp/security/technicalwatch/20150109.html
情報提供いただいた標的型攻撃メールの調査・分析を行い2015年1月9日にレポートを公開しました
Copyright © 2015 独立行政法人 情報処理推進機構
情報提供いただいた標的型攻撃メールの調査・分析内容を公開し、特徴や傾向の把握に役立てていただいています。
29
2.2 標的型サイバー攻撃分析レポート~その他のテクニカルウオッチ~
http://www.ipa.go.jp/about/technicalwatch/20111003.html http://www.ipa.go.jp/about/technicalwatch/20121030.html http://www.ipa.go.jp/security/technicalwatch/20140130.html
Copyright © 2015 独立行政法人 情報処理推進機構 30
2.3 標的型攻撃メールの例と見分け方
主な初出の出来事
2005 初観測(実在の外務省職員を詐称、Word文書、複数の官公庁宛)
2006 新聞社を詐称、民間大手企業宛、一太郎文書、実行形式ファイル
2007 未修正の脆弱性を悪用(ゼロデイ)、PDF文書
2008 標的型攻撃メールに関する組織内注意喚起メールを加工
2009 新型インフルエンザ関連情報に偽装、添付ファイルのないメール
2010 [海外]Stuxnetによるイランの核施設攻撃
2011 東日本大震災・原発事故関連情報に偽装、やりとり型、Mac OS X2012 [海外]水飲み場攻撃
2013 lnk(ショートカット)ファイル
2014 現在は、フリーメールアドレス利用・添付ファイル型が主流
Copyright © 2015 独立行政法人 情報処理推進機構 31
2.3 標的型攻撃メールの例と見分け方
https://www.ipa.go.jp/security/technicalwatch/20150109.html
着眼点 これまで検知された標的型攻撃メールの特徴
(ア)テーマ
①知らない人からのメールだが、開封せざるを得ない内容例1: 新聞社・出版社からの取材申込・講演依頼例2: 就職活動に関する問合せ・履歴書の送付例3: 製品やサービスに対する問い合わせ・クレーム例4: アンケート調査例5: やり取り型メール
②誤って自分宛に送られたメールの様だが、興味をそそられる内容例1: 議事録・演説原稿などの内部文書送付例2: VIP訪問に関する情報
③これまで届いたことがない、公的機関からのお知らせ例1: 情報セキュリティに関する注意喚起例2: インフルエンザ流行情報例3: 災害情報
Copyright © 2015 独立行政法人 情報処理推進機構 32
2.4 標的型攻撃メールの例と見分け方
https://www.ipa.go.jp/security/technicalwatch/20150109.html
着眼点 これまで検知された標的型攻撃メールの特徴
(イ)送信者
①フリーメールアドレスからの送信
②送信者のメールアドレスが署名(シグネチャ)と異なる
(ウ)メール本文
①言い回しが不自然な日本語
②日本語では使用されない漢字(繁体字、簡体字)
③正式名称を一部に含むような不審URL
④HTMLメールで、表示と実際のURLが異なるリンク
⑤署名の記載内容がおかしい、該当部門が存在しない
Copyright © 2015 独立行政法人 情報処理推進機構 33
2.5 標的型攻撃メールの例と見分け方
https://www.ipa.go.jp/security/technicalwatch/20150109.html
事務連絡cod.scr
事務連絡rcs.doc
RLO: Right-to-Left Overrideアラビア語やヘブライ語などをパソコンで使うための特殊な文字(表示はされない)
ここにRLO文字を挿入すると、次のような見た目になる。
着眼点 これまで検知された標的型攻撃メールの特徴
(エ)添付ファイル
①添付ファイルがある
②実行形式ファイル(exe / scr / jar / cpl など)
③ショートカットファイル(lnk / pif / url)④実行形式ファイルなのに文書ファイルやフォルダのアイコン
⑤ファイル名が不審例1: 二重拡張子例2: ファイル拡張子の前に大量の空白文字を挿入例3: 文字列を左右反転するRLOコードの利用例4: エクスプローラで圧縮ファイルの内容を表示すると
ファイル名が文字化け
Copyright © 2015 独立行政法人 情報処理推進機構 34
実際の標的型攻撃メールの例~いわゆるやりとり型~
Copyright © 2015 独立行政法人 情報処理推進機構 35
【ア-①】
【イ-①】
【エ-①】
【ウ-①】
2.6 標的型攻撃メールの例と見分け方~取材依頼を装った標的型~
Copyright © 2015 独立行政法人 情報処理推進機構 36
実際の標的型攻撃メールの例~取材依頼を装った標的型~
2013年夏に多くみかけました。
ZIPファイルの中身はLNK(ショートカット)ファイルで、オフィス文章のアイコンで偽装が目立ちました。
実際はリンク先を参照するのではなく、スクリプトが書かれていて、実行すると次段ウイルスをダウンロードし自動実行します。
次段ウイルスはPlugXなど、
国内の標的型サイバー攻撃で多用されるRAT(遠隔操作ウイルス)が目立ちます。
画面表示
Copyright © 2015 独立行政法人 情報処理推進機構 37
実際の標的型攻撃メールの例~講演依頼を装った標的型~
特徴○○様 と呼びかけが入る
講演の依頼を装っている
送付先に関係ありそうなテーマ
Copyright © 2015 独立行政法人 情報処理推進機構 38
2.7 標的型攻撃メールの例と見分け方~就職を装った標的型~
【イ-①】
【ア-①】
【エ-①】
【イ-②】
Copyright © 2015 独立行政法人 情報処理推進機構 39
実際の標的型攻撃メールの例~就職を装った標的型~
熱い思いを語っている
国内で、ある程度拡散した標的型攻撃メールで、0day攻撃が使われた事例でした。→IPAより注意喚起実施。
狙われた脆弱性MS Office等CVE-2013-3906
画面表示
Copyright © 2015 独立行政法人 情報処理推進機構 40
2.8 標的型攻撃メールの例と見分け方~製品・サービスに関する問合せを装った標的型~
【イ-①】
【ア-①】
【エ-①】、【エ-②】 【イ-②】
Copyright © 2015 独立行政法人 情報処理推進機構 41
2.9 標的型攻撃メールの例と見分け方~情報セキュリティに関する注意喚起を装った標的型~
【ア-③】
【イ-①】
【ウ-③】、【ウ-④】
実際にクリックした際に表示されるウェブページのURL
Copyright © 2015 独立行政法人 情報処理推進機構 42
実際の標的型攻撃メールの例~情報セキュリティに関する注意喚起を装った標的型~
特徴実際にIPAから提供された注意喚起文を引用している
フリーメールアドレスを利用
表示上のリンク先は問題なさそうに見えるが実際のリンク先は危険なURL
表示されたリンク先と実際のリンク先が異なる(.xxが追加されている)
フリーメールアドレスから送られている
一見、IPAからの注意喚起に見えるが
実際は、、
Copyright © 2015 独立行政法人 情報処理推進機構 43
2.10 標的型攻撃メールの例と見分け方~心当たりのない決済・配送通知を装った標的型~
【ア-⑤】
【ウ-⑤】
【イ-①】
【エ-①】
Copyright © 2015 独立行政法人 情報処理推進機構 44
実際の標的型攻撃メール類似例~Invoice/Purchase Order~
想定目的・ダウンローダー、zbot → Banking Trojan, FakeAVなど金銭を目的した攻撃・送信先(ターゲット)のプロファイリング:開封容易性、PC設定、キーロガー = 高度な標的型攻撃と類似
類似の攻撃パターン・SMS, MMS, VoiceMail, eFAX・年賀状、クリスマスカード
Copyright © 2015 独立行政法人 情報処理推進機構 45
2.11 標的型攻撃メールの例と見分け方~IDやパスワードの入力を要求する標的型~
【ア-⑥】
Copyright © 2015 独立行政法人 情報処理推進機構 46
2.12 標的型攻撃メールの例と見分け方~データエントリー型フィッシング~
【ア-⑥】
【ウ-①】
窃取されたメールアカウントの認証情報は、SPAMメールの踏み台や、標的型攻撃メールの素材収集に利用される恐れも。
Copyright © 2015 独立行政法人 情報処理推進機構 47
実際の標的型攻撃メール類似例~ID/パスワード盗用を目的としたフィッシング~
想定目的・フリーメールのアカウント窃取・組織のWebメールアカウント窃取
想定被害・受信メールの窃取(情報漏えい、他の標的型攻撃メール素材転用)・標的型攻撃メールの送信・連絡先の窃取・gmail/yahooなどのアカウントをとられた場合は、スマートフォンやアプリ連携、認証連携する他サービスでも被害が想定される
画面表示
Copyright © 2015 独立行政法人 情報処理推進機構 48
実際の標的型攻撃メール類似例~国内ベンダでの注意喚起実例~
http://www.transware.co.jp/phishing/index.html より引用
官公庁、一般企業、大学など多くの導入実績をもつ製品のサイトで注意喚起されている事例
画面表示
Copyright © 2015 独立行政法人 情報処理推進機構 49
1. 標的型サイバー攻撃への取り組み2. 標的型攻撃メールの見分け方3. 添付ファイルの見分け方4. 標的型攻撃メールを見つけたら
Copyright © 2015 独立行政法人 情報処理推進機構
3.1 添付ファイルの例
ファイルの詳細を必ず見る
アイコン上は文書ファイルの様に見えるが…
ショートカットであることを示す「矢印のマーク」
エクスプローラの詳細表示で見ると… コマンドプロンプトで表示すると…
ショートカットであることがわかる
ショートカットの拡張子
50
Copyright © 2015 独立行政法人 情報処理推進機構
3.2 添付ファイルの例
ファイルの詳細を必ず見る
エクスプローラで見ると…
実行ファイル(exe)であることがわかる。また、アイコン偽装されていても、アイコンが表示されないため騙されにくい。
51
Copyright © 2015 独立行政法人 情報処理推進機構
3.3 添付ファイルの例拡張子偽装に注意
実際のファイル名
実際のファイル名
「RLO」による拡張子偽装
拡張子を表示しないと見えない
52
Copyright © 2015 独立行政法人 情報処理推進機構
3.4 添付ファイルの例
• 実行ファイル(ウイルス)のアイコンは何にでも偽装できる
• 単純な罠だがそれでも引っかかってしまう人がいる
アイコン偽装に注意
アイコンや拡張子を信用しない!(「ファイルの種別」を表示して確認する)
53
Copyright © 2015 独立行政法人 情報処理推進機構 54
1. 標的型サイバー攻撃への取り組み2. 標的型攻撃メールの見分け方3. 添付ファイルの見分け方4. 標的型攻撃メールを見つけたら
Copyright © 2015 独立行政法人 情報処理推進機構 55
4.1 標的型攻撃メールの対応不審メールに気付いた時の対応
・ 組織内の情報集約窓口(情報システム担当部門など)に連絡
独立行政法人 情報処理推進機構(IPA)標的型サイバー攻撃特別相談窓口
https://www.ipa.go.jp/security/tokubetsu/
・ 標的型攻撃メールかどうか判らない場合は、以下へ連絡を
Copyright © 2015 独立行政法人 情報処理推進機構 56
4.2 標的型攻撃メールの対応添付ファイルを開いたり、不審なURLにアクセスした場合の対応
・ 標的型攻撃メールの添付ファイル実行、不審URLアクセス→ パソコンがウィルスに感染した可能性
・ どうしてよいか判らない場合は、とりあえずIPAに相談を
・ 緒論あるが、ネットワークからの切り離し(被害拡大の防止)
・ 不審メールを受信したパソコンの初期化は一考を→ 初期化すると感染機器や流出情報の特定が困難に
① 証拠保全と業務復旧の両面から対応の決定を
② フォレンジック専門のセキュリティベンダーに相談を
Copyright © 2015 独立行政法人 情報処理推進機構
1. インターネット接続制御/ WEB通信制御 (ファイアウォール、IDS/IPS、Webプロキシ、クライアント側制御、UTM/NGFW )
A) IPアドレスでの遮断ができること(グループ設定で制御できると望ましい)B) 遮断ログ取得ができること(3年、1年、半年、3ヶ月、1ヶ月、2週間、)C) 許可通信ログ取得ができることD) FQDN(ホスト名)で通信先制御ができることE) URLフィルタ機能があること(カテゴリ指定以外にユーザ設定ができるこ
と)F) 標的型攻撃の知見を基にした不正通信監視を行うこと(MSS/SOC
サービス)G) 接続時に認証できること(Webプロキシ)
4.2 標的型攻撃メールの対応システムにおける標的型攻撃対策への助言①
【機能改善策】画面表示
Copyright © 2015 独立行政法人 情報処理推進機構
2. 通信制御と不審挙動把握A) DNSリクエストを監視、制御(シンクホール化)するB) 通信制御機器のDNSリクエストと端末用DNSリクエストを分離(外部通報
時)C) 端末管理台数が多い場合はIT資産管理ツールを併用するD) クライアント操作ログの取得(ファイル操作、APIコール)E) 低いレイヤでの制御(セグメント分離、最小限のルーティング設定、脱IPv4)
3. 運用機能(機能有無、対応者確認、作業日数)A) メールログの検索(差出人、件名、本文、添付ファイル名)B) 通信ログの検索(あて先IPアドレス、あて先FQDN、URLパス)
C) 回線ログの確認(キャリア・プロバイダ提供のトラフィック表示、ネットワーク監視)
D) アンチウイルスログ(管理サーバ、端末側、サーバ側)の確認E) Webサーバコンテンツたな卸し(改ざん、追加有無)
【機能改善策】
4.2 標的型攻撃メールの対応システムにおける標的型攻撃対策への助言② 画面表示
Copyright © 2015 独立行政法人 情報処理推進機構
【システム利用者向けの運用改善策】
1. ブラウザの使い分け例)業務用にInternet Exproler、インターネット用にChrome/FireFoxを利用
2. メーラー(メールソフト)のカスタマイズ①差出人(From)表示を 「表示名+メールアドレス」 にする②誤クリックを避けるためにメーラーソフトのProxy設定を架空の
IPへ向ける
③利用者が気づきやすいように、差出人がフリーメールの場合は件名スタンプをつける
④特定添付ファイル(exe、zip+exe、LZH)はサーバで削除してしまう
⑤Fromヘッダーを詐称しているメールを落してしまう3. 不要なアプリの削除
例)JAVA、FlashPlayer
4.2 標的型攻撃メールの対応システムにおける標的型攻撃対策への助言③ 画面表示
Copyright © 2015 独立行政法人 情報処理推進機構
【システム利用者向けの運用改善策】
4. 標的型攻撃メールの訓練開封率低減よりも開封者報告率100%気づいた人の報連相率向上を重視
5. ウイルス警告画面など利用者環境での実体験と対処スキーム確立EICAR をイントラサイトに置き、クリックさせてみるパスワード付ZIPファイルでメール送信してみる
6. 定期的な感染痕跡部位の確認①%TEMP%や%AppData%フォルダ、アプリ・ユーザのテンポラリ
フォルダたな卸し※最近では %LOCALAPPDATA% を使う事例も
②HKLM_RUN、HKCU_RUN、スタートアップフォルダ、サービスの定期的差異確認
7. 情報共有活用スキームと、不審メールの情報提供
4.2 標的型攻撃メールの対応システムにおける標的型攻撃対策への助言④ 画面表示
Copyright © 2015 独立行政法人 情報処理推進機構 61
4.3 標的型攻撃メールの対応情報共有へのお願い ( Information Sharing )
・ 標的型サイバー攻撃情報は局所的である
・ 操作がよくわからない場合は、IPAに相談を
・ 被害の抑止や拡大防止は、局所的な情報を共有し活用することが最善の策である。
・ 情報提供いただきたいもの
① まずは転送メール形式
② メールヘッダ情報・eml形式、msg形式、「ヘッダを表示」で出るテキスト
③ 同件有無の確認・メールサーバログの確認(From, Received, Date)
情報提供にご協力ください!!
今回のために専用のメールアドレスを作成しました!
Copyright © 2015 独立行政法人 情報処理推進機構
?
標的型攻撃メールかな? と思ったら・・・
IPAへご相談ください!
http://www.ipa.go.jp/security/tokubetsu/
4.4情報提供が標的型サイバー攻撃対策~サイバー空間利用者みんなの力をあわせて対抗力を~
62
標的型サイバー攻撃特別相談窓口電話 03-5978-7599
(対応は、平日の10:00~12:00 および13:30~17:00)
E-mail [email protected]※このメールアドレスに特定電子メールを送信しないでください。
・不審な日本語・差出人とメールアドレスが不審・不審な添付ファイルやリンク
各所属での連絡に加えて