Comments
Description
Transcript
「標的型攻撃メールの傾向と事例分析<2013年>」に関するレポート
標的型攻撃メールの傾向と事例分析 <2013 年> ~ますます巧妙化、高度化する国内組織への標的型攻撃メールの手口~ 目次 はじめに ......................................................................................................................................... 2 1. 2. 標的型攻撃メールの傾向分析 .................................................................................................. 3 1.1. 詐称元種別割合 ................................................................................................................ 3 1.2. メール種別割合 ................................................................................................................ 5 1.3. 不審ファイル種別割合 ..................................................................................................... 6 最近の標的型攻撃メールの事例 .............................................................................................. 7 2.1. ショートカット(LNK)ファイルを悪用した手口 .............................................................. 7 2.1.1. 攻撃メールの外観「取材のお願い」:多数届けられた攻撃手口 ................................... 7 2.1.2. 添付ファイルの動作 ..................................................................................................... 9 2.1.3. 使用されたウイルスの仕組み1:「取材依頼書.lnk」 ................................................ 10 2.1.4. 使用されたウイルスの仕組み 2:「info.rtf.lnk」 ....................................................... 12 2.2. 3. ウイルス感染後の実態 ................................................................................................... 13 最近の標的型攻撃メールの対策例 ......................................................................................... 15 3.1. ショートカット(LNK)ファイルを悪用したウイルスの確認方法と対策例 ................ 15 3.2. ウイルス感染後の実態を把握する例 .............................................................................. 17 4. まとめ.................................................................................................................................... 19 5. 情報提供のお願い .................................................................................................................. 20 1 はじめに インターネットをはじめとした情報通信ネットワークや情報システムは、今や企業の活動の基盤 となるだけでなく、我々の生活にとっても必要不可欠な存在となった。従って情報通信ネットワー クへのサイバー攻撃は、我々の生活にとっても深刻な影響を与えるものである。また、社会生活に おける IT の重要度、浸透度から今や国の危機管理や、ひいては安全保障の問題としても重要な課 題となっている。2009 年には高度な技術を用いた「Stuxnet」ウイルスを使用した、イラン核施設 へのサイバー攻撃が確認された。わが国においても 2011 年に重要インフラを支える企業へのサイ バー攻撃が確認され、大々的にメディアに取り上げられた。サイバー攻撃の方法としては不正アク セスや USB メモリからのウイルス感染など様々であるが、この企業への攻撃で用いられた手法は 「標的型攻撃メール」と呼ばれる、電子メールを通じて特定組織に向けウイルスを送り込むもので あった。これを契機として「標的型攻撃メール」は注目を浴び、企業等のインフラでは標的型攻撃 の対策が推進されはじめた。 しかしながら、実際のメール利用者は「標的型攻撃メール」という単語は知っているものの、具体 的な攻撃手法や想定被害が実感しづらい事も事実である。例えば、セキュリティ対策ソフトが入っ ているという安心感から、一般利用者はこのような攻撃も防御できていると思い込んでしまい、危 険な攻撃手法や必要な対策の知識が浸透しにくいという相談があった。当機構で対応した相談の中 には、攻撃を受けてから長年経過しても被害に気付いていなかった事例が散見されている。また、 攻撃者が狙っている本命の攻撃対象企業・組織への踏み台として、関連する中小規模の組織が利用 された事例や、標的型攻撃メールの「材料」として、電子メールやメールアドレスの窃取が行われ たと思われる事例も確認している。最近では、攻撃手法も高度化・複雑化し、より巧妙な手口がと られているため、被害者はこれまで以上に攻撃に気付きにくくなっていると思われる。これらにつ いては標的型攻撃メールをはじめとしたサイバー攻撃の実態が、広く認知されていないということ が考えられる。本テクニカルウォッチでは、標的型攻撃メールの最近の傾向と具体的な攻撃事例を 示すことで、標的型攻撃メールの特徴や不審なファイルを開いた時にどのような事が行われるか、 その実態と対策例を説明している。これらの情報を対策に役立てて頂きたい。 2 1. 標的型攻撃メールの傾向分析 2012 年 10 月から 2013 年 12 月の期間において、標的型攻撃メールについて当機構の標的型サ イバー攻撃特別相談窓口へ 81 件1の情報提供があり、合計 215 件2の攻撃メール情報が集まった。 このうち、メールヘッダ等が含まれ、文面や差出人情報、添付ファイルの重複していないメール 124 種類と、入手可能であったウイルス 105 件について分析を行った。 1.1. 詐称元種別割合 図 1.1-1 はそれぞれのメールで攻撃者が詐称したメール送信元組織を分類したものである。一般 にメール受信者はメールの差出人に表示される表示名、件名、本文及び署名から、送信元がどこか を総合的に判断すると考えられる。本テクニカルレポートでは、これらの情報を総合した上で攻撃 者が詐称した差出人や組織(詐称元とよぶ)を分類した。 この統計では報道機関や製造業、インターネットサービスプロバイダなどの企業名や、当該企業 の職員を騙った「会社」が 35%で最も多かった。次に多かったものが「省庁」で 21%となり、 「公 企業3」を詐称したものが 16%となった。これらの組織を詐称した「会社」「省庁」「公企業」の 3 つで全体の 7 割を占めた。これは、組織名を詐称することで受信者を信用させ、添付ファイルの開 封や URL リンクのクリックを誘発させるための手口である。 続いて、特定の組織名や肩書きの無い「個人名」が 9%、組織内関係者の周知連絡に偽った「組 織関係者」、学校名のみを騙った「大学」、「政治家」、就職採用を狙った「学生」、そして「政党」 を騙ったものも確認された。 図 1.1-1:詐称元種別割合(From ドメイン) 1 2 3 1 件の情報提供には複数のメールが含まれているケースがある。 いくつかのメールは文面や差出人情報、添付ファイルが同一で少々の着信時間と宛先が異なるのみであった 社団法人や財団法人などの組織名・職員を名乗るものや、その組織の幹部を騙るものが確認された。 3 一方で、From メールアドレスに着目してみると、差出人表示や件名、本文内の署名等で詐称し ている組織とは関係のないドメインを使用している例が多数であった。この結果から、次のような 点に留意する事で、一般利用者でも標的型攻撃メールに気付きやすくなると思われる。 ・組織を名乗るメールを受け取った場合はメールの送信元ドメインを確認する。 ・受信メールがフリーメールからの送信であることが一目で判別できるような設定をメール受 信サーバ、またはメールソフトに設定する。例えばフリーメールを受信した利用者がその扱 いを慎重にするよう、システム管理者側ではメール受信サーバでメールの件名や本文に警告 表示を追加するなど、また利用者側ではメールソフトにてフィルタルールを作るなどの対策 を行う。 図 1.1-2:From ドメイン種別割合 4 1.2. メール種別割合 図 1.2-1 はそれぞれのメールについてそれがどのような意図と手口かという観点で分類したも のである。ここでは次の通り 3 つに分類している。 (1)添付ファイル型 悪意のあるファイルを添付してそれを開かせ、ウイルス感染させることを目的としている (2)URL リンク型 メール本文中に URL リンクを記載し、クリックさせることでリンク先のウェブサイトでドラ イブ・バイ・ダウンロード攻撃等を行うことを目的としている (3)やりとり型関連 最初に添付ファイルも URL リンクもないメールが送付され、何かの事前連絡や、パスワード 通知などが行われる。事前にやりとりを行うことで受信者の気を緩め信用させ、その後の複数 のやりとりの中で悪意のあるファイル等を送付し、その開封率を上げるためだと考えられる この分類では「添付ファイル型」が全体の 9 割以上を占め、 「URL リンク型」と「やりとり型関 連」がそれぞれ 1 割以下となった。全体としては添付ファイルとしてウイルスを送りつける例が大 半であったという事になるが、不審な URL リンクをクリックしてしまうことにも引き続き注意が 必要である。なお、「やりとり型関連」についても、今回提供された情報では、最終的にはすべて 「添付ファイル型」でウイルスが送り付けられていた。 図 1.2-1:メール種別割合 5 1.3. 不審ファイル種別割合 当機構へ情報提供された標的型攻撃メールのうち、「添付ファイル型」となっていた不審ファイ ルや「URL リンク」のリンク先から取得できた不審ファイルの種別を図 1.3-1 に示す。 この統計では不審ファイルの 6 割以上が「実行ファイル」によるものだった。(拡張子が exe や scr である「実行ファイル」58%、RLO4が 6%)特に、実行ファイル RLO は脆弱性の悪用を用い ずウイルスに感染させようとする従来の実行ファイル型手口に加え、拡張子を偽装する事が可能な ため、アイコンを文書ファイル等に偽装するなどして、受信者を騙しファイルの開封率を上げる巧 妙な手口である。 その他に全体の 8%を占め、2013 年末に確認された「ジャストシステム文書ファイル(一太郎な どジャストシステム社のオフィスソフトの文書ファイル)」、全体の 7%で 2013 年春以降に確認され た。「ショートカット(LNK)ファイル」、などとなった。 実行ファイルは、たとえ脆弱性対策がなされていても、ウイルス感染を引き起こすものであり、 実行ファイルを誤って開かないよう、慎重を期すべきである。 図 1.3-1:不審ファイル種別割合 「Right-to-Left Override」という、文字の表示上の並びを左右逆に制御するもの。IPA に寄せられた事例では RLO を用い、ファイル名を一見拡張子に見える表示にしていた。その他 RLO ではないが、テキストやオフィス文 書ファイルのアイコンに偽装していたものもあった。 参考:「ファイル名に細工を施されたウイルスに注意!」(2011 年 11 月の呼びかけ) (IPA) http://www.ipa.go.jp/security/txt/2011/11outline.html 4 6 2. 最近の標的型攻撃メールの事例 本章では 2013 年当機構に情報提供をされた中で、特徴的であった攻撃メールを紹介する。 2.1. ショートカット(LNK)ファイルを悪用した手口 これまで当機構へ提供された標的型攻撃メールで、「添付ファイル型」として使われたファイル 形式は Microsoft Office 文書ファイルや PDF ファイルによって、アプリケーションの脆弱性を狙 ったもの、そして実行ファイル(EXE ファイル)をそのまま使用しているものが多かった5。しか し 2013 年春以降、ショートカット(LNK)ファイルを細工し、文書ファイル等に見せかけ、開封 すると埋め込まれた実行ファイルが起動する標的型攻撃メールの情報提供が増え、秋ごろまで続い た。この LNK ファイルによる標的型攻撃メールの着信は、複数組織にまたがり、合計 34 件を確 認している。 2.1.1.攻撃メールの外観「取材のお願い」:多数届けられた攻撃手口 攻撃対象に幅はあるが無差別ではなく、メールごとに騙る人物や署名の形式を変化させ、 「○○様」という呼びかけ部分がある場合は、実際の受信者の名前を使用している(①)。メ ールの件名は「取材のお願い」としているが、件名やそのテーマも攻撃ごとに異なる(②)。 注意してメールを確認すると細かいミスが含まれていることも多い(③)。 多数の組織への送付が確認されている手口だが、提供された情報を総合し、決して無作為 にばら撒かれた攻撃ではないと判断できる。 図 2.1-1:標的型攻撃メール「取材のお願い」 5 http://www.ipa.go.jp/about/technicalwatch/20121030.html 7 図 2.1-2:標的型攻撃メール「ご講演のお願い」 8 2.1.2.添付ファイルの動作 添付ファイル「取材依頼書.zip」を解凍すると、テキストファイルアイコンに見せかけた(図 2.1-3 ①)、ファイルが作られる。作成された LNK のショートカットファイルにはそれとわ かる拡張子が表示されないが、アイコン左下にはショートカットを示す矢印マークが表示さ れる。(②)確認のため、拡張子を表示する設定にしても「.lnk」の拡張子は表示されない(③)。 しかし、フォルダオプションを詳細表示6にしてファイルを表示した場合は、同じく拡張子 は表示されないが(④)、ファイルの「種類」には「ショートカット」と表示される(⑤)。シ ョートカットファイルのファイル名は利用しているコンピュータが日本語環境であれば文 字化けするが、簡体字中国語(GBK)環境であれば「取材依頼書」と表示される7。 図 2.1-3:添付ファイルの見た目の特徴 ショートカットファイルには短いスクリプト8を埋め込むことができる(図 2.1-4 ①)。この ショートカットファイルを開いてしまった場合、埋め込まれたスクリプトが実行され(②)、 C2 サーバ9からバックドアスクリプトを取得し実行する仕組みとなっていた(③)。従って、 実質的な被害としては、実行ファイルを開いてしまった場合と同等の結果がもたらされる。 6 参考 マイクロソフト: フォルダー オプションを変更する。 http://windows.microsoft.com/ja-jp/windows7/change-folder-options 7 GBK を使ったファイル名を UTF8 に変換して解凍できるソフトを別にインストールしていた場合は、簡体字で ファイル名が表示されるが、GBK を使ったファイル名を扱えないソフト(例:OS 標準の解凍ソフト)では文字が化 ける。 8 このテクニカルウォッチでは便宜上、次のように用語を使い分け記述している。スクリプト:特定の動作をさせ るための命令がスクリプト言語により記述されたもの。プログラム:特定の動作をさせるための命令がスクリプト 言語またはプログラム言語により記述されたもの。ウイルス:自己伝染機能、潜伏機能、発病機能を備えたプログ ラム。 9 Command and Control server の略。 9 図 2.1-4:添付ファイルの動作 2.1.3.使用されたウイルスの仕組み1:「取材依頼書.lnk」 「取材のお願い」で使われた LNK ファイルは、まずスクリプトファイル「スクリプト A」を生 成し実行する(図 2.1-5①)。「スクリプト A」が実行されると C2 サーバ A からバックドアスクリプ トαを取得し、メモリ上で実行する(②)。スクリプトαは 2 つのスクリプトファイル「スクリプト B」、 「スクリプト C」を生成し、実行する(③)。 「スクリプト B」が実行されると偽のエラーダイア ログウインドウを表示する。これは被害者がウイルスに感染したことを気付かせない意図があると 考えられる(④)。 「スクリプト C」は C2 サーバ A からバックドアスクリプトβを取得し、メモリ上 で実行する(⑤)。バックドアスクリプトβは感染した PC の IP アドレスやログインユーザ名を C2 サーバ B へ送信する。その後 C2 サーバ B からの指令を待つ(⑥)。C2 サーバ B からの指令に従い、 目的に応じたスクリプトファイルを生成し PC の遠隔操作を遂行する(⑦)。 なお、C2 サーバ A、B との通信はすべて暗号化されている。暗号化の鍵と通信先 B のアドレスは、 メモリ上でのみ実行されるバックドアスクリプトαとβに書かれておりファイルには保存しない。 なお、コンピュータの再起動時等に自動実行させる機能(感染の永続化)はなく、再起動するとバ ックドアは動作しなくなる。 この攻撃で使われたウイルスは、感染後、パソコンが再起動されるまでの間に、バックドアを開 け、別の C2 サーバから攻撃の目的を達するためのウイルスを新たに取り込み、感染させるという 一連の作業を完了させる目的があったと考えられる。あるいは、高機能なウイルスではあったが、 今回は単に PC の情報をとるためだけであった可能性も考えられる。 10 図 2.1-5:使用されたウイルスの仕組み「取材依頼書.lnk」 11 2.1.4.使用されたウイルスの仕組み 2:「info.rtf.lnk」 「ご講演のお願い」で使われた「info.rtf.lnk」という LNK ファイルでは、2.1.3.の「取 材依頼書.lnk」と違い、被害者を騙す手口(③)や感染の際の痕跡を消す仕組みが組み込まれ ていること(⑥,⑦)、最終的に多様なウイルスに感染させるための RAT が用いられていたり (④)と仕組みが巧妙なことが特徴でした。しかし、その一方ではウイルス感染の過程で生成 されるスクリプトは「取材依頼書.lnk」に比べて少なく(図 2.1-5)なっていた。これは遠 隔操作が可能な RAT を取り込んだことにより、多様な攻撃を RAT に担わせることが可能 な分、仕組みがシンプルな構造になったとも言える。 「痕跡を消す仕組み」では、感染活動の途中で生成されるスクリプト F が途中で実行され るスクリプトγにより削除されたり(⑥)、また、元々「info.rtf.lnk」ショートカットファイ ル内に埋め込まれている不正なスクリプト(図 2.1-4)を、スクリプトγが、痕跡を消す為 に、削除する仕組みとなっていた(⑦)。 最終的に感染するウイルスは、最近多く見かけられ、標的型攻撃メールの情報提供に多い RAT10(PlugX)の一種であった。 なお、別の事案において、ジャストシステム文書ファイル (一太郎などジャストシステム 社のオフィスソフトの文書ファイル)によって感染させられたウイルスも PlugX であった。 図 2.1-6:使用されたウイルスの仕組み「info.rtf.lnk」 10Remote Access Trojan/Remote Administration Tool の略。外部からネットワーク経由でコンピュータに接続し任 意の操作を行うことができるプログラムのこと。 12 2.2. ウイルス感染後の実態 ここでは当機構が情報収集を行う中で、より詳細な情報提供が得られその内容を確認できた、攻 撃メールによるウイルス感染以外の被害例について説明する。 ■ 複数のウイルスに感染していた例 標的型攻撃メールの添付ファイルを開いてしまいウイルス(RAT)に感染してしまうと、C2 サ ーバからの指令を受け、感染された端末の情報取得や遠隔操作が可能となる。 実際にウイルス(RAT)に感染してしまっていた事例の、ほとんどでは、標的型攻撃メールに添 付されたウイルスとは別に、遠隔操作によって、複数のウイルスが組織のネットワーク内に設置さ れていた。 これらのウイルスの通信先は、標的型攻撃メールに添付されていたウイルスの通信先とは異なっ ていた。この理由として感染した端末を内部ネットワークに侵入するための足がかりとするために、 ウイルス発覚による駆除や不正な通信先への通信遮断が行われる事を想定し、複数のウイルスや通 信先を用いたバックドアを設置していたものとも考えられる。また一度開けた穴を使って、複数の 目的の為に侵入したとも考えられる。 なお、中にはウイルスに感染してからたった数十秒程度で、C2 サーバより指令が発行されていた。 そして、別の複数のウイルス(RAT)を設置するまで、数時間、早いものでは数分程度であった。 ■ 感染した際の特徴 標的型攻撃によって遠隔操作ウイルス(RAT)等に感染しても、それに気が付かず長い期間放置 されてしまう事も多い。これは標的型攻撃に使われるウイルスが、セキュリティソフトで検知され づらい特徴を持つことや、感染時に利用者に気付かせないための巧妙な動作を行うからである。一 方、標的型攻撃の感染に気がついていなかったとしても、ウイルスの中には感染の痕跡を残してい るものがあり、次のような確認を行うことで、ウイルスに感染しているか否かを確認することがで きるケースがある。 ・レジストリ/スタートアップ/サービスからコンピュータの起動時に実行されるプログラ ムを確認し、感染の永続化を目的としたウイルスの有無を確認する ・ウイルスファイルの設置場所 ① 感染の永続化を目的としたウイルス 標的型攻撃メールで使用されたウイルスのうちコンピュータの再起動後もウイルスを動か す永続化という設定が以下の表 2.2 のようにレジストリ、スタートアップフォルダ等にされ ているものが多数あった。ただし、機能的に永続化が可能でも、その機能をあえて有効にす る設定になっていないウイルスも散見された11。 永続化のために利用されたレジストリを表 2.2-1 に、スタートアップへの登録先の例を表 2.2-2、表 2.2-3 に示す。 11 2.1.3 章「取材依頼書.lnk」同様、永続化の設定をせず、一時的な利用のを目的として送り込むものであった。 13 表 2.2-1:永続化の為に利用されたレジストリ レジストリ(HKLM または HKCU 以下) SOFTWARE¥Microsoft¥Windows¥CurrentVersion¥Run SOFTWARE¥Microsoft¥Active Setup¥Installed Components¥ SOFTWARE¥Microsoft¥Windows NT¥CurrentVersion¥Winlogon¥Notify¥WPF SOFTWARE¥SYSTEM¥CurrentControlSet¥Services¥mspool¥Parameters SOFTWARE¥SYSTEM¥CurrentControlSet¥Services¥mspool¥sdeweggs SOFTWARE¥rar¥ActiveSettings 表 2.2-2:スタートアップ登録先(Windows7) スタートアップフォルダ(Windows7) %APPDATA%¥Microsoft¥Windows¥Start Menu¥Programs¥Startup %ALLUSERSPROFILE%¥Microsoft¥Windows¥Start Menu¥Programs¥Startup 表 2.2-3:スタートアップ登録先(WindowsXP) スタートアップフォルダ(WindowsXP) %USERPROFILE%¥<ユーザー名>¥スタート メニュー¥プログラム¥スタートアップ %ALLUSERSPROFILE%¥スタート メニュー¥プログラム¥スタートアップ ②ウイルスファイル本体や関連したファイルの保存フォルダ 標的型攻撃メールで使用されたウイルスのうち感染後に保存される先の主なフォルダを表 2.2-4 に示す。 なお、不可視ファイルやフォルダの設定により見えないファイルもあり、注意が必要である。 表 2.2-4:ウイルスで多く使われていた保存先フォルダ 保存フォルダ(%で囲ったものは環境変数を示す) %TEMP%(%TMP%) %ALLUSERSPROFILE% %ALLUSERSPROFILE%¥DRM¥(ランダムな文字等) %ALLUSERSPROFILE%¥Starter¥(ランダムな文字等) %APPDATA% %WINDIR% %WINDIR%¥system32 %PROGRAMFILES% %PROGRAMFILES%¥Common Files¥System¥Library %USERPROFILE% 添付ファイルの保存先や解凍先フォルダ 次章ではこのような攻撃に対する対策例を紹介する。 14 3. 最近の標的型攻撃メールの対策例 3.1. ショートカット(LNK)ファイルを悪用したウイルスの確認方法と対策例 ショートカット(LNK)ファイルを悪用したウイルスを使用した標的型攻撃メールでは、ショ ートカットファイルをそのまま添付、または zip などで圧縮し添付されていた。ショートカットフ ァイルにはスクリプトを組み込み、実行と同時にウイルスに感染させるように設定する事ができる ため、下記の対策例を参考に、ファイルを開封しないよう十分注意してほしい。本攻撃に対する対 策例を以下に示す。 ・ショートカットファイルであることを見抜く ⇒アイコン左下に表示される矢印の有無を確認する ・ショートカットファイル内にスクリプトが設定されていないことを確認する ⇒プロパティの「リンク先」を確認 ■ ショートカットファイルを認識する 確認するにはアイコンで見るかフォルダの設定「詳細表示モード」にて確認する事ができる。 アイコン左下に表示されるショートカットを示す矢印マークを確認する事でファイル形式の確 認が可能だが、表示自体が小さいためフォルダの「詳細表示モード」で確認する事をお勧めする。 なお、この手法はショートカットファイルだけでなくファイル名に RLO 制御文字を使ったウイ ルスや空白を大量に使い拡張子を誤認させようとするウイルスを見抜くのにも有効である。 ショートカットファイ ルに表示される矢印 図 3.1-1:ショートカットファイルのアイコン また詳細表示モードで表示した際には「種類」欄に「ショートカット」の文字が表示される。 ショートカットファイ ルに表示される矢印 ショートカットと表示 図 3.1-2:ショートカットファイルのアイコン(Windows7 [詳細表示]) 15 ■ ショートカットファイル内にスクリプトが挿入されていないかを確認する スクリプトの挿入を確認する際にはショートカットファイルのプロパティを見てみる。スクリプ トが挿入されたショートカットファイルでは「リンク先」に不審な文字列がある。 図 3.1-3:ショートカットファイルのリンク先に書かれた不審な文字列 身に覚えの無いショートカットファイルは実行せず、必ずリンク先を確認することを推奨する。 なお、リンク先欄に空白文字を記載し最後に[.txt]等を記載する事で、スクリプト文字の表示を隠 す手法がとられることも考えられるため、内容を確認したい場合は、一度リンク先の中身をすべて 選択・コピーし notepad 等へ張り付けて確認してみる事をお勧めする。 16 3.2. ウイルス感染後の実態を把握する例 情報漏えいや不正アクセスなどのインシデントが発生した際には、組織のシステム部や専門業 者などによりコンピュータの調査が行われる場合がある。本章で扱うテーマは、インシデント発 生時の調査で使うデータも含まれているため、下記の内容の実施に当たっては組織のシステム部 への確認を推奨する。 標的型攻撃でよく使われるウイルスには、感染の痕跡に特徴があるものが多い12。先に述べた レジストリやフォルダは少なくとも確認する事が望ましい。加えてサービスの設定を確認するこ とも有効だろう13。 レジストリの確認には関連するコマンドを用いる方法等があるが、操作を誤るとコンピュータ に影響が出るため14、利用にあたっては OS に関係するマニュアル等を見た上で、実施を含め慎 重な判断が必要である。実施する場合には、コンピュータにウイルスが感染していない時点で一 度、関連するレジストリやスタートアップ、サービスの一覧を取得しておき、定期的またはウイ ルスの感染等が疑われた際に取得したものと比較する。不審な追加がある場合、ウイルス感染が 疑がわれるため、試してみてほしい。 なお、このような手動での確認を含め自動的にレジストリやファイルの有無を確認する事の出 来る IT 資産管理製品がある為、活用の検討も有効であろう。 また、PC の起動直後等に起動しているプロセスを確認してみるのも有効である。例えばブラ ウザである Internet Explorer を開いていないのにもかかわらず「iexplore.exe」プロセスが起動 されていた場合は何かしらの RAT に感染している疑いがある。RAT には「Internet Explorer」 を非表示で実行し、 「iexplore.exe」プロセスに不正なコードをインジェクションし動作するもの がある為だ。Windows タスクマネージャから確認してみるのもよいだろう(図 3.2-1 参照)。 図 3.2-1:RAT 感染の例 - 起動していないはずの「iexplore.exe」プロセス 12 13 14 バックグラウンドで動作するプロセスなど 参考 マイクロソフト: Windows サービス アプリケーションの概要 http://msdn.microsoft.com/ja-jp/library/d56de412(v=vs.110).aspx 参考 マイクロソフト: Windows レジストリの変更方法 http://support.microsoft.com/kb/136393/ja 17 加えて、今コンピュータがどこへ通信しているかを確認することが望ましい。、それにはコマン ドプロンプトから[netstat -ona]や[netstat -onab]を実行し、通信先の IP アドレスをインターネッ ト検索してもよいだろう(図 3.2-2 参照)。不審な通信や意図しない通信であれば、前述のタスクマ ネージャで実行したコマンドにより、表示された PID15からプロセス名を調べてみるのもよいだろ う(図 3.2-3 参照)。 外部との通信を確認 PID3876 のプロセスが 通信を行っている 図 3.2-2:RAT 感染の例 -「netstat」コマンドによる不正通信先の確認(IP アドレスはダミー) 所定のコマンドを実行 する事で 先の netstat にて確認し た PID との照合が可能 IE ブラウザを起動していないのに プロセスが存在していた事が判明 図 3.2-3:RAT 感染の例 - tasklist によるプロセス確認 組織を標的型攻撃から守るためには、ここで説明したような標的型攻撃メールを見抜く方法だけ ではなく、システム全体の対策について解説した資料も IPA では公開しているので、ぜひ確認し てみてほしい16。 15 16 Process ID 実行しているプロセスを識別するために使われる、一意な番号 IPA 「標的型メール攻撃」対策に向けたシステム設計ガイド http://www.ipa.go.jp/security/vuln/newattack.html 18 4. まとめ 2013 年は、情報提供も増えたため前年に比べ詐称元の対象種別が多岐にわたっている事が判明 した。これまでは公企業を詐称したものや同一組織の内部連絡を装った例が大半であったが、今回 は企業を騙ったものから個人、大学、議員、学生を騙ったものまで多岐にわたっていた。このよう に攻撃対象の組織に応じて、関連が深いと推測される組織や個人を騙る事でメール受信者の錯誤を 誘い、添付ファイルや URL リンクを開かせようとする攻撃者の巧妙な意図が伺えた。 一方ではメール種別として URL リンクを利用した攻撃の割合が減少し、添付ファイルによるも のが大半であった。ただし、今回集計した情報がそう見えているだけで、URL リンクを利用した 攻撃が無くなったわけではない。また、数回のメールのやりとりの後でウイルスを添付ファイルで 送りつける、 「やりとり型」の手口も見られた。 ウイルス感染を目的とする不審ファイルの種類の多様化も顕著であり、昨年に引き続き多く見ら れた実行ファイルのほか、Microsoft 製品に存在するゼロデイの脆弱性を狙った Office 文書ファイ ルや17、ジャストシステム文書ファイル(一太郎などジャストシステム社のオフィスソフトの文書フ ァイル)が見られた18。ジャストシステム社のオフィスソフトは日本の組織での利用が多いものと考 えられ、こうしたソフトウェアの脆弱性を狙った標的型攻撃の存在は、日本の組織が確実に狙われ ていることを示している。また、この他に 2013 年末にショートカットファイルを悪用したウイル スが見られたため、本稿ではこのショートカット(LNK)ファイルを悪用したウイルスによる攻 撃を詳しく紹介した。 後半では、特徴的な標的型攻撃メール対策例を挙げた。そしてショートカット(LNK)ファイ ルの認識方法や、これを悪用したウイルスのリンク先の確認方法、ウイルス感染状態の把握方法な どを解説した。この対策例は今回取り上げた事例に限らず一般的な標的型攻撃メールへの対策とし ても使えるだろう。是非ともお使いのコンピュータをご確認頂き、不審なメールやファイルが確認 されたらご連絡頂きたい。 2013 年に確認したいくつかの事例では、インシデントが発生した際の、組織内の連絡ルートや 意思決定プロセスの不備で、対策に時間を要するものや、対策の方針決定に苦慮するケースが散見 された。IPA では一般社団法人 JPCERT コーディネーションセンターと連携し、このようなイン シデント発生時のアドバイスやサポートが可能である。インシデント発生後はもちろん、発生前に おいても何かあれば是非とも当機構へご相談頂ければと思う。 今後も継続して情報を収集・分析し、関係各機関と連携し、安心して情報システムが利用できる 社会をめざす所存である。 17 18 http://www.ipa.go.jp/security/ciadr/vul/20131106-ms.html https://www.ipa.go.jp/security/ciadr/vul/20131112-jvn.html 19 5. 情報提供のお願い 標的型攻撃メールは、ごく限られた範囲へ直接未知のウイルスを送りつけることが多く、セ キュリティ対策ソフトの会社がウイルスの検体を入手しにくいため、パターンファイルを最新 にしていても、検知できないことが多い。 不審なメールを受信し、その添付ファイルの開封や、リンクをクリックしてしまった場合は、 直ちにパソコンをネットワークから切り離し、組織のセキュリティ管理部門や、セキュリティ 専門会社に相談することを推奨する。 また、標的型攻撃メールを受けた場合、またはその可能性がある場合は、関係各所への連絡 に加え IPA の「標的型サイバー攻撃の特別相談窓口」へ情報提供いただきたい。 メールの文面やヘッダ情報には攻撃の傾向(日時や送られた組織等)が含まれる。その為、本 書で集計を行っているようにメール本文や添付ファイルに加え、メールヘッダの情報が重要で ある。IPA へ情報提供いただく場合は、ヘッダ情報を含むメール全体を送付していただきたい。 一般にメールソフトでは eml 形式や msg 形式で保存となる。テキストで保存、または HTML で保存すると、重要なメールヘッダ情報が欠落してしまう。ウェブメールを利用されている方 は、各ウェブメールのマニュアルを読んでいただくか、 「標的型サイバー攻撃の特別相談窓口」 に相談していただきたい。 最近は、標的型メール攻撃を従来の携帯電話やスマートフォンに送るケースもある。メール ヘッダを含む情報を提供することが困難な場合は、本文や添付ファイルだけでも重要な情報と なるため、IPA に情報提供していただきたい。また、今回は 3.2 章でウイルスの痕跡について とりあげたが、この調査結果についても提供頂ければと思う。 標的型サイバー攻撃特別相談窓口 URL e-mail http://www.ipa.go.jp/security/tokubetsu/ [email protected] ※このメールアドレスに特定電子メールを送信しないでください。 〒113-6591 郵送 東京都文京区本駒込 2-28-8 文京グリーンコート センターオフィス 16 階 IPA セキュリティセンター「標的型サイバー攻撃の特別相談窓口」宛 20 標的型攻撃メールの傾向と事例分析 <2013 年> ~ますます巧妙化、高度化する国内組織への標的型攻撃メールの手口~ 行] 2014 年 1 月 30 日 [発 [著作・制作] 独立行政法人情報処理推進機構 セキュリティセンター 標的型サイバー攻撃特別相談窓口 [執 筆 者]伊東宏明、青木眞夫 21