Comments
Description
Transcript
(別紙) (PDF:247KB)
別紙 表 1 2014 年 8 月の「やり取り型」攻撃の事例(メールの流れ) No. 1 種別 偵察 内容 「**セミナーについて」という件名で、当該組織が主催するセミナーについて、問い合わせ窓 口の確認の無害なメールが届いた。 (このメールは 2012 年 7 月の「やり取り型」攻撃(*7)と同一のIPアドレスから送信されていた) 2 3 返信 窓口の案内を返信した。 攻撃 「質問書を送付する」という内容で、Word 文書ファイル形式のウイルスが添付されたメールが届 (1) 4 返信 いた。ウイルスが悪用する脆弱性は既知(修正プログラム公開済み)のものであった。 添付ファイルの内容が確認できなかったこと、そして、メール本文に用件を記載して再送いただ くよう返信した。 5 攻撃 (2) 「質問書に図があるため本文に書けない」という内容で、パスワード付き RAR 形式の圧縮ファイ ルが添付されたメールが届いた。 6 返信 RAR 形式のファイルが受信できなかったため、別の形式で添付ファイルを再送いただくよう返信 7 攻撃 ファイルの拡張子を「.zip」に変更した添付ファイルが再送された。実際にはパスワード付きRAR (3) 形式の圧縮ファイルであり、RARファイルの中には、RLO(*8)で拡張子を「.doc」に偽装した実 した。 行ファイル形式のウイルスが入っていた。 なお、このRARファイルは「Lhaplus」で解凍可能(*9)であった。 8 偵察 翌日、更に「返事を待っている」旨、メールが届いた(添付ファイル無し) 。 9 返信 添付ファイルの内容が確認できなかったこと、そして、電話で確認したい旨を返信した。 10 攻撃 「今は電話連絡できない」 「Word 文書ファイルで添付ファイルを再送する」という内容のメール (4) が届いた。このメールには、RLO で拡張子を「.doc」に偽装した実行ファイル形式のウイルスが 圧縮されずに添付されていた。 表 1 の No.3、No.5、No.7、No.10 の 4 通のメールは、本文で必要に応じて理由を取り繕い、 それぞれ異なる形式でウイルスが添付されていました。また、No.8 のメールは、攻撃メール送信 後返信が無かったことを受けた、催促のメールでした。 文面の巧妙さを示すものとして、用件を本文に記載するよう要求(メール No.4)すると、図が あるため本文に書けない(添付ファイルを開くよう誘導)と受け答え(メール No.5) 、電話で確 認したい旨を要求(メール No.9)すると、今は電話連絡できない(メール No.10)、といったや り取りです。 その他、メールの送信元 IP アドレスが 2012 年 7 月の攻撃と一致(メール No.1)していた点 や、添付されていたウイルスに類似性があったこと等から、同一の攻撃者(または攻撃グループ) によるものと推測されます。これらのことから、国内組織への攻撃が数年に渡り継続しており、 今後も攻撃が続くものと予測されます。 表 2 の事例では、メール No.3 とメール No.4 で、パスワード付きのファイルを授受する際に 実際によく行われる、 「パスワードは別のメールで送る」という慣例を模してウイルス付きの攻撃 メールが送られたものです。 (*7) 「J-CSIP 2013 年度 活動レポート」の「案件《1》 」とメール送信元 IP アドレスが同一でした。 (*8) RLO: 「Right-to-Left Override」という、文字の表示上の並びを左右逆にする制御文字。ファイルの拡張子を 偽装する際に悪用され、例えば「abc[RLO]cod.exe」というファイル名の画面表示は「abcexe.doc」となり ます。 (*9) この「やり取り型」攻撃を行っていると考えられる攻撃者は、2012 年の一連の攻撃の中で、圧縮形式と解凍 ソフトにおける相性問題を学習したと思われます。詳しくは「J-CSIP 2013 年度 活動レポート」を参照。 また、被害者が添付ファイルではなく本文に用件を記載するよう要求したところ(メール No.5) 、 用件を本文に記載した返信がありました(メール No.6) 。すなわち、攻撃者がメール No.3 の添 付ファイル(ウイルス)を窓口担当者に開かせることを一旦諦めており、これまでに無い行動と いえます。これは、添付ファイルを開かせることよりも、自分が攻撃者であると認識され警戒さ れないように、自然なメールのやり取りを継続し、相手に自分を信用させることを優先したと考え られます。またこのやり取りが続いた場合、再度、別の形でウイルスが送られてきたと思われま す。 表 2 2014 年 10 月の「やり取り型」攻撃の事例(メールの流れ) No. 種別 内容 1 偵察 某所の研究員を名乗る者から、当該組織がウェブサイトで公開している記事への質問について、 問い合わせ窓口の確認のメールがあった。宛先のメールアドレスは、当該組織のウェブサイトか ら知ったと書かれていた。 2 返信 質問を受け付ける旨、返信した。 3 攻撃 「質問内容を送付する」という内容で、パスワード付き zip ファイルが添付されたメールが届いた。 更に、パスワードは別途送付する旨が書かれていた(この zip ファイルの中には、Word 文書ファ イルのアイコンに偽装した実行ファイル形式のウイルスが入っていた) 。 4 偵察 約 1 分半後、zip ファイルのパスワードを通知するメールが送られた。メールの文面には、 「この メールは自動で配信されています。 」などと書かれており、メール暗号化システムが自動的にパス ワードを作成・送付しているかのように見えるものに偽装されていた。 5 返信 添付ファイルの内容が確認できなかった事、メール本文に用件を記載して再送いただくよう返信し た。 6 偵察 約 40 分後、記事の内容に関する質問がメール本文に書かれて再送されてきた。質問は短く簡単な 内容だが、当該組織が公開している記事に関する妥当な内容であった。