標的型攻撃メールの傾向と見分け方 - [email protected] @eeee.jp @ffff.jp ① 2015/12...

Copyright © 2016 独立行政法人情報処理推進機構

標的型攻撃メールの傾向と見分け方～サイバーレスキュー隊(Ｊ－ＣＲＡＴ)の活動を通して～

独立行政法人情報処理推進機構（IPA）

技術本部セキュリティセンター

標的型サイバー攻撃特別相談窓口

2016/ 10

Copyright © 2016 独立行政法人情報処理推進機構 1

1. 標的型サイバー攻撃への取り組み2. 標的型攻撃メールの見分け方3. 添付ファイルの見分け方4. 標的型攻撃メールを見つけたら


1.1 標的型サイバー攻撃に対する取り組み「サイバーセキュリティと経済研究会」(経産省) 2010/12～での検討政策を受けて展開

Stuxnet

Op. Aurora

RSA

重工被害発覚Titan Rain

国内の政府機関への標的型メールの観測

2003 ~ 2005 2009 2010 2011 2012~ 2013

「脅威と対策研究会」

2014

●2010/12 METI 「ｻｲﾊﾞｰｾｷｭﾘﾃｨと経済研究会」

「標的型サイバー攻撃特別相談窓口」

2011/8設計Guide v1


「情報共有J-CSIP」

2011/10

2012/4

2010/12

サイバーﾚｽｷｭｰ隊J-CRAT」

５業界の情報共有体制

標的型攻撃が深刻な脅威に

▼分析ﾚﾎﾟｰﾄ ▼分析ﾚﾎﾟｰﾄ

ﾚｽｷｭｰ試行

*1)http://www.ipa.go.jp/about/press/20130829.html*2)http://www.ipa.go.jp/about/technicalwatch/20140130.htm*3)http://www.ipa.go.jp/about/press/20140530.html

＊１）

＊２）

＊３）

システム設計

早期対応

情報共有

▲分析ﾚﾎﾟｰﾄ

Lurid/Nitro

政府機関への攻撃Luckycat

APT1 APT12Op.Hydra

Op.DeputyDog

APT17 CVE-2012-0158

PittyTiger


やりとり型、取材・講

演依頼、医療費通知、

Xmas、謹賀新

年・・・

組織間メールを窃

取、ウイルス添付

Poison IvyPlugX

Emdivi


標的型サイバー攻撃に対する初動の遅れは、長期的な被害となります。（APT）

攻撃や被害の把握、対策の早期着手のため、情報収集と、組織の支援を行っています。

1.2 サイバーレスキュー隊（J-CRAT）～活動概要 Since 2014～

公的機関

業界団体、社団・財団

重要産業関連企業

重要産業取引先

情報発信

情報提供支援相談

Web検索サイト巡回


公開情報の分析・収集

公開情報

ケース１

ケース２

ケース３

サイバーレスキュー隊 (J-CRAT)サイバーレスキュー活動

支援内容

解析

攻撃・被害の可視化

情報収集

JPCERT/CC

情報提供

着手アプローチ

エスカレーション


ケース1：標的型サイバー攻撃特別相談窓口に寄せられた支援対象組織からの相談ケース2：受付した相談から、連鎖的な被害（の可能性のある）組織が推定された場合ケース3：公開情報の分析、収集により被害（の可能性のある）組織が推定された場合

攻撃・被害の把握

助言

レスキュー支援

J-CSIP 独法連絡会

技術連携


1.3 攻撃パターンの一例～一旦穴が開けば、遠隔から操作できてしまう～

攻撃者

被害者

③送付

標的型攻撃メールに添付された不審なファイル、不審なURLを開いた結果落ちてくるファイルを実行し感染し、C2サーバとの通信が確立されると攻撃者は活動を開始します。そして、少し間をおいて、より深い活動（横展開）に移行し、内部ネットワークを侵攻していきます。

①ウイルス作成

②メール作成準備・宛先・文面

④感染

⑤C2サーバ通信確立

⑥情報収集・メールデータ・PCログインID/Pass・ファイルサーバデータ圧縮/窃取・AD管理者権限

⑤横展開

C2サーバ通信確立後、横展開していきます多くの場合、RAT（遠隔操作ウィルス）による侵攻がみられます

実行ファイル・アイコン偽装・拡張子偽装（RLO）

オフィス文章・ウイルス埋め込み・マクロ埋め込み


1.4 攻撃連鎖対応事例～サイバーレスキュー隊活動から～

組織D

攻撃者

①組織Bを騙った攻撃を確認

②新たな攻撃先(組織C)を確認

情報提供

情報提供・調査支援

情報提供・調査支援・対策支援

組織A 組織B 組織C

③組織Cから組織Dへ攻撃メールが送られていた事実が判明

・攻撃の連鎖(組織をまたがった攻撃)が行われている事を確認・その連鎖を追跡することで、他組織の被害を掘り出すことができる

攻撃

遠隔操作

攻撃「連鎖」をたどることで攻撃実態を把握

4組織への攻撃うち２組織は遠隔操作

メール分析不審ファイル調査通信ログ分析


メールによる感染

2014 2015 20162013

アンチウイルスOS/アプリ最新

通信先制御等

不審通信/不審ログインの発見不審レジストリの発見不審ファイル/プロセスの発見定義ファイル更新による検知のようなケースもあるが、多くは気付かずにそのまま放置される

攻撃者のコントロール下にある期間

1.5 長期感染の実態

何らかの理由で攻撃基盤を手放す

被害・攻撃の発見

C2サーバとの不審通信（RATが動かされる状態）

過去に来ていた不審メールの再チェックを(フリーメール、添付有無、拡張子など)

検知できない


1.6 "標的型攻撃の実際"

多くの場合、攻撃は後から気づくもの

多くの場合、攻撃は気づかれずに完了

多くの場合、被害範囲の把握は困難

多くの場合、攻撃のスタートはメールから

標的型は個人・個社・業界をターゲットに

標的型は連鎖して行われる

8

なので、「気付く」が重要なので、「情報共有」が重要


直近の分析レポートから

9


：オペレーション

標的型サイバー攻撃の脅威と対策

J-CRAT～特定業界を執拗に狙う攻撃キャンペーンの分析～

同一の攻撃者と思われる標的型攻撃を追跡し、2015年11月～2016年3月

までに137件の攻撃メールを収集（まとまった攻撃をキャンペーンと呼ぶ）

共通点を有する業界団体（8団体）を介して、執拗に攻撃を行っている

企業等の正規アカウントを乗っ取り、踏み台にして送るケースが殆どである

本文の類似性の他、ウイルスの添付方法、ウイルスの挙動などが同一である

このキャンペーンは、16のオペレーションに分割でき、攻撃者の挙動分析を実施。

http://www.ipa.go.jp/security/J-CRAT/report/20160629.html

本キャンペーンで悪用された業界団体は主に製造業に関わるは8団体、一般企業を狙った40通の内37通は同一業界で、ある特定の製造業を狙った攻撃であることが分かった。

宛先メール件数組織数業界団体 86 8

企業・製造業 37 27

企業・卸売業 2 1

企業・ソフトウェア業 1 1

個人・フリーメール 9 7

不明 2 -

総計 137 44


攻撃全体関連図

B国

送信元B

A国

送信元A

メール送信ホスト

メールリレーメール受信者

プロバイダA

企業B

企業C

複数プロバイダ

プロバイダD

受信組織A

受信組織F

ホスト名B

ホスト名A

ホスト名C

ホスト名D

プロバイダE

ホスト名E

@CCCC.jp

@DDDD.jp

@EEEE.jp

@FFFF.jp

①2015/12

②2015/12

⑤2015/12

④2015/12

⑥2016/1

⑦2016/1

⑧2016/1

⑦2016/1

⑧b2016/1

⑧c2016/1

①2015/12

⑧a2016/1

②2015/12

③2015/12

④2015/12

⑤2015/12

受信組織群D

受信組織群E

受信組織群C

通信先A

通信先B

通信先C

通信先D

通信先E

通信先

受信組織B

@AAAA.jp

@BBBB.jp

③2015/12

⑤

⑥2016/1

①

②

③

④

⑥⑧a

⑧b⑧c

⑦

プロバイダF

ホスト名F

@GGGG.jp

,⑨2016/1

⑨a2016/1

⑨b2016/1

通信先F

⑨a

⑨b

メール送信者(詐称含む)

137通の攻撃メール分析結果

44組織


被害組織は

B国

送信元B

A国

送信元A



プロバイダA

企業B

企業C


プロバイダD

受信組織A

受信組織F

ホスト名B

ホスト名A

ホスト名C

ホスト名D

プロバイダE

ホスト名E

@CCCC.jp

@DDDD.jp

@EEEE.jp

@FFFF.jp

①2015/12

②2015/12

⑤2015/12

④2015/12

⑥2016/1

⑦2016/1

⑧2016/1

⑦2016/1

⑧b2016/1

⑧c2016/1

①2015/12

⑧a2016/1

②2015/12

③2015/12

④2015/12

⑤2015/12

受信組織群D

受信組織群E

受信組織群C

通信先A

通信先B

通信先C

通信先D

通信先E

通信先

受信組織B

@AAAA.jp

@BBBB.jp

③2015/12

⑤

⑥2016/1

①

②

③

④

⑥⑧a

⑧b⑧c

⑦

プロバイダF

ホスト名F

@GGGG.jp

,⑨2016/1

⑨a2016/1

⑨b2016/1

通信先F

⑨a

⑨b


アカウント乗っ取り同一業界


攻撃者の「持ち物」

B国

送信元B

A国

送信元A



プロバイダA

企業B

企業C


プロバイダD

受信組織A

受信組織F

ホスト名B

ホスト名A

ホスト名C

ホスト名D

プロバイダE

ホスト名E

@CCCC.jp

@DDDD.jp

@EEEE.jp

@FFFF.jp

①2015/12

②2015/12

⑤2015/12

④2015/12

⑥2016/1

⑦2016/1

⑧2016/1

⑦2016/1

⑧b2016/1

⑧c2016/1

①2015/12

⑧a2016/1

②2015/12

③2015/12

④2015/12

⑤2015/12

受信組織群D

受信組織群E

受信組織群C

通信先A

通信先B

通信先C

通信先D

通信先E

通信先

受信組織B

@AAAA.jp

@BBBB.jp

③2015/12

⑤

⑥2016/1

①

②

③

④

⑥⑧a

⑧b⑧c

⑦

プロバイダF

ホスト名F

@GGGG.jp

,⑨2016/1

⑨a2016/1

⑨b2016/1

通信先F

⑨a

⑨b


攻撃基盤攻撃基盤


情報提供いただいた標的型攻撃メールの調査・分析内容を公開し、特徴や傾向の把握に役立てていただいています。

15

2.1 IPAテクニカルウォッチ分析レポート

http://www.ipa.go.jp/about/technicalwatch/20111003.html http://www.ipa.go.jp/about/technicalwatch/20121030.html

http://www.ipa.go.jp/security/technicalwatch/20140130.html

2011/3版 2012/10版

2014/1版 2015/10版

https://www.ipa.go.jp/security/technicalwatch/20150109.html


2.2 J-CRAT活動実績から(1)

■メール種別割合（2014/4～2015/3） ■Fromメールアドレス割合（2014/4～2015/3）

添付(圧縮)

364件(60%)添付(非圧縮)

168件(27%)

URLリンク

36件(6%)

添付・URLリンクなし

19件(3%)不明

22件(4%)

N=609

フリーメール

157件(48%)

企業

112件(34%)

省庁

22件(7%)

存在しない

12件(4%)

独立行政法人

9件(3%)大学

5件(1%)その他

11件(3%)

N=328


2.2 J-CRAT活動実績から(2)

■ファイル圧縮形式割合 ■不審ファイル種別

不審ファイル種別割合（2014/4～2015/3）

zip

253件(69%)

rar

70件(19%)

lzh

26件(7%)

7z

13件(3%)

arj

2件(1%)

gz

2件(1%) cab

1件(0%)

N=367

exe

228件(48%)

マイクロソフトオフィス

108件(23%)

scr

71件(15%)

pdf

28件(6%)

cpl, 13, 3%

jar, 6, 1%jtd, 5, 1%

com, 4, 1% lnk, 3, 1% pif, 3, 1%

rtf, 3, 1%

その他, 8, 2%

N=480


2.3 感染の契機

• 添付ファイルを実行

• ダウンローダーの実行

– マルウェアのドロップ

• メーラーの設定による自動実行

– HTML等

18

• 現在のところ、テキスト形式のメールをメーラーで表示しただけで感染したケース

は公表されていません• 実行しなければ初期侵入が防げます


2.4 メールの見分け方

• ４つの着眼点

– テーマ（件名）

– 送信者

– メール本文

– 添付ファイル

19

「見分ける」＝添付ファイルを開く、実行してしまう前に不審点を見つける


2.4.1 テーマ（件名）

着眼点過去の標的型攻撃で見られたケース

テーマ

• 知らない人からのメールだが、開封せざるを得ない内容① 新聞社・出版社からの取材申込・講演依頼② 就職活動に関する問合せ・履歴書の送付③ 製品やサービスに対する問い合わせ・クレーム④ アンケート調査⑤ やり取り型メール

• 誤って自分宛に送られたメールの様だが、興味をそそられる内容① 議事録・演説原稿などの内部文書送付② VIP訪問に関する情報

• これまで届いたことがない、公的機関からのお知らせ① 情報セキュリティに関する注意喚起② インフルエンザ流行情報③ 災害情報


2.4.2 送信者とメール本文


送信者• フリーメールアドレスからの送信

• 送信者のメールアドレスが署名（シグネチャ）と異なる

メール本文

• 言い回しが不自然な日本語

• 日本語では使用されない漢字（繁体字、簡体字）カタカナ

• 正式名称を一部に含むような不審URL

• HTMLメールで、表示と実際のURLが異なるリンク

• 署名の記載内容がおかしい、該当部門が存在しない


2.4.3 添付ファイル

事務連絡cod.scr

事務連絡rcs.doc

RLO: Right-to-Left Overrideアラビア語やヘブライ語などをパソコンで使うための特殊な文字（表示はされない）

ここにRLO文字を挿入すると、次のような見た目になる。


添付ファイル

• 実行形式ファイル（exe / scr / jar / cpl など）

• ショートカットファイル（lnk / pif / url）

• 実行形式ファイルなのに文書ファイルやフォルダのアイコン

• ファイル名が不審二重拡張子ファイル拡張子の前に大量の空白文字を挿入文字列を左右反転するRLOコードの利用エクスプローラで圧縮ファイルの内容を表示するとファイル名が文字化け


メールアドレスに不審点はないか

添付ファイルはどんな形式か

使っている漢字や言い回しに不審的はないか

2.5.1 メールサンプル①～取材を装ったケース～

日本で使われていない漢字

URLは正規のURLか


2.5.2 メールサンプル②～就職を装ったケース～

署名とメールドメインが違う


2.5.3 メールサンプル③～情報セキュリティに関する注意喚起を装ったケース～

実際にクリックした際に表示されるウェブページのURL


2.5.4 メールサンプル④～心当たりのない決済・配送通知を装った標的型～

日本であまり使われない圧縮形式（rar）


2.5.5 メールサンプル⑤～IDやパスワードの入力を要求する標的型～

IDパスワードを要求


2.5.6 メールサンプル⑥～データエントリー型フィッシング～

窃取されたメールアカウントの認証情報は、SPAMメールの踏み台や、標的型攻撃メールの素材収集に利用される恐れも。

データエントリーを要求


3.1 実行形式ファイルの例

• Windowsデフォルト

– exe

– com

– bat

– scr

– cmd

– pif

30

• スクリプト拡張子

– js

– vbs

• アプリケーション

– lnk

– url

– swf

巧妙に隠される実行形式ファイル気付くにはいくつかのポイントがあります

• メールから直接開かない！• ファイルの詳細を必ず見る！


3.2 ショートカットファイル

リンク先にコマンドを保持

アイコン上は文書ファイルの様に見えるが…

ショートカットであることを示す「矢印のマーク」

エクスプローラの詳細表示で見ると… コマンドプロンプトで表示すると…

ショートカットであることがわかる

ショートカットの拡張子

31


3.3 アイコン偽装

アイコンを他のものに変更

アイコンや拡張子を信用しない！（「ファイルの種別」を表示して確認する）

32

全てexeファイルだが、アイコンを変更しているためぱっと見、アプリケーションファイルに見える

• 圧縮ファイルも「ファイル詳細」で見ればアイコン表示されずにチェック可能


3.4 拡張子偽装３種２重拡張子とRLO表示

実際のファイル名

実際のファイル名

「RLO」による拡張子偽装

拡張子を表示しないと見えない

33

↑ファイル名の中に空白を入れている

RLO: Right-to-Left Overrideアラビア語やヘブライ語などをパソコンで使うための特殊な文字。右→左


4.1 感染時の準備できていますか？

不審メール受信後の手順を明確化

システム部門への報告（情報共有）

実行していた場合は初期化の前にデータ保全

メールログの保存

メールログ調査方法の確立

外部アクセスログの保存

外部アクセスログ調査方法の確立

35

ログが保存されていても、調査方法がわからない、ツールがない、時間がかかるというケースが多い


?

標的型攻撃メールかな？と思ったら・・・

IPAへご相談ください！

http://www.ipa.go.jp/security/tokubetsu/

4.2 情報提供が攻撃対策～サイバー空間利用者みんなの力をあわせて対抗力を～

36

標的型サイバー攻撃特別相談窓口電話 03-5978-7599

(対応は、平日の10:00～12:00 および13:30～17:00)

E-mail [email protected]※このメールアドレスに特定電子メールを送信しないでください。

・不審な日本語・差出人とメールアドレスが不審・不審な添付ファイルやリンク

組織内での情報共有に加えて

mailto:[email protected]


4.3 情報提供のお願い

不審メールって？

アンチウィルスで検知されない

４つの点で不審点がある件名、送信元、本文、添付ファイル

公開情報で同件がないバラマキ型情報は比較的短期間にWebに

メールの情報提供方法

ヘッダ情報が重要なのでメール全体を「ファイルで保存」msg形式

eml形式

37

Google等で「単語」「メールアドレス」「添付ファイル名」などのキーワード検索


標的型サイバー攻撃に対する初動の遅れは、長期的な被害となります。（APT）

攻撃や被害の把握、対策の早期着手のため、情報収集と、組織の支援を行っています。

4.4 レスキュー活動にご協力ください

公的機関

業界団体、社団・財団

重要産業関連企業

重要産業取引先

情報発信

情報提供支援相談

Web検索サイト巡回


公開情報の分析・収集

公開情報

ケース１

ケース２

ケース３

サイバーレスキュー隊 (J-CRAT)サイバーレスキュー活動

支援内容

解析

攻撃・被害の可視化

情報収集

JPCERT/CC

情報提供

着手アプローチ



ケース1：標的型サイバー攻撃特別相談窓口に寄せられた支援対象組織からの相談ケース2：受付した相談から、連鎖的な被害（の可能性のある）組織が推定された場合ケース3：公開情報の分析、収集により被害（の可能性のある）組織が推定された場合

攻撃・被害の把握

助言

レスキュー支援

J-CSIP 独法連絡会

技術連携


TIPS

39


1.WindowsOSのカスタマイズ• ファイル拡張子の表示

2.Officeアプリケーションのカスタマイズ• マクロ無効化

3.メーラー（メールソフト）のカスタマイズ①差出人（From）表示を「表示名＋メールアドレス」にする②差出人がフリーメールの場合は件名スタンプをつける③特定添付ファイル（exe、zip+exe、LZH）は受け取らない④Fromヘッダーを詐称しているメールは受け取らない

4.ブラウザの使い分け• 脆弱性が多いといわれるIEは業務アプリでしか使わない

5.不要なアプリの削除• JAVA、FlashPlayer等

利用者向け対策例


標的型に効かない対策？

アンチウィルスソフト

検出できないなら、標的型には効かないよね？

41

必要です！• 今効かなくても、明日効くことがある

• 感染、攻撃には段階があり、複数のマルウェア、ツールの組み合わせで侵攻するケースも• なので自動更新と通知を忘れずに

標的型攻撃メールの傾向と見分け方 - [email protected] @eeee.jp @ffff.jp ① 2015/12...

Documents