1. 標的型サイバー攻撃への取り組み 2. 標的型攻撃メールの見分け方 3. 添付ファイルの見分け方 4. 標的型攻撃メールを見つけたら Copyright 2015 独立行政法人情報処理推進機構 1

(1)

標的型攻撃メールの傾向と事例分析

独立行政法人情報処理推進機構（IPA）

技術本部セキュリティセンター

伊東宏明

2015/ 05

(2)

1. 標的型サイバー攻撃への取り組み

2. 標的型攻撃メールの見分け方

3. 添付ファイルの見分け方

(3)

2.1 標的型攻撃メールの例と見分け方

～テクニカルウオッチ～

https://www.ipa.go.jp/security/technicalwatch/20150109.html

(4)

情報提供いただいた標的型攻撃メールの調査・分析内容を公開し、特徴や傾向の把握に役立てて

いただいています。

2.2 標的型サイバー攻撃分析レポート

～その他のテクニカルウオッチ～

(5)

2.3 標的型攻撃メールの例と見分け方

(ア)メールのテーマ

① 知らない人からのメールだが、メール本文のURLや添付ファイルを開かざるを得ない内容 (例1) 新聞社や出版社からの取材申込や講演依頼 (例2) 就職活動に関する問い合わせや履歴書送付 (例3) 製品やサービスに関する問い合わせ、クレーム (例4) アンケート調査 ② 心当たりのないメールだが、興味をそそられる内容 (例1) 議事録、演説原稿などの内部文書送付 (例2) VIP訪問に関する情報 ③ これまで届いたことがない公的機関からのお知らせ (例1) 情報セキュリティに関する注意喚起 (例2) インフルエンザ等の感染症流行情報 (例3) 災害情報 ④ 組織全体への案内 (例1) 人事情報 (例2) 新年度の事業方針 (例3) 資料の再送、差替え ⑤ 心当たりのない、決裁や配送通知 (英文の場合が多い) (例1) 航空券の予約確認 (例2) 荷物の配達通知 ⑥ IDやパスワードなどの入力を要求するメール (例1) メールボックスの容量オーバーの警告 (例2) 銀行からの登録情報確認

(6)

2.4 標的型攻撃メールの例と見分け方

(イ)送信者のメールアドレス

① フリーメールアドレスから送信されている

② 送信者のメールアドレスとメール本文の署名に記載されたメールアドレスが異なる

(ウ)メールの本文

① 日本語の言い回しが不自然である ② 日本語では使用されない漢字（繁体字、簡体字）が使われている ③ 実在する名称を一部に含むURLが記載されている ④ 表示されているURL（アンカーテキスト）と実際のリンク先のURLが異なる（htmlメールの場合） ⑤ 署名の内容が誤っている (例1) 組織名や電話番号が実在しない (例2) 電話番号がFAX番号として記載されている

(7)

2.5 標的型攻撃メールの例と見分け方

(エ)添付ファイル

① ファイルが添付されている ② 実行形式ファイル( exe / scr / cplなど )が添付されている ③ ショートカットファイル( lnkなど )が添付されている ④ アイコンが偽装されている (例1) 実行形式ファイルなのに文書ファイルやフォルダのアイコンとなっている ⑤ ファイル名が不審である (例1) 二重拡張子となっている (例2) ファイル拡張子の前に、大量の空白文字が挿入されている (例3) 文字列を左右反転するRLOコードが利用されている

事務連絡cod.scr

事務連絡rcs.doc

RLO: Right-to-Left Override

アラビア語やヘブライ語などをパソコンで使

うための特殊な文字（表示はされない）

ここにRLO文字を挿入すると、次のような見た目になる。

(8)

実際の標的型攻撃メールの例

(9)

【ア－①】【イ－①】【エ－①】【ウ－①】

2.6 標的型攻撃メールの例と見分け方

～取材依頼を装った標的型～

(10)

2.7 標的型攻撃メールの例と見分け方

～就職を装った標的型～

【イ－①】【ア－①】【エ－①】【イ－②】

(11)

2.8 標的型攻撃メールの例と見分け方

～製品・サービスに関する問合せを装った標的型～

【イ－①】

【ア－①】

(12)

2.9 標的型攻撃メールの例と見分け方

～情報セキュリティに関する注意喚起を装った標的型～

【ア－③】【イ－①】【ウ－③】、【ウ－④】実際にクリックした際に表示されるウェブページのURL

(13)

実際の標的型攻撃メールの例

～情報セキュリティに関する注意喚起を装った標的型～



特徴

実際にIPAから提供された注

意喚起文を引用している

フリーメールアドレスを利用

表示上のリンク先は問題なさ

そうに見えるが実際のリンク

先は危険なURL

表示されたリンク先と実際のリンク先が異なる(.xxが追加されている) フリーメールアドレスから送られている一見、IPAからの注意喚起に見えるが

実際は、、

(14)

2.10 標的型攻撃メールの例と見分け方

～心当たりのない決済・配送通知を装った標的型～

【ア－⑤】【ウ－⑤】【イ－①】【エ－①】

(15)

2.11 標的型攻撃メールの例と見分け方

～IDやパスワードの入力を要求する標的型～

(16)

2.12 標的型攻撃メールの例と見分け方

～データエントリー型フィッシング～

【ア－⑥】【ウ－①】

窃取されたメールアカ

ウントの認証情報は、

SPAMメールの踏み台や、

標的型攻撃メールの素

材収集に利用される恐

れも。

(17)

1. 標的型サイバー攻撃への取り組み

2. 標的型攻撃メールの見分け方

3. 添付ファイルの見分け方

(18)

3.1 添付ファイルの例

ファイルの詳細を必ず見る

アイコン上は文書ファイルの様に見えるが…

ショートカットであることを示す「矢印のマーク」

エクスプローラの詳細表示で見ると…

コマンドプロンプトで表示すると…

ショートカットであることがわかる

ショートカットの拡張子

(19)

3.2 添付ファイルの例

ファイルの詳細を必ず見る

エクスプローラで見ると…

実行ファイル（exe）であることがわかる。

また、アイコン偽装されていても、アイコンが表示さ

れないため騙されにくい。

(20)

3.3 添付ファイルの例

拡張子偽装に注意

実際のファイル名

「RLO」による拡

張子偽装

拡張子を表示し

ないと見えない

(21)

3.4 添付ファイルの例

• 実行ファイル（ウイルス）のアイコンは何にでも

偽装できる

• 単純な罠だがそれでも引っかかってしまう人が

いる

アイコン偽装に注意

アイコンや拡張子を信用しない！

（「ファイルの種別」を表示して確認する）

(22)

1. 標的型サイバー攻撃への取り組み

2. 標的型攻撃メールの見分け方

3. 添付ファイルの見分け方

(23)

4.1 標的型攻撃メールの対応

不審メールに気付いた時の対応

・組織内の情報集約窓口（情報システム担当部門など）に連絡

独立行政法人情報処理推進機構(IPA)

標的型サイバー攻撃特別相談窓口

https://www.ipa.go.jp/security/tokubetsu/

・標的型攻撃メールかどうか判らない場合は、以下へ連絡を

(24)

4.2 標的型攻撃メールの対応

添付ファイルを開いたり、不審なURLにアクセスした場合の対応

・標的型攻撃メールの添付ファイル実行、不審ＵＲＬアクセス

→ パソコンがウィルスに感染した可能性

・どうしてよいか判らない場合は、とりあえずＩＰＡに相談を

・緒論あるが、ネットワークからの切り離し（被害拡大の防止）

・不審メールを受信したパソコンの初期化は一考を

→ 初期化すると感染機器や流出情報の特定が困難に

① 証拠保全と業務復旧の両面から対応の決定を

② フォレンジック専門のセキュリティベンダーに相談を

(25)

4.3 標的型攻撃メールの対応

情報共有へのお願い（ Information Sharing ）

・標的型サイバー攻撃情報は局所的である

・操作がよくわからない場合は、ＩＰＡに相談を

・被害の抑止や拡大防止は、局所的な情報を共有し活用するこ

とが最善の策である。

・情報提供いただきたいもの

① まずは転送メール形式

② メールヘッダ情報

・eml形式、msg形式、「ヘッダを表示」で出るテキスト

③ 同件有無の確認

・メールサーバログの確認（From, Received, Date）

情報提供にご協力ください！！

今回のセミナーのために専用の

メールアドレスを作成しました！

expo201505@tks.ipa.go.jp

(26)

?

標的型攻撃メールかな？と思ったら・・・

IPA

へご相談ください！

http://www.ipa.go.jp/security/tokubetsu/

4.4情報提供が標的型サイバー攻撃対策

～サイバー空間利用者みんなの力をあわせて対抗力を～

標的型サイバー攻撃特別相談窓口

電話 03-5978-7599 (対応は、平日の10:00～12:00 および13:30～17:00) E-mail tokusou@ipa.go.jp ※このメールアドレスに特定電子メールを送信しないでください。・不審な日本語・差出人とメールアドレスが不審・不審な添付ファイルやリンク

1. 標的型サイバー攻撃への取り組み 2. 標的型攻撃メールの見分け方 3. 添付ファイルの見分け方 4. 標的型攻撃メールを見つけたら Copyright 2015 独立行政法人情報処理推進機構 1

標的型攻撃メールの傾向と事例分析

独立行政法人 情報処理推進機構（IPA）

技術本部 セキュリティセンター

伊東 宏明

2015/ 05

1. 標的型サイバー攻撃への取り組み

2. 標的型攻撃メールの見分け方

3. 添付ファイルの見分け方

2.1 標的型攻撃メールの例と見分け方

～テクニカルウオッチ～

情報提供いただいた標的型攻撃メールの調査・分析内容を公開し、特徴や傾向の把握に役立てて

いただいています。

2.2 標的型サイバー攻撃分析レポート

～その他のテクニカルウオッチ～

2.3 標的型攻撃メールの例と見分け方

(ア)メールのテーマ

2.4 標的型攻撃メールの例と見分け方

(イ)送信者のメールアドレス

① フリーメールアドレスから送信されている

② 送信者のメールアドレスとメール本文の署名に記載されたメールアドレスが異なる

(ウ)メールの本文

2.5 標的型攻撃メールの例と見分け方

(エ)添付ファイル

事務連絡cod.scr

事務連絡rcs.doc

RLO: Right-to-Left Override

アラビア語やヘブライ語などをパソコンで使

うための特殊な文字（表示はされない）

実際の標的型攻撃メールの例

2.6 標的型攻撃メールの例と見分け方

～取材依頼を装った標的型～

2.7 標的型攻撃メールの例と見分け方

～就職を装った標的型～

2.8 標的型攻撃メールの例と見分け方

～製品・サービスに関する問合せを装った標的型～

2.9 標的型攻撃メールの例と見分け方

～情報セキュリティに関する注意喚起を装った標的型～

実際の標的型攻撃メールの例

～情報セキュリティに関する注意喚起を装った標的型～



特徴

実際にIPAから提供された注

意喚起文を引用している

フリーメールアドレスを利用

表示上のリンク先は問題なさ

そうに見えるが実際のリンク

先は危険なURL

実際は、、

2.10 標的型攻撃メールの例と見分け方

～心当たりのない決済・配送通知を装った標的型～

2.11 標的型攻撃メールの例と見分け方

～IDやパスワードの入力を要求する標的型～

2.12 標的型攻撃メールの例と見分け方

～データエントリー型フィッシング～

窃取されたメールアカ

ウントの認証情報は、

SPAMメールの踏み台や、

標的型攻撃メールの素

材収集に利用される恐

れも。

1. 標的型サイバー攻撃への取り組み

2. 標的型攻撃メールの見分け方

3. 添付ファイルの見分け方

3.1 添付ファイルの例

ファイルの詳細を必ず見る

アイコン上は文書ファイルの様に見えるが…

ショートカットであることを示す「矢印のマーク」

エクスプローラの詳細表示で見ると…

コマンドプロンプトで表示すると…

ショートカットであることがわかる

ショートカットの拡張子

3.2 添付ファイルの例

ファイルの詳細を必ず見る

エクスプローラで見ると…

実行ファイル（exe）であることがわかる。

また、アイコン偽装されていても、アイコンが表示さ

れないため騙されにくい。

3.3 添付ファイルの例

拡張子偽装に注意

独立行政法人情報処理推進機構（IPA）

技術本部セキュリティセンター

伊東宏明

・組織内の情報集約窓口（情報システム担当部門など）に連絡

独立行政法人情報処理推進機構(IPA)

・標的型攻撃メールかどうか判らない場合は、以下へ連絡を

・標的型攻撃メールの添付ファイル実行、不審ＵＲＬアクセス

・どうしてよいか判らない場合は、とりあえずＩＰＡに相談を

・緒論あるが、ネットワークからの切り離し（被害拡大の防止）

・不審メールを受信したパソコンの初期化は一考を

情報共有へのお願い（ Information Sharing ）

・標的型サイバー攻撃情報は局所的である

・操作がよくわからない場合は、ＩＰＡに相談を

・被害の抑止や拡大防止は、局所的な情報を共有し活用するこ

・情報提供いただきたいもの

標的型攻撃メールかな？と思ったら・・・