標的型攻撃メールの傾向と見分け方 ~ サイバーレスキュー隊 (J-CRAT) の活動を通して ~ 2016/ 10 独立行政法人情報処理推進機構 (IPA) 技術本部セキュリティセンター標的型サイバー攻撃特別相談窓口 Copyright 2016 独立行政法人情報処理推進機構

(1)

標的型攻撃メールの傾向と見分け方

～サイバーレスキュー隊(Ｊ－ＣＲＡＴ)の活動を通して～

独立行政法人情報処理推進機構（IPA）

技術本部セキュリティセンター

標的型サイバー攻撃特別相談窓口

2016/ 10

(2)

₁

1. 標的型サイバー攻撃への取り組み

2. 標的型攻撃メールの見分け方

3. 添付ファイルの見分け方

(3)

₂

1. 標的型サイバー攻撃への取り組み

2. 標的型攻撃メールの見分け方

3. 添付ファイルの見分け方

(4)

₃

1.1 標的型サイバー攻撃に対する取り組み

「サイバーセキュリティと経済研究会」(経産省) 2010/12～

での検討政策を受けて展開

Stuxnet

Op. Aurora RSA

重工

被害

発覚

Titan Rain

国内の政府機関への

標的型メールの観測

2003

_~

2005

_~

2009

2010

2011

2012

2013

「脅威と対策

研究会」

2014

●2010/12

METI 「ｻｲﾊﾞｰｾｷｭﾘﾃｨと経済研究会」

「標的型サイバー

攻撃特別相談窓口」

2011/8

設計Guide v1

2013/8

設計Guide v3

「情報共有

J-CSIP」

2011/10

2012/4

2010/12

サイバー

ﾚｽｷｭｰ隊

J-CRAT」

５業界の情報共有体制

標的型攻撃が深刻な脅威に

▼分析ﾚﾎﾟｰﾄ ▼分析ﾚﾎﾟｰﾄ

ﾚｽｷｭｰ試行

*1)http://www.ipa.go.jp/about/press/20130829.html *2)http://www.ipa.go.jp/about/technicalwatch/20140130.htm *3)http://www.ipa.go.jp/about/press/20140530.html

＊１）

＊２）

＊３）

システム設計

早期対応

情報共有

▲分析ﾚﾎﾟｰﾄ

Lurid/Nitro

政府機関への攻撃

Luckycat

APT1 APT12 Op.Hydra

Op.DeputyDog APT17 CVE-2012-0158 PittyTiger

2014/9

設計Guide v4

やりとり型、取材・講演依頼、医療費通知、 Xmas、謹賀新年・・・組織間メールを窃取、ウイルス添付

Poison Ivy

PlugX

Emdivi

(5)

₄

標的型サイバー攻撃に対する初動の遅れは、長期的な被害となります。（APT）

攻撃や被害の把握

、

対策の早期着手

のため、

情報収集と、組織の支援を行っています

。

1.2 サイバーレスキュー隊（J-CRAT）

～活動概要 Since 2014～

公的機関

業界団体、

社団・財団

重要産業

取引先

情報発信

情報提供

支援相談

Web検索

サイト巡回

標的型サイバー攻撃

特別相談窓口

公開情報の

分析・収集

公開情報

ケース１

ケース２

ケース３

サイバーレスキュー隊 (

J-CRAT

)

サイバーレスキュー活動

支援内容

解析

攻撃・被害

の可視化

情報収集

JPCERT/CC

情報提供

着手アプローチ

エスカレーション

ケース1：標的型サイバー攻撃特別相談窓口に寄せられた支援対象組織からの相談

ケース2：受付した相談から、連鎖的な被害（の可能性のある）組織が推定された場合

ケース3：公開情報の分析、収集により被害（の可能性のある）組織が推定された場合

攻撃・被害

の把握

助言

レスキュー支援

J-CSIP

独法連絡会

技術連携

(6)

₅

1.3 攻撃パターンの一例

～一旦穴が開けば、遠隔から操作できてしまう～

攻撃者

被害者

③送付

標的型攻撃メールに添付された不審なファイル、不審なURLを開いた結果落ちてくるファイルを

実行し

感染

し、C2サーバとの通信が確立されると

攻撃者は活動を開始

します。そして、少し間

をおいて、より

深い活動（横展開）

に移行し、内部ネットワークを侵攻していきます。

①ウイルス作成

②メール作成準備

・宛先

・文面

④感染

⑤C2サーバ通信確立

⑥情報収集

・メールデータ

・PCログインID/Pass

・ファイルサーバデータ圧縮/窃取

・

AD管理者権限

⑤横展開

C2サーバ通信確立後、横展開していきます

多くの場合、

RAT（遠隔操作ウィルス）

による侵攻がみられます

実行ファイル

・アイコン偽装

・拡張子偽装（RLO）

オフィス文章

・ウイルス埋め込み

・マクロ埋め込み

(7)

₆

1.4 攻撃連鎖対応事例

～サイバーレスキュー隊活動から～

組織D

攻撃者

①組織Bを騙った

攻撃を確認

②新たな攻撃先

(組織C)を確認

情報提供

情報提供・調査支援

情報提供・調査支援・対策支援

組織A

組織B

組織C

③組織Cから組織Dへ

攻撃メールが送られてい

た事実が判明

・攻撃の連鎖(組織をまたがった攻撃)が行われている事を確認

・その連鎖を追跡することで、他組織の被害を掘り出すことができる

攻撃

遠隔操作

攻撃「

連鎖

」をたどることで攻撃実態を把握

4組織への攻撃

うち２組織は遠隔操作



メール分析



不審ファイル調査



通信ログ分析

(8)

₇

メールによる感染

2014

2015

2016

2013

アンチウイルス

OS/アプリ最新

通信先制御等

不審通信/不審ログインの発見

不審レジストリの発見

不審ファイル/プロセスの発見

定義ファイル更新による検知

のようなケースもあるが、多くは

気付かずにそのまま放置される

攻撃者のコントロール下にある期間

1.5 長期感染の実態

何らかの理由で

攻撃基盤を手放す

被害・攻撃の発見

C2サーバとの不審通信（RATが動かされる状態）

過去に来ていた不審メールの再チェックを

(フリーメール、添付有無、拡張子など)

検知できない

(9)

1.6 "標的型攻撃の実際"



多くの場合、攻撃は

後から

気づくもの



多くの場合、攻撃は

気づかれず

に完了



多くの場合、被害

範囲

の把握は困難



多くの場合、攻撃のスタートは

メール

から



標的型は個人・個社・

業界

をターゲットに



標的型は

連鎖して

行われる

8 なので、「気付く」が重要

なので、「情報共有」が重要

(10)

直近の分析レポートから

(11)

：オペレーション

標的型サイバー攻撃の脅威と対策

J-CRAT

～特定業界を執拗に狙う攻撃キャンペーンの分析～

 同一の攻撃者と思われる標的型攻撃を追跡し、2015年11月～2016年3月

までに137件の攻撃メールを収集（まとまった攻撃を

キャンペーン

と呼ぶ）

 共通点を有する業界団体（8団体）を介して、執拗に攻撃を行っている

 企業等の正規アカウントを乗っ取り、踏み台にして送るケースが殆どである

 本文の類似性の他、ウイルスの添付方法、ウイルスの挙動などが同一である

このキャンペーンは、16の

オペレーションに分割でき、

攻撃者の挙動分析を実施。

http://www.ipa.go.jp/security/J-CRAT/report/20160629.html

本キャンペーンで悪用された業界団体は主に

製造業に関わるは8団体、一般企業を狙った40通の

内37通は同一業界で、ある特定の製造業を

狙った攻撃であることが分かった。

宛先

メール件数

組織数

業界団体

86

8 企業・製造業

37

27 企業・卸売業

2

1 企業・ソフトウェア業

1

1 個人・フリーメール

9

7 不明

2 -総計

137

44

(12)

攻撃全体関連図

B国

送信元B

A国

送信元A

メール送信ホストメールリレーメール受信者プロバイダA 企業B 企業C 複数プロバイダプロバイダD 受信組織A 受信組織F ホスト名B ホスト名A ホスト名C ホスト名D プロバイダE ホスト名E @CCCC.jp @DDDD.jp @EEEE.jp @FFFF.jp ①2015/12 ②2015/12 ⑤2015/12 ④2015/12 ⑥2016/1 ⑦2016/1 ⑧2016/1 ⑦2016/1 ⑧b2016/1 ⑧c2016/1 ①2015/12 ⑧a2016/1 ②2015/12 ③2015/12 ④2015/12 ⑤2015/12 受信組織群D 受信組織群E 受信組織群C 通信先A 通信先B 通信先C 通信先D 通信先E 通信先受信組織B @AAAA.jp @BBBB.jp ③2015/12 ⑤ ⑥2016/1 ① ② ③ ④ ⑥ ⑧a ⑧b ⑧c ⑦ プロバイダF ホスト名F @GGGG.jp ,⑨2016/1 ⑨a2016/1 ⑨b2016/1 通信先F ⑨a ⑨b メール送信者(詐称含む)

137通の攻撃メール

分析結果

44組織

(13)

被害組織は

B国

送信元B

A国

送信元A

アカウント乗っ取り

同一業界

(14)

攻撃者の「持ち物」

B国

送信元B

A国

送信元A

攻撃基盤

(15)

₁₄

1. 標的型サイバー攻撃への取り組み

2. 標的型攻撃メールの見分け方

3. 添付ファイルの見分け方

(16)

情報提供いただいた標的型攻撃メールの調査・分析内容を公開し、特徴や傾向の把握に役立てていただ

いています。

15 2.1 IPAテクニカルウォッチ分析レポート

http://www.ipa.go.jp/about/technicalwatch/20111003.html http://www.ipa.go.jp/about/technicalwatch/20121030.html http://www.ipa.go.jp/security/technicalwatch/20140130.html

2011/3版

2012/10版

2014/1版

_2015/10版

https://www.ipa.go.jp/security/technicalwatch/20150109.html

(17)

₁₆

2.2 J-CRAT活動実績から(1)

■メール種別割合

（2014/4～2015/3）

■Fromメールアドレス割合

（2014/4～2015/3）

添付(圧縮)

364件(60%)

添付(非圧縮)

168件(27%)

URLリンク

36件(6%)

添付・URLリンクなし

19件(3%)

不明

22件(4%)

N=609

フリーメール

157件(48%)

企業

112件(34%)

省庁

22件

(7%)

存在しない

12件(4%)

独立行政法人

9件(3%)

_5件(1%)

大学

その他

11件(3%)

N=328

(18)

₁₇

2.2 J-CRAT活動実績から(2)

■ファイル圧縮形式割合

■不審ファイル種別

不審ファイル種別割合

（2014/4～2015/3）

zip

253件(69%)

rar

70件(19%)

lzh

26件(7%)

7z

13件(3%)

arj

2件(1%)

gz

2件(1%)

cab

1件(0%)

N=367

exe

228件(48%)

マイクロソフトオフィス

108件(23%)

scr

71件(15%)

pdf

28件(6%)

cpl, 13, 3%

jar, 6, 1%

jtd, 5, 1%

com, 4, 1%

_{lnk, 3, 1% pif, 3,}

1%

rtf, 3, 1%

その他, 8,

2%

N=480

(19)

2.3 感染の契機

• 添付ファイルを

実行

• ダウンローダーの

実行

–

マルウェアのドロップ

• メーラーの設定による自動

実行

–

HTML等

18 • 現在のところ、テキスト形式のメールを

メーラーで表示しただけで感染したケース

は公表されていません

• 実行しなければ

初期侵入

が防げます

(20)

2.4 メールの見分け方

• ４つの着眼点

–

テーマ（件名）

–

送信者

–

メール本文

–

添付ファイル

19 「見分ける」

＝添付ファイルを開く、実行してし

まう前に不審点を見つける

(21)

₂₀

2.4.1 テーマ（件名）

着眼点

過去の標的型攻撃で見られたケース

テーマ

• 知らない人からのメールだが、開封せざるを得ない内容

① 新聞社・出版社からの取材申込・講演依頼

② 就職活動に関する問合せ・履歴書の送付

③ 製品やサービスに対する問い合わせ・クレーム

④ アンケート調査

⑤ やり取り型メール

• 誤って自分宛に送られたメールの様だが、興味をそそられる内容

① 議事録・演説原稿などの内部文書送付

② VIP訪問に関する情報

• これまで届いたことがない、公的機関からのお知らせ

① 情報セキュリティに関する注意喚起

② インフルエンザ流行情報

③ 災害情報

(22)

₂₁

2.4.2 送信者とメール本文

着眼点

過去の標的型攻撃で見られたケース

送信者

• フリーメールアドレス

からの送信

• 送信者のメールアドレスが署名（シグネチャ）と

異なる

メール本文

• 言い回しが

不自然

な日本語

• 日本語では使用されない

漢字

（繁体字、簡体字）

カタカナ

• 正式名称を一部

に含むような不審URL

• HTMLメールで、表示と

実際のURL

が異なるリンク

• 署名の記載内容がおかしい、該当部門が存在しない

(23)

₂₂

2.4.3 添付ファイル

事務連絡cod.scr

事務連絡rcs.doc

RLO: Right-to-Left Override

アラビア語やヘブライ語などをパソコンで使うため

の特殊な文字（表示はされない）

ここにRLO文字を挿入すると、

次のような見た目になる。

着眼点

過去の標的型攻撃で見られたケース

添付ファイル

• 実行形式ファイル（exe / scr / jar / cpl など）

• ショートカットファイル（lnk / pif / url）

• 実行形式ファイルなのに文書ファイルや

フォルダのアイコン

• ファイル名が不審

 二重拡張子

 ファイル拡張子の前に大量の空白文字を挿入

 文字列を左右反転するRLOコードの利用

 エクスプローラで圧縮ファイルの内容を表示するとファイル名が文字化け

(24)

23

メールアドレスに不審点はないか添付ファイルはどんな形式か使っている漢字や言い回しに不審的はないか

2.5.1 メールサンプル①

～取材を装ったケース～

日本で使われていない漢字 URLは正規のURLか

(25)

₂₄

2.5.2 メールサンプル②

～就職を装ったケース～

(26)

₂₅

2.5.3 メールサンプル③

～情報セキュリティに関する注意喚起を装ったケース～

実際にクリックした際に表示されるウェブペー

ジのURL

(27)

₂₆

2.5.4 メールサンプル④

～心当たりのない決済・配送通知を装った標的型～

日本であまり使われない圧縮形式（rar）

(28)

₂₇

2.5.5 メールサンプル⑤

～IDやパスワードの入力を要求する標的型～

(29)

₂₈

2.5.6 メールサンプル⑥

～データエントリー型フィッシング～

窃取されたメールアカウント

の認証情報は、SPAM

メールの踏み台や、標的型

攻撃メールの素材収集に

利用される恐れも。

データエントリーを要求

(30)

₂₉

1. 標的型サイバー攻撃への取り組み

2. 標的型攻撃メールの見分け方

3. 添付ファイルの見分け方

(31)

3.1 実行形式ファイルの例

• Windowsデフォルト

–

exe

–

com

–

bat

–

scr

–

cmd

–

pif

30

• スクリプト拡張子

–

js

–

vbs

• アプリケーション

–

lnk

–

url

–

swf

巧妙に隠される実行形式ファイル

気付くにはいくつかのポイントがあります

• メールから直接開かない！

• ファイルの詳細を必ず見る！

(32)

3.2 ショートカットファイル

リンク先にコマンドを保持

アイコン上は文書ファイルの様に見えるが…

ショートカットであることを示す「矢印のマーク」

エクスプローラの詳細表示で見ると…

コマンドプロンプトで表示すると…

ショートカットであることがわかる

ショートカットの拡張子

31

(33)

3.3 アイコン偽装

アイコンを他のものに変更

アイコンや拡張子を信用しない！

（「ファイルの種別」を表示して確認する）

32 全てexeファイルだが、アイコンを変更しているため

ぱっと見、アプリケーションファイルに見える

• 圧縮ファイルも「ファイル詳細」で見れば

アイコン表示されずにチェック可能

(34)

3.4 拡張子偽装３種

２重拡張子とRLO表示

実際のファイル名

「RLO」による拡

張子偽装

拡張子を表示し

ないと見えない

33 ↑ファイル名の中に空白を入れている

RLO: Right-to-Left

Override

アラビア語やヘブライ語などを

パソコンで使うための特殊な

文字。右→左

(35)

₃₄

1. 標的型サイバー攻撃への取り組み

2. 標的型攻撃メールの見分け方

3. 添付ファイルの見分け方

(36)

4.1 感染時の準備できていますか？



不審メール受信後の手順を明確化



システム部門への報告（情報共有）



実行していた場合は初期化の前に

データ保全



メールログの保存



メールログ

調査方法の確立



外部アクセスログの保存



外部アクセスログ

調査方法の確立

35 ログが保存されていても、調査方法がわからない、ツー

ルがない、時間がかかるというケースが多い

(37)

?

標的型攻撃メールかな？と思ったら・・・

IPA

へご相談ください！

http://www.ipa.go.jp/security/tokubetsu/

4.2 情報提供が攻撃対策

～サイバー空間利用者みんなの力をあわせて対抗力を～

36 標的型サイバー攻撃特別相談窓口

電話 03-5978-7599 (対応は、平日の10:00～12:00 および13:30～17:00) E-mail [email protected] ※このメールアドレスに特定電子メールを送信しないでください。

・不審な日本語

・差出人とメールアドレスが不審

・不審な添付ファイルやリンク

組織内での情報共有に加えて

(38)

4.3 情報提供のお願い



不審メールって？



アンチウィルスで検知されない



４つの点で不審点がある



件名、送信元、本文、添付ファイル

 公開情報で同件がない



バラマキ型情報は比較的短期間にWebに



メールの情報提供方法



ヘッダ情報が重要なのでメール全体を「ファイルで保存」



msg形式



eml形式

37 Google等で「単語」「メー

ルアドレス」「添付ファイル

名」などのキーワード検索

(39)

₃₈

標的型サイバー攻撃に対する初動の遅れは、長期的な被害となります。（APT）

攻撃や被害の把握

、

対策の早期着手

のため、

情報収集と、組織の支援を行っています

。

4.4 レ

スキュー活動にご協力ください

公的機関

業界団体、

社団・財団

重要産業

取引先

情報発信

情報提供

支援相談

Web検索

サイト巡回

標的型サイバー攻撃

特別相談窓口

公開情報の

分析・収集

公開情報

ケース１

ケース２

ケース３

サイバーレスキュー隊 (

J-CRAT

)

サイバーレスキュー活動

支援内容

解析

攻撃・被害

の可視化

情報収集

JPCERT/CC

情報提供

着手アプローチ

エスカレーション

ケース1：標的型サイバー攻撃特別相談窓口に寄せられた支援対象組織からの相談

ケース2：受付した相談から、連鎖的な被害（の可能性のある）組織が推定された場合

ケース3：公開情報の分析、収集により被害（の可能性のある）組織が推定された場合

攻撃・被害

の把握

助言

レスキュー支援

J-CSIP

独法連絡会

技術連携

(40)

TIPS

(41)

1. WindowsOSのカスタマイズ

• ファイル拡張子の表示

2. Officeアプリケーションのカスタマイズ

• マクロ無効化

3. メーラー（メールソフト）のカスタマイズ

① 差出人（From）表示を「表示名＋メールアドレス」にする