広 報 資 料 平 成 2 5 年 8 月 2 2 日 警備企画課・情報技術解析課 平成25年上半期のサイバー攻撃情勢について 1 概況 平成25年上半期も引き続き、我が国の民間事業者等に対し、情報窃取を企図 したとみられるサイバー攻撃(標的型メール攻撃)が発生 同期間中、民間事業者等に送付されていたとして警察が把握した標的型メー ル攻撃の件数は、「ばらまき型」攻撃の減少により、前年同期と比べ大幅減とな ったが、その手口は巧妙化 2 標的型メール攻撃の情勢と特徴 ○ 平成25年上半期に警察が把握した標的 型メールは201件で、前年同期比▲351件 (▲63.6%) ○ 把握件数減少の要因は、国内外の情勢 に乗じて情報提供等を詐称するメールを 関係各方面に大量に送付する「ばらまき 型」攻撃の減少 ○ その一方、業務に関連する内容のメールのやりとりを何通か行った上で標 的型メールを送付する「やりとり型」攻撃は、昨年1年間で2件であったも のが、本年上半期だけで33件確認。やりとりの内容は、採用に関する質問等 が5割強、製品に関する不具合の問合せ等が約3割 ○ 標的型メールの送信元アドレスは、フリーメールアドレスを使用するもの が6割強 ○ 送り付けられた不正プログラムの半数は、見かけ上、画像ファイルや文書 ファイルに偽装 ○ 標的型メール攻撃に使用 された不正プログラム等に よる通信の接続先は、米国 が約25%、韓国が約17%、 香港が約12%、タイが約11% と、そのほとんどが外国 3 今後の対応 手口の特徴を基に注意喚起を行うとともに、情報提供の呼び掛けを行う予定 【警察が把握した標的型メール攻撃の件数】 509 552 457 201 0 100 200 300 400 500 600 H23下半期 H24上半期 H24下半期 H25上半期 2 5 % 1 7 % 1 2 % 1 1 % 6 % 6 % 5 % 1 7 % 米 国韓 国 香 港 タ イ カ ナ ダ ベ ト ナ ム 中 国 そ の 他 【 W o r d 文 書 に 偽 装 し た 不正プログラム】 【H25上半期の標的型メール攻撃に 使用された不正プログラム等の接続先】
*1 平成23年8月に警察と先端技術を有する事業者等が構築したネットワークで、本年8月 1日現在、約5,000社が参画 *2 同じ文面や不正プログラムが10か所以上に送付されていた標的型メール攻撃を「ばらま き型」として集計 別 紙 平成25年上半期のサイバー攻撃情勢について 1 概況 警察では、「サイバーインテリジェンス情報共有ネットワーク*1 」を通じ、標 的型メール攻撃等のサイバー攻撃事案に係る情報を集約するとともに、事業者 等による情報システムの防護に資する分析結果等の情報を共有している。警察 は、平成25年上半期中、本ネットワークを通じて、事業者等に対する標的型メ ール攻撃201件(前年同期比▲351件(▲63.6%))を把握した。また、政府機関 に対する標的型メール攻撃に関する情報を集約・分析している内閣官房情報セ キュリティセンター(NISC)と連携し、政府機関に送付された標的型メールの 分析結果についても、本ネットワークを通じて事業者等と情報共有している。 共有された情報を基に各事業者等が対策を講じた結果、新たに143件の標的型メ ール攻撃が把握されており、被害の未然防止や拡大防止につながっている。 2 標的型メール攻撃の手口 (1) 「ばらまき型」が減少 標的型メール攻撃の手口については、国内外の情勢を捉えた情報提供を装 い多数の宛先に同一のメールを送付する「ばらまき型」の攻撃が、昨年に比 べて大幅に減少した。「ばらまき型」の攻撃は、同じ文面や不正プログラムを 多数送信することから、受信者が不審に思う可能性が高まり、攻撃の事実が 発覚しやすい。「ばらまき型」の攻撃が減少したことで、少数の攻撃先に特化 した不正プログラムや文面を使用する標的型メール攻撃の割合が、相対的に 増加した。 ばらまき型*2 ばらまき型以外 24年中 88% 12% 25年上半期 24% 76% 【ばらまき型とそれ以外の標的型メール攻撃の割合】
*3 無料で利用可能なメールアドレスであり、国内外の様々な事業者によるサービスが提供 されている。 (2) 「やりとり型」が増加 「やりとり型」の標的型メール攻撃は、攻撃対象にいきなり不正プログラ ムを送付するのではなく、採用活動や取引等の業務との関連を装った通常の メールのやりとりを何通か行うことにより、添付ファイル付きのメールが送 られても不自然ではない状況を作った上で、不正プログラムを添付したメー ルを送り付ける手口である。「やりとり型」の攻撃は、平成24年には年間を通 じて2件であったのに対し、25年上半期には半年間で33件と大幅に増加した。 やりとりするメール本文に記載された内容は、5割超が職員採用に対する 質問や応募を装ったものであり、約3割が製品に関する質問や不具合の報告 を装ったものであった。不正プログラムは、履歴書、質問状、不具合の状況 等を記録した文書ファイルと称して、送付されていた。また、やりとりを開 始する1通目のメールの内容は、約7割が問合せ先のメールアドレスを確認 するものであった。 攻撃を受けたメールアドレスは、約8割が対象組織等のホームページ上で 公開されているものであった。したがって、ホームページ上で公開している メールアドレスのように、不特定多数からのメールを受信する機会の多いパ ソコンは、組織内の通常業務用のパソコンのネットワークとは分離した専用 のものとし、必要のないプログラムが動作しない仕組みを導入するなどの対 策を講じることが重要である。 (3) フリーメールアドレス*3 を送信元とする標的型メールが増加 標的型メールの送信元アド レスとして、フリーメールア ドレスを使用するものの割合 が増加している。25年上半期 には、6割超の標的型メール がフリーメールアドレスから 送信されており、特に「やり とり型」の攻撃は、全てフリーメールアドレスから送信されている。 このような攻撃に対しては、メールサーバの設定により、フリーメールア ドレスから送信されたメールを受信した場合は、件名や本文に警告を表示し、 受信者に注意を促すなどの対策を講じることが重要である。 【フリーメールアドレスを送信元とする標的型メール攻撃の割合】 26% 49% 62% 0% 20% 40% 60% 80% 100% H24上半期 H24下半期 H25上半期
*4 複数の電子ファイルのデータサイズを縮小し、1つの電子ファイルにまとめたもの (4) 送り付けられた不正プログラムのファイル形式等の特徴 ア 全体の半数が圧縮ファイルを添付する手口 標的型メール攻撃で使用される不正プログラムのファイル形式は、全体 の半数が圧縮ファイル形式(ZIP形式・RAR形式・LZH形式)*4 であり、主に 日本国内でのみ使用されているLZH形式が占める割合が、昨年よりも増加し た。これら圧縮ファイルを展開(解凍)して生成される不正プログラムの 約9割が、実行ファイル形式であった。 実行ファイル形式の電子ファイルは、制作者の設定により任意のアイコ ン画像を表示させることが可能であるため、画像ファイルや文書ファイル のアイコンを偽装することにより、受信者に誤信させて不正プログラムを 実行させようとする手口が目立つ。平成24年中は、ほぼ半数に偽装が施さ れており、そのほとんどがWord文書ファイルのアイコンを表示するよう偽 装されていた。これに対し、25年上半期には、ほぼ全ての不正プログラム に偽装が施されており、半数がWord文書ファイル、約3割が画像(JPEG) ファイルのアイコンを表示するよう偽装されていた。 イ Excelブック形式の添付ファイルが増加 圧縮されていないファイル形式の添付ファイルについては、25年上半期 には表計算ソフトウェアであるExcelのブック形式(拡張子が「xls」のも の)が最も多かった。当該ファイル形式を使用した標的型メールの内容に は、同窓会名簿や住所録の送付を偽装したものが多く見られた。 22% 19% 9% 33% 10% 4% 2% 1% 圧縮ファイル(zip) 圧縮ファイル(lzh) 圧縮ファイル(rar) Excelブック(xls) Word文書(doc) 実行ファイル(exe) PDFファイル(pdf) 一太郎文書(jtd) 平成24年 平成25年上半期 【標的型メールに添付された不正プログラムのファイル形式】 50% 0% 1% 6% 40% 0%2% 1% 圧縮ファイル(zip) 圧縮ファイル(lzh) 圧縮ファイル(rar) Excelブック(xls) Word文書(doc) 実行ファイル(exe) PDFファイル(pdf) その他
*5 アラビア語等に対応するため、ファイル名を右読みから左読みに変える機能で、例えば ファイル名「fdp.exe」は、RLO機能を使用すると「exe.pdf」と表示されるため、実行ファ イルをPDFファイルに偽装することができる。 3 標的型メール攻撃の事例 (1) 採用窓口に対する質問を装った「やりとり型」の攻撃 企業のウェブサイトに公開されている採用窓口のメールアドレスに対し、 転職に関する質問を受け付けているかどうかを確認するメールが送付された。 当該企業から返信した後に、質問書を送付すると称して、正常なExcelブック 形式ファイルと不正プログラムを仕込んだ圧縮ファイルの2つを添付したメ ールが送付された。 圧縮ファイルのパスワードはメール本文に記載されており、圧縮ファイル を展開(解凍)して生成される実行形式ファイルは、アイコンがWord文書に 偽装された上で、RLO機能*5 によりファイル名もWord文書に見えるよう偽装さ れていた。 (2) 国内外の情勢を捉えた「ばらまき型」の攻撃 本年2月、米国情報セキュリティ関連企業であるマンディアント社が、米 国に対するサイバー攻撃への中国軍の関与を指摘するレポートを公表した直 後、「「中国軍がサイバー攻撃」 米最新報告」と題したメールや、米国の対 中戦略に関する資料送付を装ったメールが送付された。 これらのメールの本文は、マンディアント社のレポートや米国の対中戦略 について、日本国内で発行された新聞記事や雑誌記事を引用して作成されていた。 メールには、不正プログラムを仕込んだPDFファイルと圧縮ファイルの2つが 添付されていた。圧縮ファイルを展開(解凍)して生成される実行形式ファ イルは、アイコンがWord文書に偽装されていた。
