標的型攻撃メールの傾向と見分け方 - [email protected] @eeee.jp @ffff.jp ① 2015/12...
TRANSCRIPT
Copyright © 2016 独立行政法人 情報処理推進機構
標的型攻撃メールの傾向と見分け方~サイバーレスキュー隊(J-CRAT)の活動を通して~
独立行政法人 情報処理推進機構(IPA)
技術本部 セキュリティセンター
標的型サイバー攻撃特別相談窓口
2016/ 10
Copyright © 2016 独立行政法人 情報処理推進機構 1
1. 標的型サイバー攻撃への取り組み2. 標的型攻撃メールの見分け方3. 添付ファイルの見分け方4. 標的型攻撃メールを見つけたら
Copyright © 2016 独立行政法人 情報処理推進機構 2
1. 標的型サイバー攻撃への取り組み2. 標的型攻撃メールの見分け方3. 添付ファイルの見分け方4. 標的型攻撃メールを見つけたら
Copyright © 2016 独立行政法人 情報処理推進機構 3
1.1 標的型サイバー攻撃に対する取り組み「サイバーセキュリティと経済 研究会」(経産省) 2010/12~での検討政策を受けて展開
Stuxnet
Op. Aurora
RSA
重工被害発覚Titan Rain
国内の政府機関への標的型メールの観測
2003 ~ 2005 2009 2010 2011 2012~ 2013
「脅威と対策研究会」
2014
●2010/12 METI 「サイバーセキュリティと経済研究会」
「標的型サイバー攻撃特別相談窓口」
2011/8設計Guide v1
2013/8設計Guide v3
「情報共有J-CSIP」
2011/10
2012/4
2010/12
サイバーレスキュー隊J-CRAT」
5業界の情報共有体制
標的型攻撃が深刻な脅威に
▼分析レポート ▼分析レポート
レスキュー試行
*1)http://www.ipa.go.jp/about/press/20130829.html*2)http://www.ipa.go.jp/about/technicalwatch/20140130.htm*3)http://www.ipa.go.jp/about/press/20140530.html
*1)
*2)
*3)
システム設計
早期対応
情報共有
▲分析レポート
Lurid/Nitro
政府機関への攻撃Luckycat
APT1 APT12Op.Hydra
Op.DeputyDog
APT17 CVE-2012-0158
PittyTiger
2014/9設計Guide v4
やりとり型、取材・講
演依頼、医療費通知、
Xmas、謹賀新
年・・・
組織間メールを窃
取、ウイルス添付
Poison IvyPlugX
Emdivi
Copyright © 2016 独立行政法人 情報処理推進機構 4
標的型サイバー攻撃に対する初動の遅れは、長期的な被害となります。(APT)
攻撃や被害の把握、対策の早期着手のため、情報収集と、組織の支援を行っています。
1.2 サイバーレスキュー隊(J-CRAT)~活動概要 Since 2014~
公的機関
業界団体、社団・財団
重要産業関連企業
重要産業取引先
情報発信
情報提供支援相談
Web検索サイト巡回
標的型サイバー攻撃特別相談窓口
公開情報の分析・収集
公開情報
ケース1
ケース2
ケース3
サイバーレスキュー隊 (J-CRAT)サイバーレスキュー活動
支援内容
解析
攻撃・被害の可視化
情報収集
JPCERT/CC
情報提供
着手アプローチ
エスカレーション
エスカレーション
ケース1: 標的型サイバー攻撃特別相談窓口に寄せられた支援対象組織からの相談ケース2: 受付した相談から、連鎖的な被害(の可能性のある)組織が推定された場合ケース3: 公開情報の分析、収集により被害(の可能性のある)組織が推定された場合
攻撃・被害の把握
助言
レスキュー支援
J-CSIP 独法連絡会
技術連携
Copyright © 2016 独立行政法人 情報処理推進機構 5
1.3 攻撃パターンの一例~一旦穴が開けば、遠隔から操作できてしまう~
攻撃者
被害者
③送付
標的型攻撃メールに添付された不審なファイル、不審なURLを開いた結果落ちてくるファイルを実行し感染し、C2サーバとの通信が確立されると攻撃者は活動を開始します。そして、少し間をおいて、より深い活動(横展開)に移行し、内部ネットワークを侵攻していきます。
①ウイルス作成
②メール作成準備・宛先・文面
④感染
⑤C2サーバ通信確立
⑥情報収集・メールデータ・PCログインID/Pass・ファイルサーバデータ圧縮/窃取・AD管理者権限
⑤横展開
C2サーバ通信確立後、横展開していきます多くの場合、RAT(遠隔操作ウィルス)による侵攻がみられます
実行ファイル・アイコン偽装・拡張子偽装(RLO)
オフィス文章・ウイルス埋め込み・マクロ埋め込み
Copyright © 2016 独立行政法人 情報処理推進機構 6
1.4 攻撃連鎖対応事例~サイバーレスキュー隊活動から~
組織D
攻撃者
①組織Bを騙った攻撃を確認
②新たな攻撃先(組織C)を確認
情報提供
情報提供・調査支援
情報提供・調査支援・対策支援
組織A 組織B 組織C
③組織Cから組織Dへ攻撃メールが送られていた事実が判明
・ 攻撃の連鎖(組織をまたがった攻撃)が行われている事を確認・ その連鎖を追跡することで、他組織の被害を掘り出すことができる
攻撃
遠隔操作
攻撃「連鎖」をたどることで攻撃実態を把握
4組織への攻撃うち2組織は遠隔操作
メール分析 不審ファイル調査 通信ログ分析
Copyright © 2016 独立行政法人 情報処理推進機構 7
メールによる感染
2014 2015 20162013
アンチウイルスOS/アプリ最新
通信先制御等
不審通信/不審ログインの発見不審レジストリの発見不審ファイル/プロセスの発見定義ファイル更新による検知のようなケースもあるが、多くは気付かずにそのまま放置される
攻撃者のコントロール下にある期間
1.5 長期感染の実態
何らかの理由で攻撃基盤を手放す
被害・攻撃の発見
C2サーバとの不審通信(RATが動かされる状態)
過去に来ていた不審メールの再チェックを(フリーメール、添付有無、拡張子など)
検知できない
Copyright © 2016 独立行政法人情報処理推進機構
1.6 "標的型攻撃の実際"
多くの場合、攻撃は後から気づくもの
多くの場合、攻撃は気づかれずに完了
多くの場合、被害範囲の把握は困難
多くの場合、攻撃のスタートはメールから
標的型は個人・個社・業界をターゲットに
標的型は連鎖して行われる
8
なので、「気付く」が重要なので、「情報共有」が重要
Copyright © 2016 独立行政法人 情報処理推進機構
:オペレーション
標的型サイバー攻撃の脅威と対策
J-CRAT~特定業界を執拗に狙う攻撃キャンペーンの分析~
同一の攻撃者と思われる標的型攻撃を追跡し、2015年11月~2016年3月
までに137件の攻撃メールを収集(まとまった攻撃をキャンペーンと呼ぶ)
共通点を有する業界団体(8団体)を介して、執拗に攻撃を行っている
企業等の正規アカウントを乗っ取り、踏み台にして送るケースが殆どである
本文の類似性の他、ウイルスの添付方法、ウイルスの挙動などが同一である
このキャンペーンは、16のオペレーションに分割でき、攻撃者の挙動分析を実施。
http://www.ipa.go.jp/security/J-CRAT/report/20160629.html
本キャンペーンで悪用された業界団体は主に製造業に関わるは8団体、一般企業を狙った40通の内37通は同一業界で、ある特定の製造業を狙った攻撃であることが分かった。
宛先 メール件数 組織数業界団体 86 8
企業・製造業 37 27
企業・卸売業 2 1
企業・ソフトウェア業 1 1
個人・フリーメール 9 7
不明 2 -
総計 137 44
Copyright © 2016 独立行政法人情報処理推進機構
攻撃全体関連図
B国
送信元B
A国
送信元A
メール送信ホスト
メールリレー メール受信者
プロバイダA
企業B
企業C
複数プロバイダ
プロバイダD
受信組織A
受信組織F
ホスト名B
ホスト名A
ホスト名C
ホスト名D
プロバイダE
ホスト名E
@CCCC.jp
@DDDD.jp
@EEEE.jp
@FFFF.jp
①2015/12
②2015/12
⑤2015/12
④2015/12
⑥2016/1
⑦2016/1
⑧2016/1
⑦2016/1
⑧b2016/1
⑧c2016/1
①2015/12
⑧a2016/1
②2015/12
③2015/12
④2015/12
⑤2015/12
受信組織群D
受信組織群E
受信組織群C
通信先A
通信先B
通信先C
通信先D
通信先E
通信先
受信組織B
@AAAA.jp
@BBBB.jp
③2015/12
⑤
⑥2016/1
①
②
③
④
⑥⑧a
⑧b⑧c
⑦
プロバイダF
ホスト名F
@GGGG.jp
,⑨2016/1
⑨a2016/1
⑨b2016/1
通信先F
⑨a
⑨b
メール送信者(詐称含む)
137通の攻撃メール分析結果
44組織
Copyright © 2016 独立行政法人情報処理推進機構
被害組織は
B国
送信元B
A国
送信元A
メール送信ホスト
メールリレー メール受信者
プロバイダA
企業B
企業C
複数プロバイダ
プロバイダD
受信組織A
受信組織F
ホスト名B
ホスト名A
ホスト名C
ホスト名D
プロバイダE
ホスト名E
@CCCC.jp
@DDDD.jp
@EEEE.jp
@FFFF.jp
①2015/12
②2015/12
⑤2015/12
④2015/12
⑥2016/1
⑦2016/1
⑧2016/1
⑦2016/1
⑧b2016/1
⑧c2016/1
①2015/12
⑧a2016/1
②2015/12
③2015/12
④2015/12
⑤2015/12
受信組織群D
受信組織群E
受信組織群C
通信先A
通信先B
通信先C
通信先D
通信先E
通信先
受信組織B
@AAAA.jp
@BBBB.jp
③2015/12
⑤
⑥2016/1
①
②
③
④
⑥⑧a
⑧b⑧c
⑦
プロバイダF
ホスト名F
@GGGG.jp
,⑨2016/1
⑨a2016/1
⑨b2016/1
通信先F
⑨a
⑨b
メール送信者(詐称含む)
アカウント乗っ取り 同一業界
Copyright © 2016 独立行政法人情報処理推進機構
攻撃者の「持ち物」
B国
送信元B
A国
送信元A
メール送信ホスト
メールリレー メール受信者
プロバイダA
企業B
企業C
複数プロバイダ
プロバイダD
受信組織A
受信組織F
ホスト名B
ホスト名A
ホスト名C
ホスト名D
プロバイダE
ホスト名E
@CCCC.jp
@DDDD.jp
@EEEE.jp
@FFFF.jp
①2015/12
②2015/12
⑤2015/12
④2015/12
⑥2016/1
⑦2016/1
⑧2016/1
⑦2016/1
⑧b2016/1
⑧c2016/1
①2015/12
⑧a2016/1
②2015/12
③2015/12
④2015/12
⑤2015/12
受信組織群D
受信組織群E
受信組織群C
通信先A
通信先B
通信先C
通信先D
通信先E
通信先
受信組織B
@AAAA.jp
@BBBB.jp
③2015/12
⑤
⑥2016/1
①
②
③
④
⑥⑧a
⑧b⑧c
⑦
プロバイダF
ホスト名F
@GGGG.jp
,⑨2016/1
⑨a2016/1
⑨b2016/1
通信先F
⑨a
⑨b
メール送信者(詐称含む)
攻撃基盤 攻撃基盤
Copyright © 2016 独立行政法人 情報処理推進機構 14
1. 標的型サイバー攻撃への取り組み2. 標的型攻撃メールの見分け方3. 添付ファイルの見分け方4. 標的型攻撃メールを見つけたら
Copyright © 2016 独立行政法人 情報処理推進機構
情報提供いただいた標的型攻撃メールの調査・分析内容を公開し、特徴や傾向の把握に役立てていただいています。
15
2.1 IPAテクニカルウォッチ分析レポート
http://www.ipa.go.jp/about/technicalwatch/20111003.html http://www.ipa.go.jp/about/technicalwatch/20121030.html
http://www.ipa.go.jp/security/technicalwatch/20140130.html
2011/3版 2012/10版
2014/1版 2015/10版
https://www.ipa.go.jp/security/technicalwatch/20150109.html
Copyright © 2016 独立行政法人 情報処理推進機構 16
2.2 J-CRAT活動実績から(1)
■メール種別割合(2014/4~2015/3) ■Fromメールアドレス割合(2014/4~2015/3)
添付(圧縮)
364件(60%)添付(非圧縮)
168件(27%)
URLリンク
36件(6%)
添付・URLリンクなし
19件(3%)不明
22件(4%)
N=609
フリーメール
157件(48%)
企業
112件(34%)
省庁
22件(7%)
存在しない
12件(4%)
独立行政法人
9件(3%)大学
5件(1%)その他
11件(3%)
N=328
Copyright © 2016 独立行政法人 情報処理推進機構 17
2.2 J-CRAT活動実績から(2)
■ファイル圧縮形式割合 ■不審ファイル種別
不審ファイル種別割合 (2014/4~2015/3)
zip
253件(69%)
rar
70件(19%)
lzh
26件(7%)
7z
13件(3%)
arj
2件(1%)
gz
2件(1%) cab
1件(0%)
N=367
exe
228件(48%)
マイクロソフトオフィス
108件(23%)
scr
71件(15%)
28件(6%)
cpl, 13, 3%
jar, 6, 1%jtd, 5, 1%
com, 4, 1% lnk, 3, 1% pif, 3, 1%
rtf, 3, 1%
その他, 8, 2%
N=480
Copyright © 2016 独立行政法人 情報処理推進機構
2.3 感染の契機
• 添付ファイルを実行
• ダウンローダーの実行
– マルウェアのドロップ
• メーラーの設定による自動実行
– HTML等
18
• 現在のところ、テキスト形式のメールをメーラーで表示しただけで感染したケース
は公表されていません• 実行しなければ初期侵入が防げます
Copyright © 2016 独立行政法人 情報処理推進機構
2.4 メールの見分け方
• 4つの着眼点
– テーマ(件名)
– 送信者
– メール本文
– 添付ファイル
19
「見分ける」=添付ファイルを開く、実行してしまう前に不審点を見つける
Copyright © 2016 独立行政法人 情報処理推進機構 20
2.4.1 テーマ(件名)
着眼点 過去の標的型攻撃で見られたケース
テーマ
• 知らない人からのメールだが、開封せざるを得ない内容① 新聞社・出版社からの取材申込・講演依頼② 就職活動に関する問合せ・履歴書の送付③ 製品やサービスに対する問い合わせ・クレーム④ アンケート調査⑤ やり取り型メール
• 誤って自分宛に送られたメールの様だが、興味をそそられる内容① 議事録・演説原稿などの内部文書送付② VIP訪問に関する情報
• これまで届いたことがない、公的機関からのお知らせ① 情報セキュリティに関する注意喚起② インフルエンザ流行情報③ 災害情報
Copyright © 2016 独立行政法人 情報処理推進機構 21
2.4.2 送信者とメール本文
着眼点 過去の標的型攻撃で見られたケース
送信者• フリーメールアドレスからの送信
• 送信者のメールアドレスが署名(シグネチャ)と異なる
メール本文
• 言い回しが不自然な日本語
• 日本語では使用されない漢字(繁体字、簡体字)カタカナ
• 正式名称を一部に含むような不審URL
• HTMLメールで、表示と実際のURLが異なるリンク
• 署名の記載内容がおかしい、該当部門が存在しない
Copyright © 2016 独立行政法人 情報処理推進機構 22
2.4.3 添付ファイル
事務連絡cod.scr
事務連絡rcs.doc
RLO: Right-to-Left Overrideアラビア語やヘブライ語などをパソコンで使うための特殊な文字(表示はされない)
ここにRLO文字を挿入すると、次のような見た目になる。
着眼点 過去の標的型攻撃で見られたケース
添付ファイル
• 実行形式ファイル(exe / scr / jar / cpl など)
• ショートカットファイル(lnk / pif / url)
• 実行形式ファイルなのに文書ファイルやフォルダのアイコン
• ファイル名が不審 二重拡張子 ファイル拡張子の前に大量の空白文字を挿入 文字列を左右反転するRLOコードの利用 エクスプローラで圧縮ファイルの内容を表示するとファイル名が文字化け
Copyright © 2016 独立行政法人 情報処理推進機構 23
メールアドレスに不審点はないか
添付ファイルはどんな形式か
使っている漢字や言い回しに不審的はないか
2.5.1 メールサンプル①~取材を装ったケース~
日本で使われていない漢字
URLは正規のURLか
Copyright © 2016 独立行政法人 情報処理推進機構 25
2.5.3 メールサンプル③~情報セキュリティに関する注意喚起を装ったケース~
実際にクリックした際に表示されるウェブページのURL
Copyright © 2016 独立行政法人 情報処理推進機構 28
2.5.6 メールサンプル⑥~データエントリー型フィッシング~
窃取されたメールアカウントの認証情報は、SPAMメールの踏み台や、標的型攻撃メールの素材収集に利用される恐れも。
データエントリーを要求
Copyright © 2016 独立行政法人 情報処理推進機構 29
1. 標的型サイバー攻撃への取り組み2. 標的型攻撃メールの見分け方3. 添付ファイルの見分け方4. 標的型攻撃メールを見つけたら
Copyright © 2016 独立行政法人 情報処理推進機構
3.1 実行形式ファイルの例
• Windowsデフォルト
– exe
– com
– bat
– scr
– cmd
– pif
30
• スクリプト拡張子
– js
– vbs
• アプリケーション
– lnk
– url
– swf
巧妙に隠される実行形式ファイル気付くにはいくつかのポイントがあります
• メールから直接開かない!• ファイルの詳細を必ず見る!
Copyright © 2016 独立行政法人 情報処理推進機構
3.2 ショートカットファイル
リンク先にコマンドを保持
アイコン上は文書ファイルの様に見えるが…
ショートカットであることを示す「矢印のマーク」
エクスプローラの詳細表示で見ると… コマンドプロンプトで表示すると…
ショートカットであることがわかる
ショートカットの拡張子
31
Copyright © 2016 独立行政法人 情報処理推進機構
3.3 アイコン偽装
アイコンを他のものに変更
アイコンや拡張子を信用しない!(「ファイルの種別」を表示して確認する)
32
全てexeファイルだが、アイコンを変更しているためぱっと見、アプリケーションファイルに見える
• 圧縮ファイルも「ファイル詳細」で見ればアイコン表示されずにチェック可能
Copyright © 2016 独立行政法人 情報処理推進機構
3.4 拡張子偽装3種2重拡張子とRLO表示
実際のファイル名
実際のファイル名
「RLO」による拡張子偽装
拡張子を表示しないと見えない
33
↑ファイル名の中に空白を入れている
RLO: Right-to-Left Overrideアラビア語やヘブライ語などをパソコンで使うための特殊な文字。右→左
Copyright © 2016 独立行政法人 情報処理推進機構 34
1. 標的型サイバー攻撃への取り組み2. 標的型攻撃メールの見分け方3. 添付ファイルの見分け方4. 標的型攻撃メールを見つけたら
Copyright © 2016 独立行政法人 情報処理推進機構
4.1 感染時の準備できていますか?
不審メール受信後の手順を明確化
システム部門への報告(情報共有)
実行していた場合は初期化の前にデータ保全
メールログの保存
メールログ調査方法の確立
外部アクセスログの保存
外部アクセスログ調査方法の確立
35
ログが保存されていても、調査方法がわからない、ツールがない、時間がかかるというケースが多い
Copyright © 2016 独立行政法人 情報処理推進機構
?
標的型攻撃メールかな? と思ったら・・・
IPAへご相談ください!
http://www.ipa.go.jp/security/tokubetsu/
4.2 情報提供が攻撃対策~サイバー空間利用者みんなの力をあわせて対抗力を~
36
標的型サイバー攻撃特別相談窓口電話 03-5978-7599
(対応は、平日の10:00~12:00 および13:30~17:00)
E-mail [email protected]※このメールアドレスに特定電子メールを送信しないでください。
・不審な日本語・差出人とメールアドレスが不審・不審な添付ファイルやリンク
組織内での情報共有に加えて
Copyright © 2016 独立行政法人 情報処理推進機構
4.3 情報提供のお願い
不審メールって?
アンチウィルスで検知されない
4つの点で不審点がある件名、送信元、本文、添付ファイル
公開情報で同件がないバラマキ型情報は比較的短期間にWebに
メールの情報提供方法
ヘッダ情報が重要なのでメール全体を「ファイルで保存」msg形式
eml形式
37
Google等で「単語」「メールアドレス」「添付ファイル名」などのキーワード検索
Copyright © 2016 独立行政法人 情報処理推進機構 38
標的型サイバー攻撃に対する初動の遅れは、長期的な被害となります。(APT)
攻撃や被害の把握、対策の早期着手のため、情報収集と、組織の支援を行っています。
4.4 レスキュー活動にご協力ください
公的機関
業界団体、社団・財団
重要産業関連企業
重要産業取引先
情報発信
情報提供支援相談
Web検索サイト巡回
標的型サイバー攻撃特別相談窓口
公開情報の分析・収集
公開情報
ケース1
ケース2
ケース3
サイバーレスキュー隊 (J-CRAT)サイバーレスキュー活動
支援内容
解析
攻撃・被害の可視化
情報収集
JPCERT/CC
情報提供
着手アプローチ
エスカレーション
エスカレーション
ケース1: 標的型サイバー攻撃特別相談窓口に寄せられた支援対象組織からの相談ケース2: 受付した相談から、連鎖的な被害(の可能性のある)組織が推定された場合ケース3: 公開情報の分析、収集により被害(の可能性のある)組織が推定された場合
攻撃・被害の把握
助言
レスキュー支援
J-CSIP 独法連絡会
技術連携
Copyright © 2016 独立行政法人情報処理推進機構
1.WindowsOSのカスタマイズ• ファイル拡張子の表示
2.Officeアプリケーションのカスタマイズ• マクロ無効化
3.メーラー(メールソフト)のカスタマイズ①差出人(From)表示を 「表示名+メールアドレス」 にする②差出人がフリーメールの場合は件名スタンプをつける③特定添付ファイル(exe、zip+exe、LZH)は受け取らない④Fromヘッダーを詐称しているメールは受け取らない
4.ブラウザの使い分け• 脆弱性が多いといわれるIEは業務アプリでしか使わない
5.不要なアプリの削除• JAVA、FlashPlayer等
利用者向け対策例