「標的型攻撃」というキーワードを聞いても、漠然としたイメージしか沸かないという方が多いでしょう。標的型攻撃では、さまざまな経路からあなたの情報を収集し、ピンポイントであなたから会社の重要なデータを盗み取ろうと、攻撃者が画策しています。そこで今回は、攻撃者がどのようにメールであなたを狙ってくるのか、実例を交えて解説します。○執拗な攻撃とは?前回は、複合機からのメールを装った攻撃を例に、攻撃者が手を替え品を替え、だましの手口を進化させており、常に「新しい攻撃が来る」ことを前提に"対応する意識"を持ってもらうことが大切であるとお伝えしました。また、前々回、前回の事例は、通称「ばらまき型」と言われるもので、一つ一つの攻撃メールの例を見てきました。しかし、これらの事例では重要な特徴の1つである「執拗な攻撃」という特徴について実感できなかったのではないでしょうか?今回はこの「執拗な攻撃」が、どのように行われているかをご紹介します。○ばらまき型とその他の違いその前段として、「ばらまき型以外」の攻撃メールについてお話しましょう。「ばらまき型」は、つい開いてしまうような内容のメール多くの人に送り、マルウェアである添付ファイルを開かせたり、攻撃を仕込んだWebサイトへアクセスさせたりすることで、攻撃を成立させようとしてきます。送ったメールのうち少しでも攻撃が成功すれば、そのパソコンを踏み台に探査・感染を広げ、次の攻撃の足掛かりにします。「ばらまき型以外」では、攻撃の手口を広めないためにも、多くの人にはメールを送らない傾向があります。攻撃者が窃取したい情報を定めて戦略的にオンライン、オフラインを問わずに情報収集などの攻撃準備を行い、攻撃の確度を高めて情報の窃取を狙います。このような攻撃は1通のメール単体で見ていても、攻撃の全体像が見えてきません。通称「やり取り型」と呼ばれるような手口などがこのような事例に当てはまります。やや古い事例にはなりますが、「やり取り型」の2012年の事例について、情報処理推進機構(IPA)から2014年5月に詳細な報告(概要、活動レポート、添付資料)がされています。こちらの報告はさまざまなメディアでよく取り上げられていたので、覚えている人もいるのではないでしょうか。報告書が公開された時点では、この攻撃者(グループ)からの攻撃は一時やんでいたようですが、その後2014年8月~10月ごろに活動を再開しており、IPAから注意喚起が行われていました。それぞれの事例から「やりとり型」の攻撃がどういうものか、またその手口がどのように進化しているかを見てみましょう。まずは2012年10月の攻撃について、具体的なやりとりの概要を見てみます。攻撃の発端は無害な偵察メールから始まります(#4-1)。この偵察メール自体には何も脅威となるようなものはなく、この偵察メールにターゲットの受信者が返信(#4-2)することで攻撃者は添付ファイルとしてマルウェアを送りつけます(#4-3)。しかし、ここで攻撃が終わりではありません。攻撃が成功していないことがわかると、ターゲットの受信者からのメール(#4-4)で反応を伺いつつ、その場で攻撃手口を見直して次のマルウェアを送りつけます(#4-5)。この攻撃もアーカイブされたファイルが開けずにうまく行かないとわかると(#4-6)、ターゲットの受信者に環境をヒアリング(#4-7、#4-8)した上で、ヒアリングから1時間もかからない短時間で問題点を解消してさらに次のマルウェアを送りつけて攻撃を続けています(#4-9)。「やりとり型」攻撃では、1回分の攻撃の手口だけを見ても、執拗に攻撃を続けて成功させようとしていることが見てとれます。まさに、「執拗な攻撃」の典型です。みなさんにこのようなメールが来たらどのように対応できるでしょうか?外部からの問い合わせなどに対応する業務をしている場合は、多少の不審点があっても添付ファイルを開いて確認してしまうのではないでしょうか。また、外部からの問い合わせに直接対応しないような業務だとしても、対応窓口の人からこのようなやり取りと合わせてメールが転送されてきたらどうでしょうか。このように製品の問い合わせなど、企業として対応せざるを得ない立場の人を狙い、日本語での自然なやり取りを通して学習しつつ、マルウェアを開かせようとします。また、1回分の攻撃に限らず、この攻撃者はしばらく期間をおき、同じ組織への攻撃を繰り返すなど執拗に攻撃を繰り返していると報告されています。次に同じ攻撃者(グループ)であると考えられる攻撃について、2年後の2014年8月の事例を見てみましょう。こちらの攻撃でも2012年10月の攻撃と同様に偵察メールに始まり、やり取りをしながら添付ファイルを開かせようとしています。全体としては似たような流れですが、ここで着目すべきは、ターゲットの受信者から依頼に対してより自然な流れで怪しまれにくいような回答を取り繕い(No.5、10)、また添付ファイルを開いていないとみるや、添付ファイルを開かせるために催促をする(No.8)など、2012年時点では見られないような手口を利用している点です。攻撃の成功率を上げるために学習し、手口を向上して、数年にわたり攻撃を継続していることが見て取れます。人間は相手の反応を確認しながら相当の対応をしてもらうようなやり取りを繰り返すことで、徐々に信頼関係が構築されていきます。「やり取り型」はこのような心理的な特性を利用し、このような状況に適した受け答え、対応を攻撃者が行うことを通して構築された信頼関係を土台として攻撃を成功させようとしてくるのです。今回は、通称「やり取り型」と呼ばれる攻撃の一連の流れと攻撃者の学習による手口向上の事例を紹介しました。巧妙な手口で、執拗に攻撃を継続してきている様子を垣間見ることができたのではないでしょうか。このような「やり取り型」の攻撃は詐欺のようなものです。いかにも怪しい雰囲気の詐欺師は成功しません。詐欺師は身なりを整えて、一見誠意があるようなコミュニケーションを続けることで相手の信頼を得ようとします。また相手の時間を奪い、冷静に判断できないようにし、そして準備が整ったところで詐欺行為を働きます。このような詐欺に対して「私は詐欺にはだまされない」と思っている人こそ詐欺被害に遭うとも言われていますが、標的型メール攻撃も同様です。「私はこんな攻撃には引っかからない」「こんな攻撃は私にはやって来ない」と思っている人こそ注意が必要かもしれません。標的型攻撃はメールによる手口に限らず、今後はより巧妙に、そして執拗に継続されていくことと考えられます。このような標的型攻撃は誰しもが受ける可能性があります。標的型攻撃に「私は大丈夫」はありません。この記事を通して「私も攻撃に遭うかもしれない」「攻撃に引っかかるかもしれない」と思っていただければ幸いです。著者プロフィール○彦坂孝広(ひこさか・たかひろ)NTTソフトウェア ビジネスソリューション事業部アシスタントマネージャー2002年入社。2003年よりNTTグループ企業の研究開発に従事し、2005年からNTTソフトウェアのメールセキュリティソリューション「CipherCraft/Mail」で暗号化や誤送信防止、標的型メール対策などメールセキュリティの開発全般に携わる。あわせて、顧客企業の社外アクセス監視支援業務も担当。セキュリティの専門家として、サイバー攻撃に関する知見も備えている。
2016年03月08日「標的型攻撃」というキーワードを聞いても、漠然としたイメージしか沸かないという方が多いでしょう。標的型攻撃では、さまざまな経路からあなたの情報を収集し、ピンポイントであなたから会社の重要なデータを盗み取ろうと、攻撃者が画策しています。そこで、あなたを狙う攻撃者がどのようにメールであなたを狙ってくるのか、実例を交えて解説します。○複合機を装う攻撃?前回は、昨年後半に話題になりました実在の組織を騙ったなりすましメールの例に、どのように偽の情報を真実と思い込ませて、以下のようなポイントで攻撃を成功させようとしているかをご紹介しました。自然な日本語と実在の組織になりすまして内容に信憑性を持たせるメールの差出人情報などは、簡単になりすませる。見た目が似たようなメールアドレス、フリーメールでも、実際の人名のようなアドレスで、正しい送信者からのメールと思い込ませる実行ファイル以外のファイルでも攻撃に利用される。アプリケーションのセキュリティ機能を無条件に無効にする癖をつけないように今回も前回同様に、なりすましメールの話ですが、複合機からのFAXや、スキャナーからのメールになりすましたメールによる攻撃をご紹介します。昨年後半には、前回紹介した架空請求のなりすましメール報告が相次ぎましたが、もうひとつ報告されていた事例が「複合機を装ったなりすましメールによる攻撃」です。警察庁からも、急増するばらまき型攻撃メールの1パターンとして注意喚起を行っています。また、このような複合機を装った標的型攻撃のメールの増加から、複合機メーカー各社でも注意喚起を行っています。皆さんの職場でも、ペーパーレス化の流れとともに紙の資料はスキャナー機能で取り込み、PDFやWordファイルに変換して管理するようになったり、FAXを紙で受け取るのではなく、複合機で自動的にPDFなどに変換して、メールで登録された社員のアドレスに一斉送信するようになったりしているのではないでしょうか?この「PDFやWordに変換し、メールに送信する」という機能を利用した攻撃も、当然のことながら存在しているのです。少し前からある"なりすまし"の方法ですが、添付ファイルがあるのが普通で、「添付ファイルを開かないと中身が分からない」というメールの特性で、頻繁に攻撃が行われます。では、まず実際に当社へ届いた攻撃メールを見てみましょう。こちらの例の特徴を見てみましょう。件名がコニカミノルタの複合機を装った形式に差出人に表示されているメールアドレスが当社ドメインで、実際には存在しないメールアドレスを騙っている添付ファイルはWord形式(doc)にメール本文がない通常複合機からのメールにあるはずの本文がないなど、若干の不審な点は見られますが、もし複合機でスキャンしたようなタイミングで、このようなメールを受信したら、スキャンしたデータだと思い込んで、つい添付ファイルを開いてしまうのではないでしょうか? うっかりこのファイルを開くと、前回紹介した「Wordのマクロを利用した攻撃」が動作してしまいます。ここまでの見た目でも若干の不審な点がありましたが、メールソフトでは通常表示されないメールヘッダの情報をチェックすると、本来、社内ネットワーク内から送信されてくるはずのメールが、社内ではなくWeb経由で送信されていたり、メールのなりすましを防止するための仕組みであるSPFでの認証に失敗していたりなど、ほかにも不審な点が見られました。こうした通常のメールを確認する上で気に留めないような不審な点についてもツールなどでチェックできると、何らかの気付きが得られるかもしれません。先ほど紹介した例は、昨年6月頃に利用されたばらまき型攻撃メールですが、昨年10月にも同様の、さらに巧妙化した攻撃メールが多く確認されています。これについては、事例を交えて解説している記事があるのでご参照ください。では、それ以前の複合機を装った攻撃メールにはどのようなものがあるのでしょうか。次の画像をご覧ください。こちらのメールは少し古い例になりますが、複合機で受信したFAXを転送しているメールを装ったものです。こちらの例の特徴を見てみましょう。件名が富士ゼロックスの複合機を装った形式に差出人に表示されているメールアドレスが当社グループ会社のドメインで、実際には存在しないメールアドレスを騙る添付ファイルはzip形式で、その中身は実行ファイル(exe)で、アイコンをPDFに偽装している本文には複合機からのFAX受信を装った英文の文面に昨年6月以前にも散見された"ばらまき型攻撃メール"ですが、3点目は連載1回目で紹介した年金機構への攻撃メールと同様に、ファイルの見た目を文書ファイルのように見せかけ、騙して実行ファイルを起動させようとしています。このようなファイルは、年金機構への攻撃をきっかけに大々的に報道されたことで、セキュリティを普段意識していない人にも認知が広がったかと思います。そのため、「攻撃に引っかかる人が減る」と攻撃者が考え、6月以降にWordファイルのマクロを利用した攻撃へと切り替えてきたのかもしれません。今回は、前回紹介した実在の組織を騙ったなりすましメールと同時期に話題になった、複合機などからのメールを装った攻撃を取り上げました。複合機を装った攻撃メール自体は目新しいものではありませんが、数年前からのメールを見てみることで、攻撃者が騙しの手口を常に見直して成功するよう、変化し続けていることが分かります。このように、似たような手口でも時流にあわせて手を変え、品を変え、騙しの手口を進化させてきます。攻撃者は攻撃を成功させるための努力を怠りません。みなさんも自分や、自分の周りの人を守るために「日々、自分にも新しい攻撃が来るものだ」という意識を持ってください。次回は標的型攻撃の名前の由来にもなっている、標的に対してメールのやり取りをしながら、執拗に攻撃を繰り返す攻撃手法を紹介いたします。著者プロフィール○彦坂孝広(ひこさか・たかひろ)NTTソフトウェア ビジネスソリューション事業部アシスタントマネージャー2002年入社。2003年よりNTTグループ企業の研究開発に従事し、2005年からNTTソフトウェアのメールセキュリティソリューション「CipherCraft/Mail」で暗号化や誤送信防止、標的型メール対策などメールセキュリティの開発全般に携わる。あわせて、顧客企業の社外アクセス監視支援業務も担当。セキュリティの専門家として、サイバー攻撃に関する知見も備えている。
2016年02月10日「標的型攻撃」というキーワードを聞いても、漠然としたイメージしか沸かないという方が多いでしょう。標的型攻撃では、さまざまな経路からあなたの情報を収集し、ピンポイントであなたから会社の重要なデータを盗み取ろうと、攻撃者が画策しています。そこで、あなたを狙う攻撃者がどのようにしてメールであなたを狙ってくるのか、実例を交えて解説します。○なりすましに気をつけよう前回は日本年金機構の事件で利用された標的型攻撃のメールを例に、攻撃者が次のようなポイントで、マルウェアの添付ファイルを開かせようとしていることをご紹介しました。いかにも業務に関連しそうな文章や興味を引く文章、添付ファイルを急いで開かせようという文章メールの内容に関連しそうな添付ファイル名添付ファイルを開かせるためのアイコン偽装などの巧妙な工夫が凝らされている昨年後半は実在の企業を装い、架空請求や複合機からの送信のなりすましメールが急増しました。狙いを定めて執拗に攻撃を継続するような標的型攻撃とは少し異なる、通称「ばらまき型」と呼ばれるような攻撃ですが、今回はこうしたなりすましメールについて紹介します。情報処理推進機構(IPA)では、次のような"なりすましメール"の例を公開しています。自然な日本語で出荷案内のメールが書かれているため、[実在の組織名]に何か注文している場合など、つい添付ファイルを確認してしまうのではないでしょうか。今回の例は「ばらまき型」ですが、みなさんの業務を調べあげて、業務で付き合いのある企業の名前でなりすましてこのようなメールが送られてきたら気づくことができるでしょうか。今回のポイントとして、メールにおいて見るべき点を2点挙げましょう。上記のケースでは送信元のメールアドレスがわかりませんが、メール差出人のドメイン情報などから「[実在の組織名]からのメールかどうか、ちゃんと確認するから大丈夫だ」という方がいるかもしれません。では本当に、その情報は信頼できるのでしょうか?答えは「NO」です。受信したメールには、普段私たちが確認しているメール本文の情報のほかに、「メールヘッダ」と呼ばれる通常表示しない情報が含まれています。そのメールヘッダの中に送信元の情報や宛先の情報、件名などが含まれています。ご利用のメールソフトなどで簡単に見ることができますので、一度見てみてはいかがでしょうか。これらのメールヘッダ情報はメール本文と同じく、ただのテキスト情報ですので、メールの配送経路で別途付与される情報はありますが、基本的にメール送信者が自由に書くことができます。例えば、Aさんが送るメールを、Bさんからのメールであると表示するようなメールを簡単に作って送ることができます。もちろん、このような"なりすまし"を防止するような仕組みは電子署名や送信ドメイン認証など、いろいろとありますが、普及の観点から言えば十分ではありません。また、よく似ているけれど実際には異なるメールアドレスや、フリーメールであってもメールアドレスの「@」より前の部分がなりすまそうとしている人の氏名であるメールアドレスは、人をだましたり、本人に思い込ませたりするには十分な効果があります。次に、添付ファイルを見てみましょう。今回のケースでは、Wordファイルが添付されています。前回の事例では、Wordファイルに見せかけた実行ファイル「.exe」でした。では、実行ファイルではなければ危険はないのでしょうか?もちろんそんなことはありません。アプリケーションの脆弱性を付く攻撃ケースもありますが、このケースではWordファイルのマクロによって、ネットからマルウェアをダウンロードする仕組みが仕込まれていました。みなさんはWordのセキュリティの警告で無効状態にされているマクロを特に意識せず、いつも有効化していないでしょうか? 「大丈夫なファイルだ」という思い込みにより、機能しているセキュリティ機能を自らすてていませんか?今一度、その添付ファイルを開く必要があるか、マクロを有効にする必要があるかを回りの人にも相談しながら一呼吸おいて判断してください。前回も引用した情報ですが、4~6月から7月~9月にかけて、標的型攻撃に利用されるメールの添付ファイルの種別において、Office文書ファイルの割合が増えています。さらに先日、10月~12月の状況も公表されました。昨年後半のなりすまし攻撃により、10月以降もその傾向は変わらずOffice文書ファイルが利用されています。2016年1月以降も、しばらくこの傾向が続くかもしれません。最後に今回のポイントをおさらいします。自然な日本語と実在の組織のなりすましにより、内容に信憑性を持たせようとするメールの差出人情報なども簡単になりすませる。見た目が似たようなメールアドレスで、実在の人物が利用しそうなアドレスで、正しい送信者からのメールと思い込ませる実行ファイル以外のファイルも攻撃に利用される。アプリケーションのセキュリティ機能を無条件に無効化する癖は禁止今回は、昨年後半に話題になった実在の組織をかたる"なりすましメール"の例を紹介しました。嘘の情報でも、その中に事実や真実の情報を混ぜることにより、話全体として信憑性が増すといわれています。攻撃者はこのような人の心理を巧みに利用して、嘘の情報を真実と思い込ませようとしてきます。近年のペーパーレスが進み、紙媒体のスキャンやFAXも複合機で処理してメールで受け取ることも増えているかと思います。次回は、このような複合機からのFAXやスキャナーからのメールになりすましたメールによる攻撃を紹介します。著者プロフィール○彦坂孝広(ひこさか・たかひろ)NTTソフトウェア ビジネスソリューション事業部アシスタントマネージャー2002年入社。2003年よりNTTグループ企業の研究開発に従事し、2005年からNTTソフトウェアのメールセキュリティソリューション「CipherCraft/Mail」で暗号化や誤送信防止、標的型メール対策などメールセキュリティの開発全般に携わる。あわせて、顧客企業の社外アクセス監視支援業務も担当。セキュリティの専門家として、サイバー攻撃に関する知見も備えている。
2016年01月29日「標的型攻撃」というキーワードを聞いても、漠然としたイメージしか沸かないという方が多いでしょう。標的型攻撃では、さまざまな経路からあなたの情報を収集し、ピンポイントであなたから会社の重要なデータを盗み取ろうと、攻撃者が画策しています。そこで、攻撃者がどのようなメールであなたを狙ってくるのか、実例を交えて解説します。○「標的型攻撃」に振り回された2015年昨年は日本年金機構の事件を皮切りに、「標的型攻撃」というキーワードを頻繁に聞く年でした。年金情報125万件がPCに保存、ウイルス添付メールを用いた標的型攻撃で流出早稲田大学、3000人超の個人情報漏えいと不正侵入によるサイト改ざん被害JR北海道が標的型メール攻撃被害、個人情報漏えいは確認されず世の中に広く知られるようになったこの標的型攻撃ですが、ニュースで話題になる官公庁や大企業だけが被害にあっていて、多くのみなさんにとって関係のない世界の話だと思っていないでしょうか?攻撃者は、標的とする情報を窃盗するために入念に調べ、執拗に攻撃を繰り返します。実は、攻撃者が最終的に狙う相手が官公庁や大企業の情報だったとしても、攻略しやすいと判断すると、みなさんのPCへ最初に侵入し、"踏み台"とした上で、そこから感染を広げ、取引先などをたどって情報窃取を行っているのです。標的型攻撃では、さまざまな手口が用いられています。中でもよく使われているものは、攻撃者が直接攻撃先のネットワークに侵入できる可能性が高い「電子メール」です。狙いすまして情報を窃盗しようとする標的型攻撃で使われるメールには、不審な点があまり見られず、専門家でも見破ることができないほど巧妙なものが多く存在しています。しかし、そこまで巧妙なケースばかりでなく、専門家でなくても「攻撃が来るのではないか」と普段から意識していれば「怪しい」と気づけるケースも多々あるのです。いち早く誰かが気付くことで、その後の被害を最小限にできることもあります。この連載では、実際の標的型攻撃でどのようなメールが使われたのかという例を示しながら、攻撃で使われるメールにはどのような特徴があり、どのような点に気が付けば攻撃メールに引っかからずに済むのかを解説していきます。○年金機構が被害にあったメールとは?初回は、日本年金機構に送信されたと報告されている攻撃メールについて見てみましょう。差出人:×× ×× xxxx@yahoo.co.jp件名:厚生年金徴収関係研修資料添付ファイル:厚生年金徴収関係資料(150331 厚生年金徴収支出(G)).lzh(引用元)日本年金機構 不正アクセスによる情報流出事案に関する調査結果報告について※○部分にはメール受信者の氏名が入りますあなたが日本年金機構の職員になったつもりで、このメールを見てください。メールの本文の書き出しにあなたの名前があり、研修に身に覚えがあれば、添付ファイルを開いて確認してしまうのではないでしょうか。ポイントとなる点はいくつかありますが、今回は添付ファイルのみに注目してみます。標的型攻撃に利用されるメールにはファイルが添付されているケースが多く、その中でも実行ファイルとWordファイルなどのOffice系ファイルが多く見受けられます。情報処理推進機構(IPA)のサイバー情報共有イニシアティブの2015年4月~6月、7~9月の報告を見てみますと、以下のような内訳となっていました。4月~6月の報告では極端な例ですが、報告のすべてが実行ファイルでした。7~9月の報告では、さまざまなファイル形式が見られますが、実行ファイルが全体の30%を占めています。「実行ファイル(.exe)なら怪しいから開くわけがない」と高をくくっている人も多いかと思います。それでは、実際にサンプルのメールの添付ファイルを見てみましょう。実際にメールに添付されていたものが「厚生年金徴収関係資料(150331 厚生年金徴収支出(G)).lzh」、それを展開したファイルが「医療通知のお知らせ」でWordのファイルのように見えます。では、Windowsエクスプローラの表示を"詳細表示"に変更してみましょう。このように、添付ファイルが「アイコンの見た目をWordファイルのように偽装した実行ファイル」であったことがわかります。人の先入観を利用してだまし、マルウェアを実行させようという手口なのです。○年金機構の例から見た、押さえておきたいポイント最後に今回のポイントをおさらいしましょう。いかにも業務に関連しそうな文章や興味を引く文章、添付ファイルを急いで開かせようという文章メールの内容に関連するような添付ファイル名添付ファイルを開かせるためのアイコン偽装など、手口が巧妙いかがでしたか。今回は代表的な標的型攻撃の例を紹介しましたが、思わず引っかかってしまいそうだと感じられた方もいらっしゃるのではないでしょうか。次回も具体的なメールを例に、人間の思い込みを逆手にとった"なりすまし攻撃"について解説していきます。著者プロフィール○彦坂孝広(ひこさか・たかひろ)NTTソフトウェア ビジネスソリューション事業部アシスタントマネージャー2002年入社。2003年よりNTTグループ企業の研究開発に従事し、2005年からNTTソフトウェアのメールセキュリティソリューション「CipherCraft/Mail」で暗号化や誤送信防止、標的型メール対策などメールセキュリティの開発全般に携わる。あわせて、顧客企業の社外アクセス監視支援業務も担当。セキュリティの専門家として、サイバー攻撃に関する知見も備えている。
2016年01月14日