-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 各位 JPCERT-AT-2017-0012 JPCERT/CC 2017-03-30 <<< JPCERT/CC Alert 2017-03-30 >>> USB ストレージに保存されたデータを窃取するサイバー攻撃に関する注意喚起 https://www.jpcert.or.jp/at/2017/at170012.html I. 概要 JPCERT/CC では、USB ストレージに保存されたデータを窃取するサイバー攻 撃に関する情報を受け取りました。攻撃者は、何らかの方法で端末をマルウエ アに感染させます。感染した端末に USB ストレージを接続した場合、USB ス トレージ内のファイル一覧が自動的に生成され、情報を選別した上で窃取する ことが可能となります。 本手法を悪用することにより、クローズドネットワーク内で情報を管理して いる場合でも、USB ストレージ内に保存した機密情報の窃取を行うことが可能 と考えられます。 管理者は、組織内の端末において、不正なプログラムが稼働していないかを 確認するとともに、組織内におけるUSB ストレージを用いた情報の取り扱いに ついても見直すことをご検討ください。 II. 報告のあった攻撃手法 (1) 攻撃者はインターネット接続された端末をマルウエアに感染させます。 (2) USB ストレージが、感染した端末にマウントされると、USB ストレージ内 のファイル一覧が端末内に生成されます。 (3) 攻撃者は、生成されたファイル一覧を確認し、標的とするファイルのリス トを感染している端末内に作成します。 (4) (3) で作成したファイルリストに基づき、USB ストレージ内の標的とした ファイルが圧縮された状態で感染端末内に保存されます。 (5) 攻撃者は、マルウエアに感染させた別の端末から圧縮ファイルを細分化し た上で、外部へ送信します。 USB ストレージ内のファイル一覧を確認するマルウエアの特徴は次の例に挙 げた通りです。なお、攻撃対象となる端末の構成によって、ファイル構成は、 変化する可能性があります。 ・「C:\intel\logs」や、「C:\Windows\system32」フォルダの配下に、次のよ うなファイルが設置される - 正規の実行ファイルに類似した名前の実行ファイル intelUPD.exe, intelu.exe, IgfxService.exe - 生成されたファイルリスト interad.log, slog.log - 窃取のために圧縮されたファイル https://www.jpcert.or.jp/at/2017/at170012-report.png III. 対策 インターネットにアクセス可能な端末にて、USB ストレージを用いて情報の 取り扱いを実施している場合に、注意が必要となります。「II. 報告のあった 攻撃手法」に記載したファイルが確認できた場合には、マルウエア感染の可能 性があるため、JPCERT/CC までご連絡ください。 USB ストレージを用いて情報を取り扱う場合には、情報の重要度に応じて、 インターネットから切り離された端末にて取り扱うことや、ファイルの暗号化 を行うなど、運用を見直すことを検討してください。 遠隔からの操作など攻撃者の活動の痕跡をログから確認することも推奨しま す。ログ確認の方法は、次のドキュメントなどを参考にしてください。 JPCERT/CC 高度サイバー攻撃への対処におけるログの活用と分析方法 https://www.jpcert.or.jp/research/apt-loganalysis.html IV. 参考情報 @Police サイバー攻撃に関する注意喚起について (PDF) https://www.npa.go.jp/cyberpolice/detect/pdf/20170330.pdf V. 本件に関するお問い合わせ先 JPCERT/CC インシデントレスポンスグループ Tel: 03-3518-4600 Fax: 03-3518-2177 E-mail: info@jpcert.or.jp JPCERT/CC 早期警戒グループ Tel: 03-3518-4600 Fax: 03-3518-4602 E-mail: ww-info@jpcert.or.jp 今回の件につきまして当方まで提供いただける情報がございましたら、ご連 絡ください。 ====================================================================== 一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC) Email: ww-info@jpcert.or.jp WWW: https://www.jpcert.or.jp/ TEL: 03-3518-4600 FAX: 03-3518-4602 -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJY3LX2AAoJEDF9l6Rp7OBIUhUIAIWEvsdWP6/k9qpvjHxwmQ7l 2VKY+PQftpeo5TGznI4Nrv+rI79PQ32TAZoCjCoElK9fIrEDvBwlS8RjTxQisKZm UH1+eQDLmDEDHP+TJ9Okx8/5gi9kf5xJyihK/RfIU/aNs6zw3kRuGmZfy7yHqCmh NA9kDTRZZ9tu+U5bBv/FB9B3Fs+M6zHAXwJKJzQhkdSUXbFnmiwn1ulkUCmFgegD WoReKy6fJGK0yrl+acT+KInjJdMck0uqObrbmCBt5r55/OxEEmoJAprgvYvM860U cwUQUd18b4t6k8yM4Gt0nNfbt6edRJayNzYCiJ8HYcgt3okQuvDCoonxuPb3rHw= =EMNK -----END PGP SIGNATURE-----