-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 各位 JPCERT-AT-2011-0028 JPCERT/CC 2011-10-28 <<< JPCERT/CC Alert 2011-10-28 >>> 標的型メール攻撃に関する注意喚起 Targeted Email Attacks https://www.jpcert.or.jp/at/2011/at110028.txt I. 概要 最近、報道でも取り上げられているように特定組織や企業グループを狙った 標的型メールによるマルウエア感染が顕在化しています。ユーザの PC が標的 型メールに添付されたマルウエアに感染した場合、攻撃者に企業や組織の機密 情報が窃取される可能性があります。また、マルウエア感染した PC から社内 ネットワークに接続されたその他の PC やサーバにマルウエア感染が拡大する 恐れもあります。 JPCERT/CC では、昨今の標的型メールの添付ファイルに、脆弱性を使用する ドキュメント形式のマルウエアと実行ファイル形式のマルウエアを確認してい ます。脆弱性を使用するドキュメント形式のマルウエアのうち、ほとんどは 既知の脆弱性を使用しており、セキュリティ更新プログラムが適用されていれ ば、マルウエア感染を防げるものでした。 また、実行ファイル形式のマルウエアでは、ユーザにファイルを開かせるた めにアイコンを偽装したうえで、ファイルの拡張子の判断を見誤らせるための RLO (Right-to-Left Override) による偽装が施されている種類があることも 確認しています。 このような標的型メールによる被害を防ぐために、JPCERT/CC では 「III.対策」を実施されることを推奨いたします。 II. 標的型メール攻撃への検知について 標的型メールは、比較的狭い範囲を対象に密かに行われるため、検知するこ とが困難ですが、以下の点を定期的に確認する事で攻撃やマルウエア感染を検 知できる可能性があります。 システム管理者は自組織が標的型メールを受けているか、攻撃によりマルウ エアに感染しているかを検知するために、下記に挙げる項目について定期的に 確認されることをお勧めします。 ・内部/外部への不審な通信ログの確認 ルータやファイアウォール 、プロキシサーバなどのゲートウェイ機器や ログを定期的に検査して、不審な通信がないか確認する。 (JPCERT/CCでは、Port80/443 を使った通信を行うマルウエアも確認して いますので、通信ポートだけで判断することは困難です) 例えば、通常アクセスしない国外への通信や業務時間外に PC やサーバか ら頻繁な通信がないかをご確認ください。 ・実施予定のないサーバ再起動 過去には、意図しないサーバ再起動によりマルウエア感染が発覚した事例 がありますので、意図しないサーバ再起動が発生した場合は、念のためシ ステムへの不正侵入がないか確認してください。 ・定期的なウイルススキャンの実施 マルウエアは、攻撃者の指令によって随時アップデートされる場合があり、 そのような場合、古いマルウエアがハードディスク上に残っていることが あります。これらの古いマルウエアは、感染当時はウイルス対策ソフトで 検知できなかった可能性がありますが、定義ファイルの更新とともにウイ ルス対策ソフトで検知できるようになっている場合があるので、定期的に ハードディスク全体をスキャンすることで、古いマルウエアを検知できる 可能性があります。しかしながら、古いマルウエアを駆除できたとしても、 検知できない最新のマルウエアが動作している可能性があります。たとえ ば、隔離ネットワークに、移設し、意図しない通信を試みるような挙動が 見られないか確認することをお勧めします。困難な場合は、ウイルス対策 ソフトのベンダに相談することもご検討下さい。 III. 対策 クライアント PC における標的型メール対策として以下を実施することを お勧めします。特に攻撃には既知の脆弱性が使用されることが多いため、アプ リケーションのセキュリティ更新プログラムを適用していない場合は、早急な 適用をお勧めします。 ・OS やアプリケーションを最新の状態に保つ - Microsoft Office 製品など - Adobe Reader/Acrobat/Flash Player - Oracle Java SE ・不審なメールや少しでも不審な点があるメールの添付ファイルを開かない、 もしくはシステム管理担当者に相談する ・ウイルス対策ソフトの定義ファイルを最新の状態に保つ 一部ソフトウエアの最新版では保護モードなど、より安全にファイルを使用 できる環境を備えたものがあります。可能な限り、新しいバージョンのアプリ ケーションを使うことをお勧めします。 上記対策を行っていても、実行ファイル形式のマルウエアをユーザが開いて しまうとマルウエアに感染してしまう可能性があります。「V. IT セキュリティ 予防接種の紹介」の「IT セキュリティ予防接種」を実施し、ユーザのコンピュー タリテラシの向上についてもご検討下さい。 IV. JPCERT/CC におけるインシデント対応 マルウエアが通信するサーバを停止させることで、被害の拡大を防いだり、 新たな被害の発生を防ぐことが期待できます。 JPCERT/CC にインシデント報告いただくことで、このような攻撃に使用され たサイトの停止に向けた調整を行いますので、以下を参考にお気軽にご相談下 さい。 JPCERT コーディネーションセンター インシデント報告について:https://www.jpcert.or.jp/form/ - Web フォーム: https://form.jpcert.or.jp/ - 電子メール: info@jpcert.or.jp V. IT セキュリティ予防接種の紹介 JPCERT/CC では一般社員やシステム管理者のセキュリティ意識向上を目的と した訓練・対策として、「IT セキュリティ予防接種」を実施し、その結果を 公開しています。 IT セキュリティ予防接種は社員に対して標的型メールを装った無害な疑似 メールを送信する (同一の対象者に対して最大2回) ことで、標的型メールの 理解とセキュリティ意識の向上を図る教育手法です。過去に複数の企業で IT セキュリティ予防接種を実施した結果、第1回目の開封率に比べ、第2回目の開 封率は低下しており、予防接種によるコンピュータリテラシの向上が見込めま す。IT セキュリティ予防接種の手法やその効果については以下の調査報告書 をご参照ください。 IT セキュリティ予防接種調査報告書 2009年度 http://www.jpcert.or.jp/research/#inoculation2009 IT セキュリティ予防接種調査報告書 2008年度 http://www.jpcert.or.jp/research/#inoculation2008 IT セキュリティ予防接種を実施したい場合は JPCERT/CC からマニュアルと ツールを無償で提供しています。お問い合わせは、以下のメールアドレスまで ご連絡ください。 JPCERT コーディネーションセンター お問い合わせ先 - 電子メール: office@jpcert.or.jp VI. 参考情報 脅威を増す標的型のサイバー攻撃に関する注意喚起 http://www.ipa.go.jp/about/press/20111018.html 国内企業を標的としたウイルス感染調査を騙るウイルス添付メール、制御文字RLOを使った拡張子偽装を確認 http://blog.trendmicro.co.jp/archives/3555 ソフトウェアは最新に!! - セキュリティ インテリジェンス レポート 第 11 版 http://blogs.technet.com/b/jpsecurity/archive/2011/10/20/3460367.aspx ====================================================================== 一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC) MAIL: info@jpcert.or.jp TEL: 03-3518-4600 FAX: 03-3518-4602 https://www.jpcert.or.jp/ -----BEGIN PGP SIGNATURE----- iQEVAwUBTqorPjF9l6Rp7OBIAQigzwgAgud4ggjI/GwhxYSCm0lYKj2/YB1nMV85 a3usKWKUAIGI2i0ExmOcTdMcE+ttEVzP7n1vwQk7gwafkwS59DE7r2ETT7EUD1rt YwobysEHSp8aNR2Y32eYUaUhzPn0dykxNsSAKwqabJCCp4aojrtD/02N1t3xRYJx gq4JQHBidy8/kNzprGx+7NTVvIC00aGYCqFMUr+TQ9/+/cJQH5Dnhtaub4fXKL8B u6NH1jD28aqLFac4uK85opqUmCzvM4i3DZTIZelw2CqhD9+fLvP8wujGENqZRjDR AMB7S4pPzUmBTHPiNrVIDm191c711mJOQaNUBbFZGz6lM+CIpWbVuw== =eOiZ -----END PGP SIGNATURE-----