各位
標的型メール攻撃に関する注意喚起
Targeted Email Attacks
https://www.jpcert.or.jp/at/2011/at110028.txt
I. 概要
最近、報道でも取り上げられているように特定組織や企業グループを狙った標的型メールによるマルウエア感染が顕在化しています。ユーザの PC が標的型メールに添付されたマルウエアに感染した場合、攻撃者に企業や組織の機密情報が窃取される可能性があります。また、マルウエア感染した PC から社内ネットワークに接続されたその他の PC やサーバにマルウエア感染が拡大する恐れもあります。
JPCERT/CC では、昨今の標的型メールの添付ファイルに、脆弱性を使用するドキュメント形式のマルウエアと実行ファイル形式のマルウエアを確認しています。脆弱性を使用するドキュメント形式のマルウエアのうち、ほとんどは既知の脆弱性を使用しており、セキュリティ更新プログラムが適用されていれば、マルウエア感染を防げるものでした。
また、実行ファイル形式のマルウエアでは、ユーザにファイルを開かせるためにアイコンを偽装したうえで、ファイルの拡張子の判断を見誤らせるためのRLO (Right-to-Left Override) による偽装が施されている種類があることも確認しています。
このような標的型メールによる被害を防ぐために、JPCERT/CC では「III.対策」を実施されることを推奨いたします。
II. 標的型メール攻撃への検知について
標的型メールは、比較的狭い範囲を対象に密かに行われるため、検知することが困難ですが、以下の点を定期的に確認する事で攻撃やマルウエア感染を検知できる可能性があります。
システム管理者は自組織が標的型メールを受けているか、攻撃によりマルウエアに感染しているかを検知するために、下記に挙げる項目について定期的に確認されることをお勧めします。
・内部/外部への不審な通信ログの確認
ルータやファイアウォール 、プロキシサーバなどのゲートウェイ機器や
ログを定期的に検査して、不審な通信がないか確認する。
(JPCERT/CCでは、Port80/443 を使った通信を行うマルウエアも確認して
いますので、通信ポートだけで判断することは困難です)
例えば、通常アクセスしない国外への通信や業務時間外に PC やサーバか
ら頻繁な通信がないかをご確認ください。
・実施予定のないサーバ再起動
過去には、意図しないサーバ再起動によりマルウエア感染が発覚した事例
がありますので、意図しないサーバ再起動が発生した場合は、念のためシ
ステムへの不正侵入がないか確認してください。
・定期的なウイルススキャンの実施
マルウエアは、攻撃者の指令によって随時アップデートされる場合があり、
そのような場合、古いマルウエアがハードディスク上に残っていることが
あります。これらの古いマルウエアは、感染当時はウイルス対策ソフトで
検知できなかった可能性がありますが、定義ファイルの更新とともにウイ
ルス対策ソフトで検知できるようになっている場合があるので、定期的に
ハードディスク全体をスキャンすることで、古いマルウエアを検知できる
可能性があります。しかしながら、古いマルウエアを駆除できたとしても、
検知できない最新のマルウエアが動作している可能性があります。たとえ
ば、隔離ネットワークに、移設し、意図しない通信を試みるような挙動が
見られないか確認することをお勧めします。困難な場合は、ウイルス対策
ソフトのベンダに相談することもご検討下さい。
III. 対策
クライアント PC における標的型メール対策として以下を実施することをお勧めします。特に攻撃には既知の脆弱性が使用されることが多いため、アプリケーションのセキュリティ更新プログラムを適用していない場合は、早急な適用をお勧めします。
・OS やアプリケーションを最新の状態に保つ
- Microsoft Office 製品など
- Adobe Reader/Acrobat/Flash Player
- Oracle Java SE
・不審なメールや少しでも不審な点があるメールの添付ファイルを開かない、
もしくはシステム管理担当者に相談する
・ウイルス対策ソフトの定義ファイルを最新の状態に保つ
一部ソフトウエアの最新版では保護モードなど、より安全にファイルを使用できる環境を備えたものがあります。可能な限り、新しいバージョンのアプリケーションを使うことをお勧めします。
上記対策を行っていても、実行ファイル形式のマルウエアをユーザが開いてしまうとマルウエアに感染してしまう可能性があります。「V. IT セキュリティ予防接種の紹介」の「IT セキュリティ予防接種」を実施し、ユーザのコンピュータリテラシの向上についてもご検討下さい。
IV. JPCERT/CC におけるインシデント対応
マルウエアが通信するサーバを停止させることで、被害の拡大を防いだり、新たな被害の発生を防ぐことが期待できます。
JPCERT/CC にインシデント報告いただくことで、このような攻撃に使用されたサイトの停止に向けた調整を行いますので、以下を参考にお気軽にご相談下さい。
JPCERT コーディネーションセンター
インシデント報告について:https://www.jpcert.or.jp/form/
- Web フォーム: https://form.jpcert.or.jp/
- 電子メール: info@jpcert.or.jp
V. IT セキュリティ予防接種の紹介
JPCERT/CC では一般社員やシステム管理者のセキュリティ意識向上を目的とした訓練・対策として、「IT セキュリティ予防接種」を実施し、その結果を公開しています。
IT セキュリティ予防接種は社員に対して標的型メールを装った無害な疑似メールを送信する (同一の対象者に対して最大2回) ことで、標的型メールの理解とセキュリティ意識の向上を図る教育手法です。過去に複数の企業で IT
セキュリティ予防接種を実施した結果、第1回目の開封率に比べ、第2回目の開封率は低下しており、予防接種によるコンピュータリテラシの向上が見込めます。IT セキュリティ予防接種の手法やその効果については以下の調査報告書をご参照ください。
IT セキュリティ予防接種調査報告書 2009年度
http://www.jpcert.or.jp/research/#inoculation2009
IT セキュリティ予防接種調査報告書 2008年度
http://www.jpcert.or.jp/research/#inoculation2008
IT セキュリティ予防接種を実施したい場合は JPCERT/CC からマニュアルとツールを無償で提供しています。お問い合わせは、以下のメールアドレスまでご連絡ください。
JPCERT コーディネーションセンター
お問い合わせ先
- 電子メール: office@jpcert.or.jp
VI. 参考情報
脅威を増す標的型のサイバー攻撃に関する注意喚起
http://www.ipa.go.jp/about/press/20111018.html
国内企業を標的としたウイルス感染調査を騙るウイルス添付メール、制御文字RLOを使った拡張子偽装を確認
http://blog.trendmicro.co.jp/archives/3555
ソフトウェアは最新に!! - セキュリティ インテリジェンス レポート 第 11 版
http://blogs.technet.com/b/jpsecurity/archive/2011/10/20/3460367.aspx
==============================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL: 03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/
JPCERT-AT-2011-0028
JPCERT/CC
2011-10-28
JPCERT/CC Alert 2011-10-28
標的型メール攻撃に関する注意喚起
Targeted Email Attacks
https://www.jpcert.or.jp/at/2011/at110028.txt
I. 概要
最近、報道でも取り上げられているように特定組織や企業グループを狙った標的型メールによるマルウエア感染が顕在化しています。ユーザの PC が標的型メールに添付されたマルウエアに感染した場合、攻撃者に企業や組織の機密情報が窃取される可能性があります。また、マルウエア感染した PC から社内ネットワークに接続されたその他の PC やサーバにマルウエア感染が拡大する恐れもあります。
JPCERT/CC では、昨今の標的型メールの添付ファイルに、脆弱性を使用するドキュメント形式のマルウエアと実行ファイル形式のマルウエアを確認しています。脆弱性を使用するドキュメント形式のマルウエアのうち、ほとんどは既知の脆弱性を使用しており、セキュリティ更新プログラムが適用されていれば、マルウエア感染を防げるものでした。
また、実行ファイル形式のマルウエアでは、ユーザにファイルを開かせるためにアイコンを偽装したうえで、ファイルの拡張子の判断を見誤らせるためのRLO (Right-to-Left Override) による偽装が施されている種類があることも確認しています。
このような標的型メールによる被害を防ぐために、JPCERT/CC では「III.対策」を実施されることを推奨いたします。
II. 標的型メール攻撃への検知について
標的型メールは、比較的狭い範囲を対象に密かに行われるため、検知することが困難ですが、以下の点を定期的に確認する事で攻撃やマルウエア感染を検知できる可能性があります。
システム管理者は自組織が標的型メールを受けているか、攻撃によりマルウエアに感染しているかを検知するために、下記に挙げる項目について定期的に確認されることをお勧めします。
・内部/外部への不審な通信ログの確認
ルータやファイアウォール 、プロキシサーバなどのゲートウェイ機器や
ログを定期的に検査して、不審な通信がないか確認する。
(JPCERT/CCでは、Port80/443 を使った通信を行うマルウエアも確認して
いますので、通信ポートだけで判断することは困難です)
例えば、通常アクセスしない国外への通信や業務時間外に PC やサーバか
ら頻繁な通信がないかをご確認ください。
・実施予定のないサーバ再起動
過去には、意図しないサーバ再起動によりマルウエア感染が発覚した事例
がありますので、意図しないサーバ再起動が発生した場合は、念のためシ
ステムへの不正侵入がないか確認してください。
・定期的なウイルススキャンの実施
マルウエアは、攻撃者の指令によって随時アップデートされる場合があり、
そのような場合、古いマルウエアがハードディスク上に残っていることが
あります。これらの古いマルウエアは、感染当時はウイルス対策ソフトで
検知できなかった可能性がありますが、定義ファイルの更新とともにウイ
ルス対策ソフトで検知できるようになっている場合があるので、定期的に
ハードディスク全体をスキャンすることで、古いマルウエアを検知できる
可能性があります。しかしながら、古いマルウエアを駆除できたとしても、
検知できない最新のマルウエアが動作している可能性があります。たとえ
ば、隔離ネットワークに、移設し、意図しない通信を試みるような挙動が
見られないか確認することをお勧めします。困難な場合は、ウイルス対策
ソフトのベンダに相談することもご検討下さい。
III. 対策
クライアント PC における標的型メール対策として以下を実施することをお勧めします。特に攻撃には既知の脆弱性が使用されることが多いため、アプリケーションのセキュリティ更新プログラムを適用していない場合は、早急な適用をお勧めします。
・OS やアプリケーションを最新の状態に保つ
- Microsoft Office 製品など
- Adobe Reader/Acrobat/Flash Player
- Oracle Java SE
・不審なメールや少しでも不審な点があるメールの添付ファイルを開かない、
もしくはシステム管理担当者に相談する
・ウイルス対策ソフトの定義ファイルを最新の状態に保つ
一部ソフトウエアの最新版では保護モードなど、より安全にファイルを使用できる環境を備えたものがあります。可能な限り、新しいバージョンのアプリケーションを使うことをお勧めします。
上記対策を行っていても、実行ファイル形式のマルウエアをユーザが開いてしまうとマルウエアに感染してしまう可能性があります。「V. IT セキュリティ予防接種の紹介」の「IT セキュリティ予防接種」を実施し、ユーザのコンピュータリテラシの向上についてもご検討下さい。
IV. JPCERT/CC におけるインシデント対応
マルウエアが通信するサーバを停止させることで、被害の拡大を防いだり、新たな被害の発生を防ぐことが期待できます。
JPCERT/CC にインシデント報告いただくことで、このような攻撃に使用されたサイトの停止に向けた調整を行いますので、以下を参考にお気軽にご相談下さい。
JPCERT コーディネーションセンター
インシデント報告について:https://www.jpcert.or.jp/form/
- Web フォーム: https://form.jpcert.or.jp/
- 電子メール: info@jpcert.or.jp
V. IT セキュリティ予防接種の紹介
JPCERT/CC では一般社員やシステム管理者のセキュリティ意識向上を目的とした訓練・対策として、「IT セキュリティ予防接種」を実施し、その結果を公開しています。
IT セキュリティ予防接種は社員に対して標的型メールを装った無害な疑似メールを送信する (同一の対象者に対して最大2回) ことで、標的型メールの理解とセキュリティ意識の向上を図る教育手法です。過去に複数の企業で IT
セキュリティ予防接種を実施した結果、第1回目の開封率に比べ、第2回目の開封率は低下しており、予防接種によるコンピュータリテラシの向上が見込めます。IT セキュリティ予防接種の手法やその効果については以下の調査報告書をご参照ください。
IT セキュリティ予防接種調査報告書 2009年度
http://www.jpcert.or.jp/research/#inoculation2009
IT セキュリティ予防接種調査報告書 2008年度
http://www.jpcert.or.jp/research/#inoculation2008
IT セキュリティ予防接種を実施したい場合は JPCERT/CC からマニュアルとツールを無償で提供しています。お問い合わせは、以下のメールアドレスまでご連絡ください。
JPCERT コーディネーションセンター
お問い合わせ先
- 電子メール: office@jpcert.or.jp
VI. 参考情報
脅威を増す標的型のサイバー攻撃に関する注意喚起
http://www.ipa.go.jp/about/press/20111018.html
国内企業を標的としたウイルス感染調査を騙るウイルス添付メール、制御文字RLOを使った拡張子偽装を確認
http://blog.trendmicro.co.jp/archives/3555
ソフトウェアは最新に!! - セキュリティ インテリジェンス レポート 第 11 版
http://blogs.technet.com/b/jpsecurity/archive/2011/10/20/3460367.aspx
==============================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL: 03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/
前
コメント
共 有
