Copyright © 2015 独立行政法人 情報処理推進機構

標的型攻撃メールの傾向と事例分析

独立行政法人 情報処理推進機構（IPA） 技術本部 セキュリティセンター

伊東 宏明

2015/ 05

Copyright © 2015 独立行政法人 情報処理推進機構 1

1. 標的型サイバー攻撃への取り組み 2. 標的型攻撃メールの見分け方 3. 添付ファイルの見分け方 4. 標的型攻撃メールを見つけたら

Copyright © 2015 独立行政法人 情報処理推進機構 2

2.1 標的型攻撃メールの例と見分け方 ～テクニカルウオッチ～

https://www.ipa.go.jp/security/technicalwatch/20150109.html

情報提供いただいた標的型攻撃メールの調査・分析を行い2015年1月9日にレポートを公開しました

Copyright © 2015 独立行政法人 情報処理推進機構

情報提供いただいた標的型攻撃メールの調査・分析内容を公開し、特徴や傾向の把握に役立てていただいています。

3

2.2 標的型サイバー攻撃分析レポート ～その他のテクニカルウオッチ～

http://www.ipa.go.jp/about/technicalwatch/20111003.html http://www.ipa.go.jp/about/technicalwatch/20121030.html http://www.ipa.go.jp/security/technicalwatch/20140130.html

Copyright © 2015 独立行政法人 情報処理推進機構 4

2.3 標的型攻撃メールの例と見分け方

https://www.ipa.go.jp/security/technicalwatch/20150109.html

(ア)メールのテーマ ① 知らない人からのメールだが、メール本文のURLや添付ファイルを開かざるを得ない内容 (例1) 新聞社や出版社からの取材申込や講演依頼 (例2) 就職活動に関する問い合わせや履歴書送付 (例3) 製品やサービスに関する問い合わせ、クレーム (例4) アンケート調査

② 心当たりのないメールだが、興味をそそられる内容 (例1) 議事録、演説原稿などの内部文書送付 (例2) VIP訪問に関する情報

③ これまで届いたことがない公的機関からのお知らせ (例1) 情報セキュリティに関する注意喚起 (例2) インフルエンザ等の感染症流行情報 (例3) 災害情報

④ 組織全体への案内 (例1) 人事情報 (例2) 新年度の事業方針 (例3) 資料の再送、差替え

⑤ 心当たりのない、決裁や配送通知 (英文の場合が多い) (例1) 航空券の予約確認 (例2) 荷物の配達通知

⑥ IDやパスワードなどの入力を要求するメール (例1) メールボックスの容量オーバーの警告 (例2) 銀行からの登録情報確認

Copyright © 2015 独立行政法人 情報処理推進機構 5

2.4 標的型攻撃メールの例と見分け方

https://www.ipa.go.jp/security/technicalwatch/20150109.html

(イ)送信者のメールアドレス ① フリーメールアドレスから送信されている

② 送信者のメールアドレスとメール本文の署名に記載されたメールアドレスが異なる

(ウ)メールの本文 ① 日本語の言い回しが不自然である

② 日本語では使用されない漢字（繁体字、簡体字）が使われている

③ 実在する名称を一部に含むURLが記載されている

④ 表示されているURL（アンカーテキスト）と実際のリンク先のURLが異なる（htmlメールの場合）

⑤ 署名の内容が誤っている (例1) 組織名や電話番号が実在しない (例2) 電話番号がFAX番号として記載されている

Copyright © 2015 独立行政法人 情報処理推進機構 6

2.5 標的型攻撃メールの例と見分け方

https://www.ipa.go.jp/security/technicalwatch/20150109.html

(エ)添付ファイル ① ファイルが添付されている

② 実行形式ファイル( exe / scr / cplなど )が添付されている

③ ショートカットファイル( lnkなど )が添付されている

④ アイコンが偽装されている (例1) 実行形式ファイルなのに文書ファイルやフォルダのアイコンとなっている

⑤ ファイル名が不審である (例1) 二重拡張子となっている (例2) ファイル拡張子の前に、大量の空白文字が挿入されている (例3) 文字列を左右反転するRLOコードが利用されている

事務連絡cod.scr

事務連絡rcs.doc

RLO: Right-to-Left Override アラビア語やヘブライ語などをパソコンで使うための特殊な文字（表示はされない）

ここにRLO文字を挿入すると、次のような見た目になる。

Copyright © 2015 独立行政法人 情報処理推進機構 7

実際の標的型攻撃メールの例 ～いわゆるやりとり型～

Copyright © 2015 独立行政法人 情報処理推進機構 8

【ア－①】

【イ－①】

【エ－①】

【ウ－①】

2.6 標的型攻撃メールの例と見分け方 ～取材依頼を装った標的型～

Copyright © 2015 独立行政法人 情報処理推進機構 9

2.7 標的型攻撃メールの例と見分け方 ～就職を装った標的型～

【イ－①】

【ア－①】

【エ－①】

【イ－②】

Copyright © 2015 独立行政法人 情報処理推進機構 10

2.8 標的型攻撃メールの例と見分け方 ～製品・サービスに関する問合せを装った標的型～

【イ－①】

【ア－①】

【エ－①】、【エ－②】 【イ－②】

Copyright © 2015 独立行政法人 情報処理推進機構 11

2.9 標的型攻撃メールの例と見分け方 ～情報セキュリティに関する注意喚起を装った標的型～

【ア－③】

【イ－①】

【ウ－③】、【ウ－④】

実際にクリックした際に表示されるウェブページのURL

Copyright © 2015 独立行政法人 情報処理推進機構 12

実際の標的型攻撃メールの例 ～情報セキュリティに関する注意喚起を装った標的型～

特徴 実際にIPAから提供された注意喚起文を引用している

フリーメールアドレスを利用

表示上のリンク先は問題なさそうに見えるが実際のリンク先は危険なURL

表示されたリンク先と実際のリンク先が 異なる(.xxが追加されている)

フリーメールアドレスから送られている

一見、IPAからの注意喚起に見えるが

実際は、、

Copyright © 2015 独立行政法人 情報処理推進機構 13

2.10 標的型攻撃メールの例と見分け方 ～心当たりのない決済・配送通知を装った標的型～

【ア－⑤】

【ウ－⑤】

【イ－①】

【エ－①】

Copyright © 2015 独立行政法人 情報処理推進機構 14

2.11 標的型攻撃メールの例と見分け方 ～IDやパスワードの入力を要求する標的型～

【ア－⑥】

Copyright © 2015 独立行政法人 情報処理推進機構 15

2.12 標的型攻撃メールの例と見分け方 ～データエントリー型フィッシング～

【ア－⑥】

【ウ－①】

窃取されたメールアカウントの認証情報は、SPAMメールの踏み台や、標的型攻撃メールの素材収集に利用される恐れも。

Copyright © 2015 独立行政法人 情報処理推進機構 16

1. 標的型サイバー攻撃への取り組み 2. 標的型攻撃メールの見分け方 3. 添付ファイルの見分け方 4. 標的型攻撃メールを見つけたら

Copyright © 2015 独立行政法人 情報処理推進機構

3.1 添付ファイルの例 ファイルの詳細を必ず見る アイコン上は文書ファイルの様に見えるが…

ショートカットであることを示す「矢印のマーク」

エクスプローラの詳細表示で見ると… コマンドプロンプトで表示すると…

ショートカットであることがわかる

ショートカットの拡張子

17

Copyright © 2015 独立行政法人 情報処理推進機構

3.2 添付ファイルの例 ファイルの詳細を必ず見る

エクスプローラで見ると…

実行ファイル（exe）であることがわかる。 また、アイコン偽装されていても、アイコンが表示されないため騙されにくい。

18

Copyright © 2015 独立行政法人 情報処理推進機構

3.3 添付ファイルの例 拡張子偽装に注意

実際のファイル名

実際のファイル名

「RLO」による拡張子偽装

拡張子を表示しないと見えない

19

Copyright © 2015 独立行政法人 情報処理推進機構

3.4 添付ファイルの例

• 実行ファイル（ウイルス）のアイコンは何にでも偽装できる

• 単純な罠だがそれでも引っかかってしまう人がいる

アイコン偽装に注意

アイコンや拡張子を信用しない！ （「ファイルの種別」を表示して確認する）

20

Copyright © 2015 独立行政法人 情報処理推進機構 21

1. 標的型サイバー攻撃への取り組み 2. 標的型攻撃メールの見分け方 3. 添付ファイルの見分け方 4. 標的型攻撃メールを見つけたら

Copyright © 2015 独立行政法人 情報処理推進機構 22

4.1 標的型攻撃メールの対応 不審メールに気付いた時の対応

・ 組織内の情報集約窓口（情報システム担当部門など）に連絡

独立行政法人 情報処理推進機構(IPA) 標的型サイバー攻撃特別相談窓口

https://www.ipa.go.jp/security/tokubetsu/

・ 標的型攻撃メールかどうか判らない場合は、以下へ連絡を

Copyright © 2015 独立行政法人 情報処理推進機構 23

4.2 標的型攻撃メールの対応 添付ファイルを開いたり、不審なURLにアクセスした場合の対応

・ 標的型攻撃メールの添付ファイル実行、不審ＵＲＬアクセス → パソコンがウィルスに感染した可能性

・ どうしてよいか判らない場合は、とりあえずＩＰＡに相談を

・ 緒論あるが、ネットワークからの切り離し（被害拡大の防止）

・ 不審メールを受信したパソコンの初期化は一考を → 初期化すると感染機器や流出情報の特定が困難に

① 証拠保全と業務復旧の両面から対応の決定を

② フォレンジック専門のセキュリティベンダーに相談を

Copyright © 2015 独立行政法人 情報処理推進機構 24

4.3 標的型攻撃メールの対応 情報共有へのお願い （ Information Sharing ）

・ 標的型サイバー攻撃情報は局所的である

・ 操作がよくわからない場合は、ＩＰＡに相談を

・ 被害の抑止や拡大防止は、局所的な情報を共有し活用するこ とが最善の策である。

・ 情報提供いただきたいもの ① まずは転送メール形式 ② メールヘッダ情報 ・eml形式、msg形式、「ヘッダを表示」で出るテキスト

③ 同件有無の確認 ・メールサーバログの確認（From, Received, Date）

情報提供にご協力ください！！ 今回のセミナーのために専用のメールアドレスを作成しました！ expo201505@tks.ipa.go.jp

Copyright © 2015 独立行政法人 情報処理推進機構

?

標的型攻撃メールかな？ と思ったら・・・

IPAへご相談ください！

http://www.ipa.go.jp/security/tokubetsu/

4.4情報提供が標的型サイバー攻撃対策 ～サイバー空間利用者みんなの力をあわせて対抗力を～

25

標的型サイバー攻撃特別相談窓口 電話 03-5978-7599

(対応は、平日の10:00～12:00 および13:30～17:00)

E-mail tokusou@ipa.go.jp ※このメールアドレスに特定電子メールを送信しないでください。

・不審な日本語 ・差出人とメールアドレスが不審 ・不審な添付ファイルやリンク

各所属での連絡に加えて