2016年6月21日火曜日

巧妙な標的型メールを見抜くポイントはある。しかも、Windowsの標準機能だけで、

JTB個人情報流出事件に関して、「標的型メールは非常に巧妙で、一般のオペレータが本物のメールと見分けることは困難であった」との記事を良く目にする。確かに、JTBに届いたメールの詳細(*1, *2) を見ると、実際の業務から見て違和感のない内容であり、オペレータが添付を開いてしまうのもやむを得ないであろう。

*1 JTBへの不正アクセスについてまとめてみた
http://d.hatena.ne.jp/Kango/20160614/1465925330
*2 JTB個人情報793万件流出か?…標的型攻撃の巧妙な手口
http://www.yomiuri.co.jp/science/goshinjyutsu/20160615-OYT8T50004.html

しかし、JTBの件では、添付ファイルは文書ファイルにアイコン偽装された実行ファイルを圧縮した形式となっており、感染に至るには、展開された実行ファイルを開くという操作が更に必要になる。この間にオペレータが気付くことが出来るポイントがなかったのかを考察してみたい。

尚、IPAを情報ハブとしてサイバー攻撃の情報共有を行う取り組みである「サイバー情報共有イニシアティブ(J-CSIP)」が2016年4月に公表した、資料(*3) によると、標的型メールの添付ファイルの92%が実行ファイルであり、これらの内の多くが暗号化(パスワード付き)zip 形式で添付されていたということだ。JTBの件での添付ファイルが暗号化(パスワード付きzip)されていたかどうかは、報道では明らかにされていないが、実行ファイルを圧縮して添付するというのは、標的型メール攻撃での最も典型的な手口といえる。

*3 サイバー情報共有イニシアティブ(J-CSIP) 運用状況[2016 年 1 月~3 月]
http://www.ipa.go.jp/files/000052203.pdf



図1は、アイコンをWord文書ファイルに偽装した実行ファイルをWindows7のエクスプローラで表示させたものだ。確かにこれだけを見ると文書ファイルと見分けがつかない。

図1 文書ファイルに偽装した実行ファイル


次に、同じフォルダにWord文書を新規作成して並べてみる。Windowsの初期設定では、登録されている拡張子は表示されないため、やはり、これだけで見分けるのは難しいことがわかる。


図2 左が偽装した実行ファイル、右がWord文書ファイル
登録されている拡張子は表示しない(既定の設定)

ここで、フォルダーオプションから表示を選択し、既定で有効になっている「登録されている拡張子は表示しない」のチェックを外してみる。

図3 登録されている拡張子は表示しないのチェックを外す


すると、図4の様に拡張子が表示されるようになった。

図4 左が偽装した実行ファイル、右がWord文書ファイル
登録されている拡張子は表示しないのチェックを外した状態


更に、エクスプローラーの表示方法を「詳細」に変更してみる。

図5 詳細表示にしてファイルの種類を表示させる


すると、偽装したファイルでは、ファイルの種類が「アプリケーション」と表示されるようになった。

この様に、メールの添付ファイルを開く場合は、必ずファイルの拡張子と種類を表示させ、確認することを周知し、それを徹底させる訓練を行うことで、例え、標的型メールの送信元アドレスや本文が業務内容に沿った巧妙なものであっても、偽装された実行ファイルと見抜くことは可能なのではないか?

JTBでは、定期的に標的型メール攻撃に使われるものに似た疑似メールを送るなどの訓練を行っていたとされるが、果たしてこのような項目に着目した訓練を行っていたのだろうか?



更に、添付された圧縮ファイルを開く時に、Windows標準のエクスプローラーを使用していれば、図6の様に、偽装アイコンは表示されないし、実行ファイルの実行時には「セキュリティの警告」が表示される

図6 Word文書に偽装した実行ファイルをZIP圧縮し添付
Outlookで受信、Windows標準のアーカイバで解凍(Windows7)



エクスプローラーではなく、Lhaplusなどのサードパーティ製の解凍ソフトを使用している場合は、ZoneIDが欠落してしまうため、警告なしで実行ファイルが実行される。しかし、この場合でも、ファイルの拡張子と種類を表示させ確認することを徹底させていれば、実行ファイルと気付くことは可能なはずだ。
図7 Word文書に偽装した実行ファイルをZIP圧縮し添付
Outlookで受信、Lhaplusで解凍(Windows7)

また、その他にも、「Windows SmartScreen」や「ソフトウェア制限ポリシー」「AppLocker」など、Windowsの標準機能だけで、標的型メール攻撃に有効な対策は色々とある。これらについては、以下の記事で詳細を解説しているので、詳しくはそちらを参照いただきたい。

設定を見直すだけ、いますぐ簡単にできる「標的型メール攻撃対策」
http://www.atmarkit.co.jp/ait/articles/1409/05/news006.html
続・設定を見直すだけ、いますぐ簡単にできる「標的型メール攻撃対策」
http://www.atmarkit.co.jp/ait/articles/1509/16/news007.html

「すぐできる標的型攻撃対策 Windows標準のセキュリティ機能を利用した対策」
http://www.jnsa.org/aboutus/jnsaml/ml-71.html


まとめ


  1. 標的型メールの送信元Fromアドレスや、タイトル、メール本文、添付ファイル名は、業務内容からみて全く違和感のない巧妙なものになっている。これらから標的型メールかどうかを見極めるのは不可能。
  2. 標的型メールの典型的な手口は、文書ファイルにアイコン偽装した実行ファイル(.exe .scr等)をZIP等で圧縮して添付するもの。
  3. 拡張子、ファイル種類(詳細表示)を常に表示させる様な設定をシステムとして行う。(グループポリシーの「フォルダオプション」)
  4. 添付ファイルの解凍後は、ファイルの拡張子、種類を必ず確認することを周知し、それを徹底させるような訓練を行う。
  5. その他にも、「セキュリティの警告」「Windows SmartScreen」「ソフトウェア制限ポリシー」「AppLocker」など、Windows標準のセキュリティ機能だけで、標的型メール攻撃に有効なものがあるので、それらを有効活用する。