2016年6月30日木曜日

ランサムウェアを拡散する「ばらまき型」スパムメールに対する対策

前々回前回 のエントリでは、標的型メールを見分けるポイントについて述べた。せっかくなので、ランサムウェアを拡散するばらまき型のスパムメールに対する対策についても考察してみる。

現在、犯罪者がランサムウェアを拡散する手段としては、大きく分けて不正広告(マルバタイジング)や正規のサイトの改ざんによるWebアクセス(ドライブバイダウンロード)によるものと、ばらまき型のスパムメールによるものの2つがある。Webアクセスからの感染の対策については別途、紹介するとして、ここでは、スパムメールによる感染の対策について考えてみたい。

標的型メールの典型的な手法が、実行ファイルを文書ファイルにアイコン偽装して添付するのに対し、ランサムウェアの拡散に使われる主な手口は、Office文書(特にWord)のマクロ機能を使ったものと、JavaScript(拡張子 .js )を使用したものだ。2015年まではOffice文書のマクロ機能を使用したものが主流であったが、2016年に入ってからはJavaScriptを使用したものが主流になってきている。

なぜなら、Officeのマクロ機能はデフォルトで無効になっており、ランサムウェアに感染させるには、なんらかの方法でユーザにマクロを有効にさせる必要があるからだ。

図1 マクロを使ってランサムウェアに感染させようとするWord文書の例

それに対し、JavaScriptを使った手口ではそのような制限は存在せず、スクリプトを実行させることが出来ればランサムウェアに感染させることが出来る。メールに添付されるJavaScriptは、ブラウザ上で実行されるのではなく、Windows上のWindows Script Host (WSH) で実行される。WSHには、ブラウザでのサンドボックスの様な制限はなく、実行ファイルと同様の処理が実行できてしまう。

ランサムウェア「Locky」のスパムメールの実例


図2は、実際に筆者宛に届いた「Locky」のスパムメールである。未払い金があるため添付の請求書を確認してくれという内容だ。メール本文の挨拶や添付ファイル名に筆者の実名を使用して本物だと思い込まそうとしているが、差出人もメールの内容も全く心当たりのないものだ。大量に拡散させるばらまき型なので、標的型メールの様に巧妙にはなっていない。注意していればこの段階で不審なメールと気付けるはずだ。

図2 「Locky」に感染させようとするスパムメールのサンプル

この添付ファイルをクリックしてエクスプローラーで開いてみる。尚、OSはWindows 7だ。
圧縮ファイルの中身は、拡張子「.js 」のJavaScriptのファイルだが、Windowsの初期設定では、登録されている拡張子は表示しない設定になっているため図3の様に表示される。いまどきJavaScriptなんかを実行する奴がいるのかと思う人もいるかもしれないが、この様に拡張子「.js 」のアイコンは、メモ用紙の様にも見えるためテキストファイルだと勘違いして開いてしまう人も多いのだろう。

図3 添付のZIPをエクスプローラーで開く(拡張子は非表示)

「登録されている拡張子は表示しない」のチェックを外し、拡張子を表示させる設定に変更すると、拡張子「.js 」が表示される。


図4 拡張子を表示させる

更に、「詳細表示」にしてみると、「種類」が「JScript Scriptファイル」と表示される。JScriptとはWindows上で動作するスクリプト言語であり、JavaScriptと互換性を持つ。

図5 詳細表示にし、種類を表示させる

このファイルをクリックして開いてみる。
前々回前回 のエントリでも述べたとおり、Windows標準のエクスプローラーを使用し、ZoneIDが維持される様にしていれば、拡張子が「.js」の場合でも、図6の様に「セキュリティの警告」が表示される。ここで「キャンセル」をクリックすればスクリプトは実行されないが、警告を無視して「開く」をクリックしたり、警告が出ないような設定になっていれば、スクリプトが実行され、ランサムウェアに感染してしまう。

図6 ZoneIDが付加されているため「セキュリティの警告」が表示される


このように、JavaScriptを使用してランサムウェアに感染させようとするスパムメールでは、標的型メールと同じく
  1. Fromアドレスや件名、本文などに不自然な箇所がないかを確認する
  2. アイコンを確認する
  3. 拡張子を確認する
  4. ファイル種類を確認する
  5. 実行時に「セキュリティの警告」が表示されたら「キャンセル」する

これらを常に確認することを習慣にしていれば、感染は防げるはずだ。


拡張子「.js 」の関連付けを「メモ帳」に変更する


しかし、そもそもJavaScriptをWindows上で実行することは殆どのユーザに取って不要と思われるため、より安全にするために拡張子「.js 」の関連付けを既定から変更して「メモ帳」で開く様にし、スクリプトが実行されないようにする。

ここでは、単一のコンピュータでの設定例を示すが、Active Directory環境では、グループポリシーのフォルダオプションから拡張子の関連付けを設定出来る。

コントロールパネルから「あるファイルの種類を特定のプログラムで開く」を選択する。図7の様に、既定では、拡張子「.js」がWindows Based Script Hostに関連付けられている。

図7 「あるファイルの種類を特定のプログラムで開く」

「プログラムの変更」をクリックし、プログラムの選択から「メモ帳」を選択する。

図8 プログラムの選択から「メモ帳」を選択する

再度、拡張子「.js」が「メモ帳」に関連付けられていることを確認する。

図9 .jsに「メモ帳」が関連付けられていることを確認

この状態で、図2と同じメールの添付ファイルを開いてみる。アイコンが「メモ帳」のものになっていることが確認出来る。

図10 添付のZIPをエクスプローラーで開く

拡張子が「.js」であるため、ここで不審なメールであることに気付くことが望ましいが、もしクリックして実行してしまっても「セキュリティの警告」が表示される。

図11 ZoneIDが付加されているため「セキュリティの警告」が表示される

更に、ここで「セキュリティの警告」を無視して「開く」をクリックしてしまったとしても、拡張子「.js」の関連付けとして「メモ帳」が設定されているため、図12の様に「メモ帳」で .js ファイルが開かれる。結果としてスクリプトが実行されることはなく、ランサムウェアに感染することは避けられる。

図12 .js がメモ帳で開かれる


まとめ


  1. ランサムウェアを拡散させる手段としては、不正広告(マルバタイジング)や正規のサイトの改ざんによるWebアクセスによるもの(ドライブバイダウンロード)とばらまき型のスパムメールによるものに分けられる。
  2. ランサムウェアを拡散させるスパムメールに使われる主な手口は、Office文書(特にWord)のマクロ機能を使ったものと、JavaScript(拡張子 .js )を使用したもの。最近はJavaScriptを使用したものが主流になっている。
  3. ばらまき型のスパムメールの本文などは、標的型メールの様には巧妙な内容にはなっていない。見に覚えのない不審なものの場合は、添付を開かない。
  4. 標的型メールの対策と共通で、拡張子、ファイル種類(詳細表示)を常に表示させる設定を行う。添付の中のファイルを開く場合は、アイコン、拡張子、ファイル種類を確認し、セキュリティの警告が出たらキャンセルする。
  5. Officeのマクロを有効にしない。
  6. もし、ファイルを開いてしまった場合でもスクリプトが実行されないように、拡張子「.js」の関連付けを変更して「メモ帳」で開くように設定する。

2016年6月28日火曜日

続・巧妙な標的型メールを見抜くポイントはある。しかも、Windowsの標準機能だけで、


前回のエントリ に続いて、ますます巧妙になっている標的型メールを、どのようにして見抜くことが出来るかということを考えてみたい。

先ず前提として、最近の標的型メールは

  1. Fromアドレス、件名、本文、添付ファイル名などは、業務内容などから違和感のない巧妙なものとなっており、これらから標的型メールと見抜くことは非常に困難
  2. 文書ファイルに偽装した実行ファイルを圧縮して添付されてくるのが標的型メールの典型的な手口

という事実がある。

実行ファイルが圧縮されて添付されるのは、実行ファイルの直接の添付は、メールゲートウェイなどでブロックしている組織が多いからであろう。圧縮ファイルはパスワード付きで暗号化されていることが多い。これは、メール配送経路でのマルウェア対策製品による検出を回避するためであると思われる。

圧縮ファイルが添付されてくるということは、添付を開いたら即、ファイルが実行されて感染ということにはならず、解凍されたファイルを更にクリックして実行するという操作が必要になる。その間の操作に、標的型メールを見抜くポイントが隠されている。

このエントリでは、前回のエントリの後半で紹介した、圧縮ファイルを開く時にサードパーティ製のアーカイバではなく、Windows標準のエクスプローラーを使用することによる対策について、もう少し詳しく見てみる。

尚、以下の記事でも解説をしているので、合わせてお読みいただければ幸いである。

設定を見直すだけ、いますぐ簡単にできる「標的型メール攻撃対策」
http://www.atmarkit.co.jp/ait/articles/1409/05/news006.html

続・設定を見直すだけ、いますぐ簡単にできる「標的型メール攻撃対策」
http://www.atmarkit.co.jp/ait/articles/1509/16/news007.html

「すぐできる標的型攻撃対策 Windows標準のセキュリティ機能を利用した対策」
http://www.jnsa.org/aboutus/jnsaml/ml-71.html


標的型メールと通常の文書ファイルの添付メールを比較


標的型メールと通常の文書ファイルを添付したメールを比較するために、Word文書に偽装した実行ファイル(前回のエントリと同じもの)と本物のWord文書ファイルをそれぞれZIPで圧縮し、メールに添付し送信する。

図1は、それらのメールをWindows 7のOutlookで受信したものだ。尚、ここでは、既定で有効になっている「登録されている拡張子は表示しない」のチェックを外して拡張子を表示するように設定してあり、Windows標準のエクスプローラーを拡張子.zipに関連付けしている。少し小さいが添付ファイルのアイコンが黄色にチャックの付いたエクスプローラーのものになっているのが見える。

以降、左側がWord文書に偽装した実行ファイル、右側が本物のWord文書となる。

図1 左がWord文書に偽装した実行ファイル、右がWord文書ファイル
ZIPで圧縮し添付し、Outlookで受信

添付ファイルをクリックして開いたのが図2となる。拡張子.zip に関連付けがされている標準のエクスプローラーで開かれる。

まずは、アイコンを比較してみると、右のWord文書では表示されるWordのアイコンが、左の偽装されたファイルでは緑の実行ファイルを表すアイコンが表示される。エクスプローラーで圧縮ファイルを開いた場合は、実行ファイルの中のリソースのアイコンは表示されないので、アイコンの偽装工作が効かない。

図2 アイコンを比較する

次に、ファイルの拡張子を比較してみると、右のWord文書では、正しいWord文書の拡張子 .docx が表示されているが、左の偽装ファイルでは、実行ファイルの拡張子 .exe が表示されている。

図3 拡張子を比較する

また、表示形式を「詳細」にし、ファイルの種類が表示される様にする。右のWord文書では、種類が「Microsoft Word 文書」となっているが、左の偽装ファイルでは「アプリケーション」と実行ファイルを表すものになっている。

図4 詳細表示にし、ファイル種類を比較する

 最後に、ファイルをクリックして実行してみる。右のWord文書では、Microsoft Wordが立ち上がり文書が開かれたが、左の偽装ファイルでは「セキュリティの警告」が表示された。ここで警告を無視して「実行」をクリックすると、実行ファイルが実行されてしまうが、「キャンセル」をクリックすれば、実行はキャンセルされる。

図5 ファイルをクリックして実行する

「セキュリティの警告」が表示されるのは、解凍したファイルにZoneIDという、インターネットから取得したことを表す識別子が付加されているためだ。また、右のMicrosoft Wordも「保護されたビュー」という制限されたサンドボックス環境で開かれるため攻撃を受けにくくなる。エクスプローラーではなく、Lhaplusなどのサードパーティ製のアーカイバで圧縮ファイルを開くと、ZoneIDが欠落してしまうため、「セキュリティの警告」が表示されずに実行されてしまうし、Office文書も「保護されたビュー」ではなく通常モードで開かれる。

もう一度、文書ファイルに偽装した実行ファイル及び、本物のWord文書ファイルをZIP圧縮した添付ファイルをWindows標準のエクスプローラーで開き、実行するまでの手順を図6、図7に示す。

図6 文書ファイルに偽装した実行ファイルをZIP圧縮した添付ファイルを
Windows標準のエクスプローラで開き、実行する

図7 Word文書ファイルをZIP圧縮し添付したファイルを
Windows標準のエクスプローラーで開き、実行する





この様に、受信者が不審なメールと見抜くポイントは、
  1. Fromアドレスや件名、本文などに不自然な箇所がないか?
  2. 圧縮ファイルをエクスプローラーで開いた時のアイコンが実行ファイルを表すものでないか?
  3. 拡張子が実行ファイル(.exe .scr など)のものではないか?
  4. ファイル種類が「アプリケーション」でないか?
  5. 実行時に「セキュリティの警告」が表示されるか?
と複数ある。
この内、1に関しては、業務内容などから違和感のない巧妙なものが多くなっており、見抜くことは非常に困難になっているが、2から5を偽ることは困難で、「拡張子を表示されるようにする」「ZIPファイルを標準のエクスプローラーで開く様に関連付ける」などの正しい設定を行い、利用者に正しい知識の周知を行っていれば、見抜くことは可能なはずだ。


JTBの事件を受けて、標的型メール訓練への関心が再び高まっていると思われるが、標的型メール訓練を実施する際は、Fromアドレスや件名、本文などに不審な箇所がないかを見分けさせる訓練に終始するのではなく、是非、このような項目に着目した訓練を実施していただきたい。

2016年6月21日火曜日

巧妙な標的型メールを見抜くポイントはある。しかも、Windowsの標準機能だけで、

JTB個人情報流出事件に関して、「標的型メールは非常に巧妙で、一般のオペレータが本物のメールと見分けることは困難であった」との記事を良く目にする。確かに、JTBに届いたメールの詳細(*1, *2) を見ると、実際の業務から見て違和感のない内容であり、オペレータが添付を開いてしまうのもやむを得ないであろう。

*1 JTBへの不正アクセスについてまとめてみた
http://d.hatena.ne.jp/Kango/20160614/1465925330
*2 JTB個人情報793万件流出か?…標的型攻撃の巧妙な手口
http://www.yomiuri.co.jp/science/goshinjyutsu/20160615-OYT8T50004.html

しかし、JTBの件では、添付ファイルは文書ファイルにアイコン偽装された実行ファイルを圧縮した形式となっており、感染に至るには、展開された実行ファイルを開くという操作が更に必要になる。この間にオペレータが気付くことが出来るポイントがなかったのかを考察してみたい。

尚、IPAを情報ハブとしてサイバー攻撃の情報共有を行う取り組みである「サイバー情報共有イニシアティブ(J-CSIP)」が2016年4月に公表した、資料(*3) によると、標的型メールの添付ファイルの92%が実行ファイルであり、これらの内の多くが暗号化(パスワード付き)zip 形式で添付されていたということだ。JTBの件での添付ファイルが暗号化(パスワード付きzip)されていたかどうかは、報道では明らかにされていないが、実行ファイルを圧縮して添付するというのは、標的型メール攻撃での最も典型的な手口といえる。

*3 サイバー情報共有イニシアティブ(J-CSIP) 運用状況[2016 年 1 月~3 月]
http://www.ipa.go.jp/files/000052203.pdf



図1は、アイコンをWord文書ファイルに偽装した実行ファイルをWindows7のエクスプローラで表示させたものだ。確かにこれだけを見ると文書ファイルと見分けがつかない。

図1 文書ファイルに偽装した実行ファイル


次に、同じフォルダにWord文書を新規作成して並べてみる。Windowsの初期設定では、登録されている拡張子は表示されないため、やはり、これだけで見分けるのは難しいことがわかる。


図2 左が偽装した実行ファイル、右がWord文書ファイル
登録されている拡張子は表示しない(既定の設定)

ここで、フォルダーオプションから表示を選択し、既定で有効になっている「登録されている拡張子は表示しない」のチェックを外してみる。

図3 登録されている拡張子は表示しないのチェックを外す


すると、図4の様に拡張子が表示されるようになった。

図4 左が偽装した実行ファイル、右がWord文書ファイル
登録されている拡張子は表示しないのチェックを外した状態


更に、エクスプローラーの表示方法を「詳細」に変更してみる。

図5 詳細表示にしてファイルの種類を表示させる


すると、偽装したファイルでは、ファイルの種類が「アプリケーション」と表示されるようになった。

この様に、メールの添付ファイルを開く場合は、必ずファイルの拡張子と種類を表示させ、確認することを周知し、それを徹底させる訓練を行うことで、例え、標的型メールの送信元アドレスや本文が業務内容に沿った巧妙なものであっても、偽装された実行ファイルと見抜くことは可能なのではないか?

JTBでは、定期的に標的型メール攻撃に使われるものに似た疑似メールを送るなどの訓練を行っていたとされるが、果たしてこのような項目に着目した訓練を行っていたのだろうか?



更に、添付された圧縮ファイルを開く時に、Windows標準のエクスプローラーを使用していれば、図6の様に、偽装アイコンは表示されないし、実行ファイルの実行時には「セキュリティの警告」が表示される

図6 Word文書に偽装した実行ファイルをZIP圧縮し添付
Outlookで受信、Windows標準のアーカイバで解凍(Windows7)



エクスプローラーではなく、Lhaplusなどのサードパーティ製の解凍ソフトを使用している場合は、ZoneIDが欠落してしまうため、警告なしで実行ファイルが実行される。しかし、この場合でも、ファイルの拡張子と種類を表示させ確認することを徹底させていれば、実行ファイルと気付くことは可能なはずだ。
図7 Word文書に偽装した実行ファイルをZIP圧縮し添付
Outlookで受信、Lhaplusで解凍(Windows7)

また、その他にも、「Windows SmartScreen」や「ソフトウェア制限ポリシー」「AppLocker」など、Windowsの標準機能だけで、標的型メール攻撃に有効な対策は色々とある。これらについては、以下の記事で詳細を解説しているので、詳しくはそちらを参照いただきたい。

設定を見直すだけ、いますぐ簡単にできる「標的型メール攻撃対策」
http://www.atmarkit.co.jp/ait/articles/1409/05/news006.html
続・設定を見直すだけ、いますぐ簡単にできる「標的型メール攻撃対策」
http://www.atmarkit.co.jp/ait/articles/1509/16/news007.html

「すぐできる標的型攻撃対策 Windows標準のセキュリティ機能を利用した対策」
http://www.jnsa.org/aboutus/jnsaml/ml-71.html


まとめ


  1. 標的型メールの送信元Fromアドレスや、タイトル、メール本文、添付ファイル名は、業務内容からみて全く違和感のない巧妙なものになっている。これらから標的型メールかどうかを見極めるのは不可能。
  2. 標的型メールの典型的な手口は、文書ファイルにアイコン偽装した実行ファイル(.exe .scr等)をZIP等で圧縮して添付するもの。
  3. 拡張子、ファイル種類(詳細表示)を常に表示させる様な設定をシステムとして行う。(グループポリシーの「フォルダオプション」)
  4. 添付ファイルの解凍後は、ファイルの拡張子、種類を必ず確認することを周知し、それを徹底させるような訓練を行う。
  5. その他にも、「セキュリティの警告」「Windows SmartScreen」「ソフトウェア制限ポリシー」「AppLocker」など、Windows標準のセキュリティ機能だけで、標的型メール攻撃に有効なものがあるので、それらを有効活用する。