引用元:
https://www.ipa.go.jp/security/publications/hakusyo/2019.html
標的型攻撃
ある特定の企業・組織や業界を狙って行われるサイバー攻撃。
標的型攻撃の流れ
①事前調査段階
ターゲットとなる組織を攻撃するための情報を収集する。
・公開されている情報
・ソーシャルエンジニアリング
・メールの盗聴
・なりすまし
等により必要な情報を収集する。
②初期潜入段階
標的型攻撃メールや、Webサイト閲覧を通してウイルスに感染させる。
・標的型攻撃メール
ウイルスを添付したメールを標的とする組織の人間に送付する手法
・「ダウンローダ」と呼ばれる、別のウイルスを外部からダウンロードする機能を
持つウイルスが「初期潜入段階」で用いられることが多い。
③攻撃基盤構築段階
侵入したPC内でバックドアを作成し、外部のC&Cサーバと通信を行い、
新たなウイルスをダウンロードする。
・遠隔操作ウイルス(Remote Access Trojan:RAT)
攻撃者は内部にある端末を遠隔操作可能とするために、RATに感染させることを
試みる。
④システム調査段階
情報の存在箇所特定や情報の取得を行う。
攻撃者は取得情報を基に新たな攻撃を仕掛ける。
⑤攻撃最終目的の遂行段階
攻撃専用のウイルスをダウンロードして、攻撃を遂行する。
事例
(a) Microsoft Office の脆弱性と正規機能を悪用した標的型攻撃
・標的に対して、件名や添付された文書ファイル名にビジネスや日本経済に関する語句を
用いたメールが送られてくる。
・添付された文書ファイルには、脆弱性やDDE(Dynamic DataExchange)等の正規機能
を悪用するプログラムが仕込まれている。
・ファイルが開かれるとC&Cサーバから「Koadic」と呼ばれるRAT をダウンロードし、
感染させる。
・RAT感染後、感染端末のシステム情報が収集され、攻撃対象と判別された場合は、更に
別のRAT「ANEL」がC&C サーバからダウンロードされ、RATを切り替えて目的の情報
を収集する。
・修正プログラムがリリース済みの脆弱性を悪用している。
・正規機能を悪用する攻撃では、その挙動が攻撃なのか正規の動作なのか判別が難しく、
利用者が当該機能を有効にしてしまう場合がある。
(b) ソーシャルエンジニアリングを組み合わせた標的型攻撃
・「Coincheck」が不正アクセスを受け、仮想通貨「NEM」が不正流出する事件。
・まず攻撃者は、事件の半年余り前からSNS 等を通じて同社のシステム管理権限を持つ
技術者らを特定し、それぞれに対して偽名で交流を重ねていく。
・交流を重ねたことで技術者らから信用を得た攻撃者は、URLリンク付きの標的型攻撃
メールを技術者らに送信。技術者らはこれを疑うことなくクリックし、ウイルスに感染
してしまった。
・その後、攻撃者は、外部ネットワークからウイルス感染した端末を経由して社内のNEM
サーバにアクセスし、RAT を使ってNEM の秘密鍵を窃取した後、その秘密鍵を使って
NEMを不正送金。
・相手が標的型攻撃を警戒していたとしても、信用している人物から送られたメールで
あれば、警戒心が薄れ、標的型攻撃メールとは疑わずに開封してしまうことを狙った
ものと推測できる。
(c) なりすましメールと正規のオンラインストレージサービスを組み合わせた標的型攻撃
・文部科学省をかたった不審なメールが送られてきたという情報がSNS に投稿。
メールにはファイルが添付されておらず、ファイルのダウンロード先として、
正規のオンラインストレージサービスのURLリンクが書かれていた。
・URLリンク先には圧縮ファイルが置かれており、その中には文書ファイルに偽装した
実行ファイルが含まれていた。
・受信者がそれを実行してしまうと「PLEAD」と呼ばれるRAT がダウンロードされ、
感染する。
・よく知られた正規のオンラインストレージから受信者自身にウイルスをダウンロード
させる手口。これは、企業・組織内に設置されているメールゲートウェイでの検知を
回避する意図があったものと推測できる。
件名や本文の内容による騙しの手口
・メールの件名や本文に特定の企業・組織・業界でよく用いられる言葉を使用すること
が多い。
・メールの信憑性をより高めるため、本文の最後に実在する関係者の署名が書かれる場合
もある。
・高度な標的型攻撃になると、非公開の情報(組織内部の人間しか知らない情報等)が
用いられることもある。
添付ファイルの手口
・LNK ファイルを悪用する手口
Windows のショートカットファイル(LNK ファイル)にJavaScript やVBScript、
PowerShellのスクリプトと呼ばれる命令を埋め込むことで、実行ファイルと同等の
動作をさせることが可能。
・Microsoft のOLE オブジェクトを悪用する手口
OLE・・・あるアプリケーションで作成されたオブジェクトを、別のアプリケーション
でも使用できるようにする技術。
OLE を悪用すると、Microsoft Office の文書ファイルに悪意のあるプログラムや
ウイルス等をオブジェクトとして埋め込むことが可能になる。
・オンラインストレージサービスを悪用した手口
メールに添付するのではなく、、正規のオンラインストレージ上にウイルスを配置し、
受信者にウイルスをダウンロードさせる手口。
受信者が普段からオンラインストレージを使用している場合、不審に思われる可能性
が低いだけでなく、メールにウイルスを添付しないことでメールの配送経路での検知
を回避できる。
・CSVファイルを悪用した手口
CSV(Comma Separated Values)・・・文字列や数字をカンマで区切ったテキスト
形式のファイル。
CSVファイルに悪意のあるコードを埋め込み、Excel で開かせることで悪意のある
コードを実行させる手口。
・マクロ機能を悪用した手口
Microsoft Office のマクロ機能を悪用し、不正な処理を行うマクロを文書ファイル
内に仕込み、この文書ファイルが攻撃対象の端末で開かれ、マクロが有効化されると、
攻撃者が意図した処理を実行できる。
標的型攻撃の「初期潜入段階」においてRATを感染させる処理の一部で使用されている。
対策
(a)利用者向けの対策
・ソーシャルエンジニアリングに対する注意力の向上
利用者は手口や対処方法を理解しておく。
情報授受の方法等を社内ルールで厳格に決めておく。(電話で重要情報は伝えないetc)
・不審メールに対する注意力の向上
送信者の情報を確認する。(送信者名、メールアドレスetc)
身に覚えのないメールアドレスから送信されている場合、添付ファイルは開かないように
すべき。
送信者に問い合わせる場合は、信頼できる正しい問い合わせ先を別途確認した上で
問い合わせる。
関係する企業・組織のWeb サイトで注意喚起情報が掲載されていないか確認すること
も有効。
・マクロ機能の危険性の理解
マクロ機能は標的型攻撃メールだけでなく、ばらまき型メールでもウイルス感染の
手口として多く用いられているため、不用意に「コンテンツの有効化」
(マクロの有効化)を行わず、受け取った
ファイルの入手元が信頼できるかを確認する等、安全性を確保してから行う。
・オンラインストレージサービスを悪用した手口の理解
オンラインストレージサービスからファイルをダウンロードする際は、まずは本物の
メールであるかどうかを確認する。
・Microsoft OLE オブジェクトの危険性の理解
文書ファイルに不正なOLE オブジェクトを埋め込み、言葉巧みに実行させる手口も
存在することを理解しておく。
・脆弱性放置の危険性の理解
公開されたセキュリティ更新プログラムは適宜適用し、OS や使用している
ソフトウェアを常に最新に保つ。
(b)組織体制による対策
不審なメールを受信した際に連絡すべき窓口を組織内に周知しておく。
CSIRT を組織内に設置する。
CSIRT(Computer Security Incident Response Team)
組織内部・外部における適切な連絡体制の整備、セキュリティインシデントの調査、
分析、セキュリティの教育・啓発活動の実施等を行う組織・体制。
インシデント関連情報を集約し、最高情報セキュリティ責任者(Chief Information
Security Officer:CISO)や担当役員が連携してインシデントに対応する体制を
整備することが重要。
(c)ウイルス感染を想定した訓練と教育
実際のインシデント発生時に適切な対応ができるように、対応能力を維持・向上させる
取り組みが必要。
・利用者向けの取り組みでは、疑似的な標的型攻撃メールを利用者に送信して、
そのメールへの対応を調査する訓練。
→不審メールを受信した場合に着目すべき箇所の再確認や、不審メールを受信した際、
または受信した不審メールの添付ファイルを開いてしまった(ウイルスに感染した)
際に必要となる対処の再確認等を行う。
・具体的な攻撃手口を利用者に事前に周知する。
・他組織で起きたインシデントや自組織で起こりそうなインシデントを基にシナリオ
を作成し、インシデントが起きたことを想定して演習を行う。(CSIRT 向け)
→CSIRT の対応能力の維持・向上や問題点の発見・改善を行い、実際のインシデントに
備える。
(d)システムによる対策
・不審なメールを確保できる仕組みの確立
セキュリティ製品で不審なメールやウイルスを検知→ステム管理者やCSIRT だけが
アクセス可能な場所に隔離し
解析する。→組織内のセキュリティ対策に活かす。
(ウイルスが不正な通信を行うドメインが判明→セキュリティ製品に設定して不正な
通信を検出・遮断)
(メールの送信元等のヘッダ情報から、メールの遮断や、他に同様のメールを受信
していないかを調査)
・ファイルの実行防止
あらかじめシステムや実行ポリシーで、利用者の環境で実行可能なファイルを制限
(ホワイトリスト化)、または実行することが望ましくないファイルの種類を制限
(ブラックリスト化)しておくことで、ウイルスへの感染を防止。
(.js や.ps1 等のような、通常利用しないであろうスクリプトファイルの実行を
禁止する)
・保護ビューの設定
「安全でない可能性がある場所から入手したファイルを読み取り専用の状態で開く機能」
を有効にする。
→悪意のあるMicrosoft OLE オブジェクトを文書ファイルに埋め込む手口の攻撃や、
文書ソフトの脆弱性を悪用する
攻撃等の実行を防げる。
・PowerShell の実行の制限
日常の業務でPowerShell を使用することがない場合、PowerShell の実行をシステム
によって制限する。
・ログの取得と監視
ログを取得するすべての機器の時刻を合わせておき、組織内の通信ログ等を目的に
合わせて取得しておくことで
ウイルスの侵入経路、感染範囲の特定、C&C サーバへの通信の有無等を調査できる。
必要な各種ログを一定期間保存しておく。
SIEM(Security Information andEvent Management)
ログ管理ツール。さまざまな機器やソフトウェアの動作状況の記録(ログ)を一元的に
蓄積・管理し、保安上の脅威となる事象をいち早く検知・分析し、情報漏えいなどの
異常を自動検出して管理者にスピーディに通知する仕組み。
セキュリティ事業者が提供するSOC(Security Operation Center)サービス等を
利用することを検討する。
・アクセス制御の実施
適切にアクセス制御を実施することで、攻撃者に侵入された場合に内部侵害の拡大防止
や被害の局所化につながる可能性がある。
・適切な修正プログラムの適用
IT 資産管理システム等を活用し、組織内の全サーバ・端末に適切に修正プログラムが
適用できる仕組みを作ること。