HOMEIPAについて新着情報プレス発表 実例から分かる標的型攻撃メールの「違和感に気付くポイント」と「違和感に気付いた後の対策ポイント」

本文を印刷する

IPAについて

プレス発表 実例から分かる標的型攻撃メールの「違和感に気付くポイント」と「違和感に気付いた後の対策ポイント」

2010年6月2日
独立行政法人 情報処理推進機構

 IPA(独立行政法人情報処理推進機構、理事長:西垣 浩司)は、「情報窃取を目的として特定の組織に送られる不審なメール(標的型攻撃)」の実態の把握と対策を促進するための調査レポートとして「脆弱性を狙った脅威の分析と対策について Vol.3」をまとめ、2010年6月2日(水)から、IPAのウェブサイトで公開しました。

概要

 近年、ソーシャルエンジニアリングやマルウェアなどを利用した、脆弱性を狙った攻撃による被害が発生しています。IPAセキュリティセンターでは、それら攻撃への対策促進のため、「脆弱性を狙った脅威の分析と対策について」を公開しています。今回、2009年12月に「不審メール110番」に相談があった標的型攻撃の詳細を明らかにするとともに、近年の標的型攻撃の特徴と対策方法をまとめ、「脆弱性を狙った脅威の分析と対策について Vol.3」として公開しました。

 攻撃に用いられたメールを解析した結果、今回の攻撃は、攻撃時点でのソフトウェアの最新バージョンでも対応していない脆弱性を使用したゼロデイ攻撃でした。また、標的型攻撃メールの受信者へヒアリングを行った結果から、標的型攻撃メールの「違和感に気付くポイント」と「違和感に気付いた後の対策ポイント」をまとめました。

 今回の標的型攻撃メールの特徴は以下の通りです。
① メールの受信者が信頼することを狙った、官公庁をかたる送信元と署名
② 宛先は業務用メーリングリスト
③ メーリングリストの用途に合わない件名
④ 添付ファイルはPDFファイル(実態はAdobe Readerに存在する脆弱性を利用し、攻撃を実行するマルウェア)
⑤ 件名と結びつかない本文

標的型攻撃メールの受信者へのヒアリングにより判明した、受信したメールの「違和感に気付くポイント」と、「違和感に気付いた後の対策ポイント」は以下の通りです。

【違和感に気付くポイント】
 今回解析した標的型攻撃メールの受信者は、下記のポイントからこのメールが標的型攻撃ではないかとの疑いを持ち、添付ファイルを開くことはしませんでした。
■最初、送信者と同名の職員からのメールかと思ったが、その職員が送りそうにない件名である
■業務用のメーリングリスト宛てなのに、件名が「私信」である
■送信者に心当たりがないのに、「先日は…」という書き出しで始まる

【違和感に気付いた後の対策ポイント】
下記は、受信者が標的型攻撃メールの受信後に行った対応です。
■差出人の所属先が存在するか調査した
■該当メールを読む可能性がある人へ、添付ファイルを開くことなくメールを削除するように連絡した
■「不審メール110番」に連絡した

 標的型攻撃等のメールを利用した攻撃に対しては、まず、上記のポイントを把握しメールの添付ファイルを開かないようにするとともに、「メールの本文に宛名が明記されていない」等の、その他の違和感に気付くポイントを見逃さないようにして、マルウェアの実行を防いでください。加えて、万が一添付ファイルを開きマルウェアが実行された場合に備え、使用しているソフトウェアの脆弱性を解消するために、MyJVNバージョンチェッカ等を利用した定期的なバージョンアップ等の日常的な対策も必要です。
 IPAでは今後も新しい脅威について調査・分析を実施し、「脆弱性を狙った脅威の分析と対策について」として定期的に対策を発表していきます。

本書(全8 ページ)は、次のURL よりダウンロードの上、ご参照ください。

報告書のダウンロード

プレスリリースのダウンロード

本件に関するお問い合わせ先

IPA セキュリティセンター(IPA/ISEC) 小林/中野/長谷川

Tel: 03-5978-7527  Fax: 03-5978-7518

E-mail:

報道関係からのお問い合わせ先

IPA 戦略企画部広報グループ 横山/大海

Tel: 03-5978-7503  Fax: 03-5978-7510  E-mail: