HOME情報セキュリティ組織外部向け窓口部門の方へ:「やり取り型」攻撃に対する注意喚起 ~ 国内5組織で再び攻撃を確認 ~

本文を印刷する

情報セキュリティ

組織外部向け窓口部門の方へ:「やり取り型」攻撃に対する注意喚起 ~ 国内5組織で再び攻撃を確認 ~

掲載日:2014年11月21日
最終更新日:2014年11月21日
独立行政法人情報処理推進機構
(PDF版はこちら)

 IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、J-CSIP(*1)とJ-CRAT(*2)の一連の活動により、標的型サイバー攻撃の手口の一つである「やり取り型」攻撃(無害なメールのやり取りの後でウイルス付きのメールを送信してくる手口)が、2014年8月から10月にかけ、再び、国内の複数の組織に対して行われたことを確認しました。また、メールの添付ファイルを開封させ、ウイルスに感染させるための「やり取り」が巧妙さを増していることから、改めて利用者、特に各組織の外部向け窓口の担当者へ注意を呼びかけます。

「やり取り型」攻撃とは

 「やり取り型」攻撃とは、一般の問い合わせ等を装った無害な「偵察」メールの後、ウイルス付きのメールが送られてくるという、標的型サイバー攻撃の手口の一つです。攻撃者からのメールは、その内容を確認したり、返信せざるをえない外部向け窓口部門等に対して送られてきます。メールの受信者が攻撃者からのメールに返信すると、辻褄の合う会話とともに、ウイルスの形態を執拗に変化させながら、なんとかして添付ファイル(ウイルス)を開かせ、受信者のパソコンへウイルスを感染させようと試みてくることが特徴です(図1)。

図1 「やり取り型」攻撃のイメージ

図1 「やり取り型」攻撃のイメージ (図を拡大

「やり取り型」攻撃の観測状況と事例

 IPAでは、「やり取り型」の攻撃手口を2011年7月に最初に確認してから、2012年以降も断続的に発生していることを確認しています。特に、2012年7月から11月に発生した、複数の国内組織に対する一連の「やり取り型」攻撃については、「サイバー情報共有イニシアティブ(J-CSIPジェイシップ) 2013年度 活動レポート」(*3)において、その実態の一端を明らかにしました。

 「やり取り型」攻撃は、この一年間、ほとんど確認されていませんでしたが、IPAへの情報提供等から、2014年8月から10月にかけ、再び、少なくとも国内の5つの組織に対し、同等の攻撃が計7件発生したであろうことを確認しました(*4)

 8月に発生した事例を「表1」に、10月に発生した事例を「表2」に示します。これらは、「J-CSIP 2013年度 活動レポート」で取り上げた事例に比べ、「メールの添付ファイルを開かせるため様々に理由を取り繕う」、「時には添付ファイルを開かせることよりも、相手に自分を信用させることを優先する」と思われる行動を取るなど、一段と手口が巧妙化していることがうかがえます。

2014年8月の事例

 2014年8月に発生した事例を「表1」に示します。

表1 2014年8月の「やり取り型」攻撃の事例(メールの流れ)
No. 種別 内容
1 偵察 「**セミナーについて」という件名で、当該組織が主催するセミナーについて、問い合わせ窓口の確認の無害なメールが届いた。
2 返信 窓口の案内を返信した。
3 攻撃
(1)
「質問書を送付する」という内容で、Word文書ファイル形式のウイルスが添付されたメールが届いた。ウイルスが悪用する脆弱性は既知(修正プログラム公開済み)のものであった。
4 返信 添付ファイルの内容が確認できなかったこと、そして、メール本文に用件を記載して再送いただくよう返信した。
5 攻撃
(2)
「質問書に図があるため本文に書けない」という内容で、パスワード付きRAR形式の圧縮ファイルが添付されたメールが届いた。
6 返信 RAR形式のファイルが受信できなかったため、別の形式で添付ファイルを再送いただくよう返信した。
7 攻撃
(3)
ファイルの拡張子を「.zip」に変更した添付ファイルが再送された。実際にはパスワード付きRAR形式の圧縮ファイルであり、RARファイルの中には、RLO(*5)で拡張子を「.doc」に偽装した実行ファイル形式のウイルスが入っていた。
なお、このRARファイルは「Lhaplus」で解凍可能(*6)であった。
8 偵察 翌日、更に「返事を待っている」旨、メールが届いた(添付ファイル無し)。
9 返信 添付ファイルの内容が確認できなかったこと、そして、電話で確認したい旨を返信した。
10 攻撃
(4)
「今は電話連絡できない」「Word文書ファイルで添付ファイルを再送する」という内容のメールが届いた。このメールには、RLOで拡張子を「.doc」に偽装した実行ファイル形式のウイルスが圧縮されずに添付されていた。

 この表1(2014年8月)の事例では、メールNo.3、No.5、No.7、No.10の4通のウイルス付きの攻撃メールにおいて、必要に応じて理由を取り繕い、それぞれ異なる形式でウイルスが送られました。また、No.8のメールでは、攻撃メールを送った後で返信が無かったことを受け、催促するためのメールを送ってきています

 そのほか、用件を本文に記載するよう要求(メールNo.4)すると、図があるため本文に書けない(添付ファイルを開くよう誘導)と受け答え(メールNo.5)、電話で確認したい旨を要求(メールNo.9)すると、今は電話連絡できない(メールNo.10)、といったやり取りが行われました。

 やり取りの特徴だけでなく、メールの送信元IPアドレスが2012年7月の「やり取り型」攻撃と一致(*7)していた点や、添付されていたウイルスの類似性等から、同一の攻撃者(または攻撃グループ)による国内組織への攻撃が数年に渡り継続しているものと推測され、また、攻撃は今後も続くものと考えられます。

2014年10月の事例

 続いて、2014年10月に発生した事例を「表2」に示します。

表2 2014年10月の「やり取り型」攻撃の事例(メールの流れ)
No. 種別 内容
1 偵察 某所の研究員を名乗る者から、当該組織がウェブサイトで公開している記事への質問について、問い合わせ窓口の確認の無害なメールが届いた。宛先のメールアドレスは、当該組織のウェブサイトから知ったと書かれていた。
2 返信 質問を受け付ける旨、返信した。
3 攻撃 「質問内容を送付する」という内容で、パスワード付きzipファイルが添付されたメールが届いた。更に、パスワードは別途送付する旨が書かれていた(このzipファイルの中には、Word文書ファイルのアイコンに偽装した実行ファイル形式のウイルスが入っていた)。
4 偵察 約1分半後、zipファイルのパスワードを通知するメールが送られた。メールの文面には、「このメールは自動で配信されています。」などと書かれており、メール暗号化システムが自動的にパスワードを作成・送付しているかのように見えるものに偽装されていた。
5 返信 添付ファイルの内容が確認できなかったこと、そして、メール本文に用件を記載して再送いただくよう返信した。
6 偵察 約40分後、記事の内容に関する質問がメール本文に書かれて再送されてきた。質問は短く簡単な内容だが、当該組織が公開している記事に関する妥当な内容であった。

 表2(2014年10月)の事例は、表1の事例とは別の組織に対して行われた攻撃です。窓口の確認から始まる一連の攻撃の流れは他の「やり取り型」攻撃と同じですが、メールNo.3とメールNo.4で、パスワード付きのファイルを授受する際に実際によく行われる、「パスワードは別のメールで送る」という慣例を模してウイルス付きの攻撃メールが送られました。

 また、No.5のメールで、添付ファイルではなく本文に用件を記載するよう要求したところ、これまでに無かった攻撃者の行動として、No.6のメールで、実際に用件を本文に記載してきました。すなわち、No.3の添付ファイル(ウイルス)を窓口担当者に開かせることは一旦諦めたことになります。これは、このやり取りで強引に添付ファイルを開かせることよりも、自分が攻撃者であると認識され警戒されないように、自然なメールのやり取りを継続し、相手に自分を信用させ、次の攻撃の機会を狙うことを優先したものと考えられます。このやり取りを続けた場合、再度、別の形でウイルスが送られてきたであろうと思われます。

「やり取り型」攻撃の手口の注意点

 2012年の事例および上記の事例より、「やり取り型」攻撃の手口について、注意すべき点を改めてまとめます。

  • この攻撃手口では、問い合わせへ返信したり、添付ファイルの内容を確認せざるをえない、外部向け窓口が狙われる事例が多くみられます。ただし、問い合わせへ回答するために組織内でメールが転送されることも考えられるため、窓口部門以外でも注意が必要です。
  • 攻撃者は、攻撃を仕掛けている間、すぐにメールやウイルスの送受信ができる状態を保っています。そして、若干不自然な言い回しはありますが、日本語で辻褄の合う会話を行い、やり取りの状況に応じてウイルスの形態を変化させてきます。
  • やり取りを重ねて“学習”することで、一段と手口が巧妙化してきています。
  • 攻撃者は、攻撃が表面化しないよう、一組織あたりの宛先を少数に絞ったり、メールの宛先ごとに異なる話題を使うなど、慎重に行動しています。組織全体の問題として意識しなければ、攻撃が行われていることの認知すらも難しい可能性があります。
  • 攻撃者がパスワード付き圧縮ファイルを使うのは、メールサーバでのウイルスチェックを回避するためだと思われます。また、標的型サイバー攻撃全般に共通して言えることですが、ウイルスのファイルは、ウイルス対策ソフトで検知されにくいように細工されています。このため、ウイルスが窓口部門の担当者の手元まで届いてしまう可能性が高くなっています。

対策

 パソコンを最新状態に保ち脆弱性を解消する、不審なファイル(特に実行形式のファイル)を不用意に開かない、ウイルス対策ソフトをインストールし最新状態を保つといった基本的な対策に加え、次の対策を勧めます。

    (1)  攻撃の手口に対する周知の徹底

    攻撃者は、組織や窓口ごとに異なる話題を持ちかけてくるため、特定の件名(テーマ)や添付ファイルの名前に着目するのではなく、攻撃の手口を認識し、注意を払うようにしてください。特に、外部向けに公開している窓口のメールアドレスやウェブの問い合わせフォーム等に対応する部門へ、改めて注意を促してください。

    (2)  不審メール受信時の連絡および組織内情報共有・集約体制の整備

    不審なメールについて組織内で報告を受ける体制が整っていないと、組織として、標的型サイバー攻撃を受けているか否かの認知もできません。不審なメールを受信した場合は、添付ファイルやメール内のURLリンクを開く前に管理部門へ報告し、管理部門でメールの内容を精査し、同様のメールが他部門へ着信していないか確認するなど、組織内で情報を集約・対応できるような体制を検討してください。また、必要に応じて、下記に示すIPAの相談窓口へご相談ください。

    (3)  外部からの不審な添付ファイルの安全な確認方法の検討

    特に外部向け窓口等については、不審なメールや添付ファイルであっても、業務上、その内容を確認せざるをえない場合が多々あると思われます。このような場合に備え、例えば、組織内ネットワークから隔離したパソコンを使用したり、仮想環境(仮想マシン)を使ったり、組織内へ影響を及ぼさない、安全な、ファイル確認用の環境を用意することが求められます。


 攻撃者の目的は、このような手口によって利用者のパソコンを遠隔操作可能とするウイルスに感染させ、そのパソコンを起点に組織内部のネットワークへ侵入し、情報窃取等の諜報活動を行うことであると考えられます。

 このような脅威に対し、ウイルス感染を完全に阻止することは難しいため、ウイルス感染した場合に備え、組織内の他のパソコン/ネットワークへの侵入や情報の持ち出しを難しくしたり、管理者が異常に気付きやすくするための「内部対策」を考慮したシステム設計も重要です。詳しくは、次の「システム設計ガイド」を参照してください。

(参考)「『高度標的型攻撃』対策に向けたシステム設計ガイド」の公開(IPA)
https://www.ipa.go.jp/security/vuln/newattack.html

標的型サイバー攻撃の特別相談窓口への情報提供のお願い

 IPAでは、一般利用者や企業・組織向けの「標的型サイバー攻撃の特別相談窓口」にて、標的型攻撃メールを含む標的型サイバー攻撃全般の相談や情報提供を受け付けています。限られた対象にのみ行われる標的型サイバー攻撃の手口や実態を把握するためには、攻撃を検知した方々からの情報提供が不可欠です。ぜひ、相談や情報提供をお寄せください。

(参考)標的型サイバー攻撃の特別相談窓口(IPA)
https://www.ipa.go.jp/security/tokubetsu/index.html

脚注

(*1) J-CSIP:Initiative for Cyber Security Information Sharing Partnership of Japan。 公的機関であるIPAを情報ハブ(集約点)の役割として、参加組織間で情報共有を行い、高度なサイバー攻撃対策に繋げていく取り組み。

(*2) J-CRAT:Cyber Rescue and Advice Team against targeted attack of Japan。標的型攻撃に気付いた組織に対する被害拡大と再発の抑止・低減、攻撃連鎖の遮断を目的とする支援活動。

(*3) サイバー情報共有イニシアティブ(J-CSIP)のウェブページからダウンロード可能です。 https://www.ipa.go.jp/security/J-CSIP/

(*4) 偵察メールが無く、最初からウイルスが添付されたメールが届く事例も確認しています。

(*5) RLO:「Right-to-Left Override」という、文字の表示上の並びを左右逆にする制御文字。ファイルの拡張子を偽装する際に悪用され、例えば「abc[RLO]cod.exe」というファイル名の画面表示は「abcexe.doc」となります。

(*6) この「やり取り型」攻撃を行っていると考えられる攻撃者は、2012年の一連の攻撃の中で、圧縮形式と解凍ソフトにおける相性問題を学習したと思われます。詳しくは「J-CSIP 2013年度 活動レポート」を参照してください。

(*7) 「J-CSIP 2013年度 活動レポート」の「案件《1》」とメール送信元IPアドレスが同一でした。

PDF版のダウンロード

本件に関するお問い合わせ先

IPA 技術本部 セキュリティセンター 松坂/入澤

Tel: 03-5978-7527 Fax: 03-5978-7518 E-mail: 電話番号:03-5978-7527までお問い合わせください。

報道関係からのお問い合わせ先

IPA 戦略企画部 広報グループ 横山/白石

Tel: 03-5978-7503 Fax: 03-5978-7510 E-mail: 電話番号:03-5978-7503までお問い合わせください。

更新履歴

2014年11月21日 掲載