HOME情報セキュリティ情報セキュリティ対策脆弱性対策標的型攻撃に関する調査結果

本文を印刷する

情報セキュリティ

標的型攻撃に関する調査結果

掲載日 2010年6月2日
独立行政法人 情報処理推進機構
セキュリティセンター

 IPA(独立行政法人情報処理推進機構、理事長:西垣 浩司)は、「情報窃取を目的として特定の組織に送られる不審なメール(標的型攻撃)」の実態の把握と対策を促進するための調査レポートとして「脆弱性を狙った脅威の分析と対策について Vol.3」をまとめ、2010年6月2日(水)から、IPAのウェブサイトで公開しました。

概要

 近年、ソーシャルエンジニアリング(*1)やマルウェア(*2)などを利用した、脆弱性を狙った攻撃による被害が発生しています。IPAセキュリティセンターでは、それら攻撃への対策促進のため、「脆弱性を狙った脅威の分析と対策について」(*3)を公開しています。今回、2009年12月に「不審メール110番」(*4)に相談があった標的型攻撃の詳細を明らかにするとともに、近年の標的型攻撃の特徴と対策方法をまとめ、「脆弱性を狙った脅威の分析と対策について Vol.3」として公開しました。

 攻撃に用いられたメールを解析した結果、今回の攻撃は、攻撃時点でのソフトウェアの最新バージョンでも対応していない脆弱性を使用したゼロデイ攻撃でした。また、標的型攻撃メールの受信者へヒアリングを行った結果から、標的型攻撃メールの「違和感に気付くポイント」と「違和感に気付いた後の対策ポイント」をまとめました。

 今回の標的型攻撃メールの特徴は以下の通りです。
(1) メールの受信者が信頼することを狙った、官公庁をかたる送信元と署名
(2) 宛先は業務用メーリングリスト
(3) メーリングリストの用途に合わない件名
(4) 添付ファイルはPDFファイル(実態はAdobe Readerに存在する脆弱性を利用し、攻撃を実行するマルウェア)
(5) 件名と結びつかない本文

標的型攻撃メールの受信者へのヒアリングにより判明した、受信したメールの「違和感に気付くポイント」と、「違和感に気付いた後の対策ポイント」は以下の通りです。

【違和感に気付くポイント】
 今回解析した標的型攻撃メールの受信者は、下記のポイントからこのメールが標的型攻撃ではないかとの疑いを持ち、添付ファイルを開くことはしませんでした。
■最初、送信者と同名の職員からのメールかと思ったが、その職員が送りそうにない件名である
■業務用のメーリングリスト宛てなのに、件名が「私信」である
■送信者に心当たりがないのに、「先日は…」という書き出しで始まる

【違和感に気付いた後の対策ポイント】
下記は、受信者が標的型攻撃メールの受信後に行った対応です。
■差出人の所属先が存在するか調査した
■該当メールを読む可能性がある人へ、添付ファイルを開くことなくメールを削除するように連絡した
■「不審メール110番」に連絡した

 標的型攻撃等のメールを利用した攻撃に対しては、まず、上記のポイントを把握しメールの添付ファイルを開かないようにするとともに、「メールの本文に宛名が明記されていない」等の、その他の違和感に気付くポイントを見逃さないようにして、マルウェアの実行を防いでください。加えて、万が一添付ファイルを開きマルウェアが実行された場合に備え、使用しているソフトウェアの脆弱性を解消するために、MyJVNバージョンチェッカ(*5)等を利用した定期的なバージョンアップ等の日常的な対策も必要です。
 IPAでは今後も新しい脅威について調査・分析を実施し、「脆弱性を狙った脅威の分析と対策について」として定期的に対策を発表していきます。

本書(全8 ページ)は、次のURL よりダウンロードの上、ご参照ください。

報告書のダウンロード

プレスリリースのダウンロード

脚注

(*1)話術や盗み聞き・盗み見等を利用し、人間の心理・行動の隙を突くことで情報を不正に取得する手段の総称。

(*2)Malicious Software:悪意あるプログラム。ユーザの望まない悪さをするプログラムのこと。

(*3) 「脆弱性を狙った脅威の分析と対策について Vol.1」
「脆弱性を狙った脅威の分析と対策について Vol.2」

(*4)不審メール110番

(*5)MyJVNバージョンチェッカ

本件に関するお問い合わせ先

IPA セキュリティセンター 小林/中野/長谷川

Tel: 03-5978-7527 Fax: 03-5978-7518
E-mail: 電話番号:03-5978-7527までお問い合わせください。