マルウェア(3)
マルウェアによる攻撃<3>
標的型攻撃
特定の組織内の情報を狙って行われるサイバー攻撃の一種であり、その組織の構成員宛てにコンピュータウイルスが添付された電子メールを送ることなどによって開始される。
| (ア)メールのテーマ | @知らない人からのメールだが、メール本文のURLや添付ファイルを開かざるを得ない内容 (例1)新聞社や出版社からの取材申込や講演依頼 (例2)就職活動に関する問い合わせや履歴書送付 (例3)製品やサービスに関する問い合わせ、クレーム (例4)アンケート調査 |
|---|---|
| A心当たりのないメールだが、興味をそそられる内容 (例1)議事録、演説原稿などの内部文書送付 (例2)VIP訪問に関する情報 | |
| Bこれまで届いたことがない公的機関からのお知らせ (例1)情報セキュリティに関する注意喚起 (例2)インフルエンザ等の感染症流行情報 (例3)災害情報 | |
| C組織全体への案内 (例1)人事情報 (例2)新年度の事業方針 (例3)資料の再送、差替え | |
| D心当たりのない、決裁や配送通知 (英文の場合が多い) (例1)航空券の予約確認 (例2)荷物の配達通知 | |
| EIDやパスワードなどの入力を要求するメール (例1)メールボックスの容量オーバーの警告 (例2)銀行からの登録情報確認 | |
| (イ)差出人のメールアドレス | @フリーメールアドレスから送信されている |
| A差出人のメールアドレスとメール本文の署名に記載されたメールアドレスが異なる | |
| (ウ)メールの本文 | @日本語の言い回しが不自然である |
| A日本語では使用されない漢字繁体字、簡体字)が使われている | |
| B実在する名称を一部に含むURL が記載されている | |
| C表示されているURL(アンカーテキスト)と実際のリンク先のURLが異なる(HTMLメールの場合) | |
| D署名の内容が誤っている (例1)組織名や電話番号が実在しない (例2)電話番号がFAX 番号として記載されている | |
| (エ)添付ファイル | @ファイルが添付されている |
| A実行形式ファイル(exe / scr / cplなど)が添付されている | |
| Bショートカットファイル(lnkなど)が添付されている | |
| Cアイコンが偽装されている (例1)実行形式ファイルなのに文書ファイルやフォルダのアイコンとなっている | |
| Dファイル拡張子が偽装されている (例1)二重拡張子となっている (例2)ファイル拡張子の前に大量の空白文字が挿入されている (例3)ファイル名にRLO4が使用されている |
対策
コンピュータ上での対策
- ファイルの拡張子を必ず表示するように設定しておく
- 可能であればファイルの送信者に直接内容を確認する
- ファイルのアイコンだけで判断せず、拡張子や属性(プロパティ)を確認する
- 添付ファイルを開く際は、直接クリックせずにいったん別な場所に保存して拡張子や属性を確認する
- 圧縮ファイルを解凍する際は、解凍ソフトのアイコンにドラッグアンドドロップして開く
運用管理面での対策
- 標的型攻撃に対する従業員の意識やリテラシーの向上
(擬似的な標的型攻撃メールを従業員に送信し、対処・評価する) - 標的型攻撃の迅速な情報集約と対応指示ができる体制やルールの整備
技術面での対策
- 入口対策の実施
- 出口対策の実施
- 内部プロキシサーバと外部プロキシサーバを多段構成で設置し、クライアントPCからインターネットへの通信はすべてプロキシサーバ経由(内部→外部)とする
- プロキシを介さないアウトバンド通信をファイアウォール(FW)で遮断
- FWの遮断ログ解析によってマルウェアのバックドア通信を発見し、感染端末を特定
- RATによる内部プロキシへの通信(CONNECT接続)を検知し、遮断
- VLAN等により、重要サーバが直接インターネットへの通信を行わないように設計
- 認証サーバ(Active Directory等)自体及び同サーバを管理するセグメントの防護
- スイッチ等(L2、L3)によるネットワークの分離設計及び不要なルーティング設定の排除
- ファイアサーバやルータのシステム負荷及びログ容量等の異常を監視
- その他不要な通信(P2PによるRPC通信等)の排除
