独立行政法人情報処理推進機構(東京都文京区本駒込、理事長:藤江 一正、以下IPA)は、J-CSIP注1とJ-CRAT注2の一連の活動により、標的型サイバー攻撃の手口の一つである「やり取り型」攻撃が、2014年8月から10月にかけ、再び、国内の複数の組織に対して行われたことを確認した。また、メールの添付ファイルを開封させ、ウイルスに感染させるための「やり取り」が巧妙さを増していることから、特に各組織の外部向け窓口の担当者へ向けて注意を呼びかけている。
「やり取り型」攻撃とは、標的型サイバー攻撃の一種で、一般の問い合わせなどを装った無害な「偵察」メールの後、ウイルス付きのメールが送られてくるという手法を指す。利用者のパソコンに遠隔操作を可能とするウイルスを感染させ、そのパソコンを起点に組織内部のネットワークへ侵入し、情報窃取等の諜報活動を行うことを目的としている。
攻撃メールの多くは、その内容を確認し、対応することを業務とする外部向け窓口部門等に対して送りつけられる。そして、窓口担当者とのメールでのやり取りの過程で添付ファイル(ウイルス)を開封させ、受信者のパソコンへ感染させるべく、辻褄の合う会話とともに、ウイルスの形態を変化させながら、重ねてメールを送信してくる執拗さが特徴となっている。
IPAでは、その「やり取り型」攻撃を、この一年間ほとんど確認していなかったが、J-CSIP、J-CRATの活動から、2014年8月から10月にかけ、少なくとも国内の5つの組織に対し、再び同等の攻撃が計7件発生したことを確認した。また、メールの送信元IPアドレスが2012年7月に確認されたものと一致していたことなどから、当時と同一の攻撃者(またはグループ)によるものと推測されている。
本年8月と10月に発生した事例は、「J-CSIP 2013年度 活動レポート注3」で取り上げた事例に比べ
- メールの添付ファイルを開かせるためにさまざまな理由を取り繕う
- 時には強引に添付ファイルを開かせることよりも、相手に自分を信用させ、次の攻撃機会をうかがうことを優先する
と思われる行動を取るなど、一段と手口が巧妙化していることが伺える。
人間の心理を悪用するため、決定的な有効策は無いが、IPAでは、下記のような個人の意識向上と組織体制を整えることで「やり取り型」攻撃からのリスクを大幅に低減させることができるとしている。
■対策
- 攻撃の手口に対する周知の徹底:
攻撃者は、組織や窓口ごとに異なるもっともらしい話題を持ちかけてくることから、特定の件名(テーマ)や添付ファイルの名称に着目するのではなく、攻撃の手口を理解し、受信メールに注意を払う。特に、外部向けに公開している窓口のメールアドレスやウェブの問い合わせフォームなどに対応する部門への周知を徹底する。
- 不審メール受信時の連絡および組織内情報共有・集約体制の整備:
組織内で情報を集約・対応する体制を整え、不審なメールを受信した際は、添付ファイルやメール内のURLリンクを開く前に管理部門へ報告し、管理部門ではメールの内容を精査し、同様のメールが他部門にも着信していないか確認する。
- 外部からの不審な添付ファイルの安全な確認方法の検討:
特に外部向け窓口等については、不審なメールや添付ファイルであっても、業務上、 その内容を確認せざるをえない場合が多々あるため、組織内ネットワークから隔離したパソコンや、仮想環境(仮想マシン)を使い、メールを開封するなど、ファイル確認用の安全な環境を用意する。
また、IPAは、ウイルス感染を完全に阻止することは難しく、万が一に備えたシステムにおける「内部対策」が重要であるとし、「『高度標的型攻撃』対策に向けたシステム設計ガイド」を作成/公開して、システム面からの対策・普及にも取り組んでいる。
▼注3
J-CSIP 2013年度 活動レポート:https://www.ipa.go.jp/files/000039231.pdf
