トップ   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS

・悪意のあるファイルを添付したフィッシングメール のバックアップソース(No.5)

#author("2019-11-15T09:48:54+09:00","","")
[[IPAセキュリティPT評価版]]

*悪意のあるファイルを添付したフィッシングメール [#l318b003]

**戦術 [#k950d2ab]
初期侵入

**対象OS [#occd3537]
-Linux
-Windows
-macOS


**概説 [#u85905d9]
偽って取引先や関係者を装い悪意あるプログラム(マルウェア)を電子メールに添付して送信します。本文には、添付ファイルの内容確認を促す内容が書かれています。添付ファイルを開くと、マルウェアが端末に送り込まれ、情報漏洩や改ざんなどの被害を受けます。~
差出人は、eコマースサイト、宅配便業者、銀行、保険会社クラウドサービス事業者などさまざまですが、これらに限りません。~
マルウェアの初期侵入の経路として、このテクニックが最も使われており、この対策をしっかり行うことで、被害を相当軽減することが可能です。一方で、攻撃側は、「ご意見をおねがいします」「アンケートのお願い」「緊急」「口座を封鎖」などといった巧みな文面で添付ファイルを開かせようとします。~
マルウェアは、スクリプト言語や実行形式のプログラムを組み合わせて、様々な方法で感染を試みるため、スクリプト言語(VBA、PowerShellなど)の実行に制限をかけることが重要です。Active Directoryが導入されている場合は、Word、Excelのグループポリシーの設定をすべきです。~
VBAやPowerShellが必要な端末は、コード署名を行い、動作を許可する端末を文書化します。定期的にログの監査を行うことで、マルウェアの検出が可能となります。
マルウェア感染の影響を考えると、サーバーや開発環境での電子メールの運用やブラウザの利用は禁止します。分離が困難な開発端末などでは、端末に仮想環境を追加し、電子メールやブラウザからのマルウェアの混入を避けることも検討してください。

**緩和の方針 [#h8c939bd]
電子メールシステムと、重要資産が適切に分離され、適切に防御されている場合は、被害を受ける可能性が下がります。
但し、開発システム、重要システムなどが適切に分離されていない状況では、システムに侵入され直接的被害を被る可能性が極めて高くなります。

**運用やNetworkが変更された場合の影響の有無 [#a0adfee4]
重要資産を有する端末、サーバーで直接この手法を使用された場合、侵入、情報漏洩、改ざん、他のシステムへの感染などが想定されます。
**優先すべき措置 [#zb9d7146]
メール閲覧端末と、重要資産を有するシステム、端末厳格な分離の検討。
脆弱性アップデートの徹底。
アンチウイルスでの完全スキャンの実施。
Officeマクロの使用制限(保護ビュー設定)と使用許可端末の文書化、監査。
侵入検知システムの導入。
**ユーザー運用管理責任 [#b6ef8f3c]
***リスクの受容 [#bc0a2dcf]
ZeroDayなどの未知の脆弱性を使った特定個人を狙う標的型攻撃が想定される場合で、守るべき資産の漏洩、改ざんを受けても被害が軽微と想定される場合は、受容するものとし、保険での損害賠償を検討します。
***啓発・教育 [#lf58a54d]
ユーザートレーニングで、知らない・不明な・不審な・日本語がおかしいファイルを開かない、コンテンツの警告が出た場合は開かない、Officeの保護されたビューの重要性の理解を促進してください。
[[フィッシング対策協議会:https://www.antiphishing.jp/]]から最新の手口を入手し、ユーザーと共有してください。

***利用規程 [#e13c026d]
VBA、スクリプトを使用する端末の文書化と定期監査の規程。
仮想端末利用規程。
脆弱性アップデート及びアンチウイルス運用規程。(確実なアップデートの実施と完全スキャンの強制)

**情報システム設計開発部門・運用部門(ベンダー代行を含む) [#p90b50f3]
***NWデザイン [#v334a623]
メール閲覧端末と重要資産システムとのネットワークセグメントの分離。
状況に応じ重要資産システムセグメントでのPOP、SMTP、IMAP、HTTP、HTTPSプロトコルの禁止。



***アクセスコントロール [#ua3552cb]
Office文書の保護されたビューの設定。
***フィルタリング [#p504dd50]
UTM(悪意あるサイト、コンテンツのブロック)の導入。
侵入検知システムの導入。
***ロール運用 [#d016358f]
重要資産システム管理端末でのメール閲覧の禁止。~
VBA、スクリプト使用端末の文書化と監査。~
許可されていない端末でのOffice文書、PDF文書等への保護ビューポリシー適用。
***仮想端末運用 [#r9a5b184]
電子メールを扱う端末と、開発・重要業務を扱う端末の分離。この場合、ネットワークセグメント分離が望ましい。
***エンドポイント対策 [#tc40619b]
脆弱性アップデートの実施。~
アンチウイルスのパターンファイルの更新、週1回以上の完全スキャンの実施。~
Endpoint Detection and Responseの導入。~
**受託開発ベンダー管理責任 [#h3dff5e4]
***セキュアコーディング [#xa5e8103]
VBA、スクリプト等へのコード署名
***開発環境管理 [#ye1ec962]
ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。
例外はすべて文書化し、適切な監査を実施する。

***サプライチェーン正常性維持 [#m4161498]
ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。
例外はすべて文書化し、適切な監査を実施する。





#br
#br
----
#article