トップ   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS

・悪意のあるファイルを添付したフィッシングメール のバックアップ(No.16)


情報システム開発契約のセキュリティ仕様作成のためのガイドライン(案)?
MITRE ATT&CKによる設定対策(絞り込み済み)?

悪意のあるファイルを添付したフィッシングメール

戦術

初期侵入

概説

取引先や関係者を装い悪意あるプログラム(マルウェア)を電子メールに添付して送信します。本文には、添付ファイルの内容確認を促す内容が書かれています。添付ファイルを開くと、マルウェアが端末に送り込まれ、情報漏洩や改ざんなどの被害を受けます。
差出人は、eコマースサイト、宅配便業者、銀行、保険会社、クラウドサービス事業者、組織の上司などさまざまですが、これらに限りません。
マルウェアの初期侵入の経路として、この手法は最も多用されており、被害を軽減するためにも対策を行う必要があります。攻撃側は、「ご意見をおねがいします」「アンケートのお願い」「緊急」「口座を封鎖」などといった巧みな文面で、心理的な圧迫を与え添付ファイルを開かせようとする特徴があります。
同様の手法で、悪意のあるリンクを埋め込んだフィッシングメールがありますが、本対策を参考にしてください。

緩和の方針

多重的に緩和策を検討する必要があります。
この手法は、ユーザーがメール本文で操作を誘導されてしまうことから発生するため、ユーザー教育が効果的です。ユーザーの一定のリテラシーを確保した上で、悪意ある添付ファイルの排除・検知に努める必要があります。

運用やNetworkが変更された場合の影響の有無

  • 後述する重要資産でのWebや電子メールの閲覧は極めてリスクを高くすることから、運用規程の遵守が重要です。

優先すべき措置

  • ユーザー教育
    • 最新のフィッシングメールに関する情報共有や、アンチウイルスソフトのアップデート、完全スキャンの実施方法、OS、アプリケーションのアップデートの実施、確認方法等のユーザートレーニングを企画・検討する。
  • Webブラウザ及び電子メールクライアントと、重要資産を有するシステム・端末の厳格な分離の検討。
    • 管理者権限が必要となる開発端末やヘルプデスク端末では、仮想環境でWebや電子メールの閲覧などを検討する。
    • 特にデバッグ用のコマンドはアプリケーション制御のバイパスや、外部から悪意あるDLLなどをロードすることが可能なため、不要なSDKやコマンドは排除する。
  • 管理者特権の限定運用。
    • 悪意ある添付ファイルを開いた際のユーザー権限で悪意あるプログラムは実行されるため、常に最小権限での運用を徹底する。
  • アンチウイルス、Endpoint Detection and Response や侵入検知システムの導入の検討。

ユーザー運用管理責任

リスクの受容

  • 守るべき資産が電子メールやWebサイトから適切に分離されており、守るべき資産が暗号化されていて、情報の漏洩、改ざんを受けても実質的な情報漏洩や暴露等の被害が軽微と想定される場合は受容します。

啓発・教育

  • ユーザートレーニングで、知らない・不明な・不審な・日本語がおかしいファイルを開かない、コンテンツの警告が出た場合は開かない、Officeの保護されたビューの重要性の理解を促進してください。
  • フィッシング対策協議会から最新の手口を入手し、ユーザーと共有してください。
  • 開発者、ヘルプデスク担当者には、マルウェアの攻撃ベクトルなどを共有し、PowerShell、VBA、VBscript、デバッグコマンドの悪用について、十分な理解を得た上で、リスク緩和策を検討して下さい。

利用規程

  • 電子メールクライアント、Webブラウザの使用禁止する端末・サーバーの監査および規程。
  • 脆弱性アップデート及びアンチウイルス運用規程。(確実なアップデートの実施と完全スキャンの強制)

情報システム設計開発部門・運用部門(ベンダー代行を含む)

Windowsグループポリシー の設定実施

  • Microsoft Outlook 2016 の場合のマクロを悪用するフィッシングメール対策
    • [ユーザーの構成]>[ポリシー>管理用テンプレート]>[Microsoft Outlook 2016]>[セキュリティ]>[セキュリティフォーム設定]>[Outlook セキュリティモード] を [有効] に設定し、オプション [Outlook セキュリティポリシー] を [Outlook セキュリティのグループ ポリシーを使用する] に設定します。
    • [ユーザーの構成]>[ポリシー>管理用テンプレート]>[Microsoft Outlook 2016]>[セキュリティ]>[セキュリティセンター]>[マクロのセキュリティ設定] を [有効] に設定し、オプション [セキュリティレベル] を [署名されている場合は警告を表示し、署名されていない場合は無効にする] に設定します。
    • [ユーザーの構成]>[ポリシー>管理用テンプレート]>[Microsoft Outlook 2016]>[セキュリティ]>[添付ファイルのセキュリティ設定をユーザーが変更できないようにする] を [有効] に設定します。
    • [ユーザーの構成]>[ポリシー>管理用テンプレート]>[Microsoft Outlook 2016]>[セキュリティ]>[セキュリティセンター]>[フィッシング詐欺の疑いがある電子メールメッセージのハイパーリンクを有効にする] を [無効] に設定します。

モニタリング

  • 電子メールクライアント、Webブラウザを使用禁止する端末・サーバーで、以下の状況を確認します。
    • 電子メールクライアントがインストールされていない。
    • Webブラウザが使用できない設定となっている。
  • OS、アプリケーションのアップデートの状況。
  • アンチウイルスソフトのアップデートの状況。

NWデザイン

  • メール閲覧端末と重要資産システムとのネットワークセグメントの分離。
  • 状況に応じ重要資産システムセグメント及びそのセグメントに接続する端末等でのPOP、SMTP、IMAP、HTTP、HTTPS等のメール関連プロトコルの停止。

アクセスコントロール

  • Office文書の保護されたビューの設定。

フィルタリング

  • 侵入検知システム、メールフィルタリングシステムの導入によって、.scr、.exe、.pif、.cpl、.ps1、.vbsなどの拡張子の添付ファイルを排除します。
  • サンドボックスを導入し、上記ファイルや、.zip、.rarなどの圧縮されたファイルを展開し、悪意のある添付ファイルを排除します。

ロール運用

  • 重要資産システムの管理端末での電子メール、Web閲覧の禁止。
  • 一般業務端末での管理者権限の限定。

仮想端末運用

  • 電子メール、Web閲覧を行う端末と、重要資産システムの管理端末へのアクセスを行う端末の分離。この場合、ネットワークセグメントも分離します。

エンドポイント対策

  • 脆弱性アップデートの実施。
  • アンチウイルスのパターンファイルの更新、完全スキャンの実施。
  • Endpoint Detection and Responseの導入。

受託開発ベンダー管理責任

セキュアコーディング

  • 該当なし。

開発環境管理

  • ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。 例外はすべて文書化し、適切な監査を実施する。

サプライチェーン正常性維持

  • ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。 例外はすべて文書化し、適切な監査を実施する。