トップ   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS

・悪意のあるファイルを添付したフィッシングメール のバックアップ(No.19)


情報システム開発契約のセキュリティ仕様作成のためのガイドライン(案)?
MITRE に基づく詳細設定対策?

戦術:初期侵入

概説

取引先や関係者を装い悪意あるプログラム(マルウェア)を電子メールに添付して送信します。本文には、添付ファイルの内容確認を促す内容が書かれています。添付ファイルを開くと、マルウェアが端末に送り込まれ、情報漏洩や改ざんなどの被害を受けます。
差出人は、eコマースサイト、宅配便業者、銀行、保険会社、クラウドサービス事業者、組織の上司などさまざまですが、これらに限りません。
マルウェアの初期侵入の経路として、この手法は最も多用されており、被害を軽減するためにも対策を行う必要があります。攻撃側は、「ご意見をおねがいします」「アンケートのお願い」「緊急」「口座を封鎖」などといった巧みな文面で、心理的な圧迫を与え添付ファイルを開かせようとする特徴があります。
同様の手法で、悪意のあるリンクを埋め込んだフィッシングメールがありますが、本対策を参考にしてください。

緩和の方針

多重的に緩和策を検討する必要があります。

  • 侵入には利用者の操作が伴うため、利用者のリテラシーを高めることが極めて重要です。最新のフィッシングメールに関する情報共有や、アンチウイルスソフトののアップデート、完全スキャンの実施方法、OS、アプリケーションのアップデートの実施、確認方法等のユーザートレーニングを検討します。
  • 電子メールやブラウザの閲覧ができるセグメントと、重要資産にアクセスできるセグメントが適切に分離され、適切に防御されている場合は、被害を受ける可能性を大幅に低減できます。
  • 端末の利用者権限が管理者権限で実行されている場合、悪意のあるプログラムは特権で実行されるため、極めて危険です。このため、利用者の権限を標準ユーザーにすることは、大変効果的かつ侵入以降の攻撃の緩和に役立ちます。
  • アンチウイルスの導入はもとより、添付ファイルのスキャンなどの検知システムの導入(.scr、.exe、.pif、.cplなどの排除、圧縮ファイルや本文に埋め込まれたリンクの分析を行うサンドボックス等)による添付ファイルの無害化、組み込みリンクの無効化を検討します。

運用やNetworkが変更された場合の影響の有無

  • 後述する重要資産でのWebや電子メールの閲覧は極めてリスクを高くすることから、運用規程の遵守が重要です。

優先すべき措置

  • ユーザートレーニング
  • 電子メールクライアントと、重要資産を有するシステム・端末の厳格な分離の検討。
    • Zero Trust の導入検討
    • 境界型ネットワークの場合、インターネットセグメントに接続可能な仮想デスクトップと、インターネットセグメントに接続できない社内セグメント用の仮想デスクトップで分離する
    • インターネットセグメント接続可能端末は、添付ファイルの無害化、組み込みリンクの無害化を実施する
  • 管理者特権の限定運用。
    • インターネットセグメントに接続可能な端末には管理者権限を付与しない
  • アンチウイルス、Endpoint Detection and Response、侵入検知システムの導入の検討

ユーザー運用管理責任

リスクの受容

  • 守るべき資産が電子メールやWebサイトから適切に分離されており、守るべき資産が暗号化されていて、情報の漏洩、改ざんを受けても実質的な情報漏洩や暴露等の被害が軽微と想定される場合は受容します。

啓発・教育

  • ユーザートレーニングで、知らない・不明な・不審な・日本語がおかしいファイルを開かない、コンテンツの警告が出た場合は開かない、Officeの保護されたビューの重要性の理解を促進してください。
  • フィッシング対策協議会から最新の手口を入手し、ユーザーと共有してください。
  • 開発者、ヘルプデスク担当者には、マルウェアの攻撃ベクトルなどを共有し、PowerShell、VBA、VBscript、デバッグコマンドの悪用について、十分な理解を得た上で、リスク緩和策を検討して下さい。

利用規程

  • 電子メールクライアント、Webブラウザの使用禁止する端末・サーバーの監査および規程。
  • 脆弱性アップデート及びアンチウイルス運用規程。(確実なアップデートの実施と完全スキャンの強制)

情報システム設計開発部門・運用部門(ベンダー代行を含む)

Windowsグループポリシー の設定実施

  • Microsoft Outlook 2016 の場合のマクロを悪用するフィッシングメール対策
    • [ユーザーの構成]>[ポリシー>管理用テンプレート]>[Microsoft Outlook 2016]>[セキュリティ]>[セキュリティフォーム設定]>[Outlook セキュリティモード] を [有効] に設定し、オプション [Outlook セキュリティポリシー] を [Outlook セキュリティのグループ ポリシーを使用する] に設定します。
    • [ユーザーの構成]>[ポリシー>管理用テンプレート]>[Microsoft Outlook 2016]>[セキュリティ]>[セキュリティセンター]>[マクロのセキュリティ設定] を [有効] に設定し、オプション [セキュリティレベル] を [署名されている場合は警告を表示し、署名されていない場合は無効にする] に設定します。
    • [ユーザーの構成]>[ポリシー>管理用テンプレート]>[Microsoft Outlook 2016]>[セキュリティ]>[添付ファイルのセキュリティ設定をユーザーが変更できないようにする] を [有効] に設定します。
    • [ユーザーの構成]>[ポリシー>管理用テンプレート]>[Microsoft Outlook 2016]>[セキュリティ]>[セキュリティセンター]>[フィッシング詐欺の疑いがある電子メールメッセージのハイパーリンクを有効にする] を [無効] に設定します。

モニタリング

  • 電子メールクライアント、Webブラウザを使用禁止する端末・サーバーで、以下の状況を確認します。
    • 電子メールクライアントがインストールされていない。
    • Webブラウザが使用できない設定となっている。
  • OS、アプリケーションのアップデートの状況。
  • アンチウイルスソフトのアップデートの状況。

NWデザイン

  • メール閲覧端末と重要資産システムとのネットワークセグメントの分離。
  • 状況に応じ重要資産システムセグメント及びそのセグメントに接続する端末等でのPOP、SMTP、IMAP、HTTP、HTTPS等のメール関連プロトコルの停止。

アクセスコントロール

  • Office文書、PDF文書の保護されたビューの設定。

フィルタリング

  • 侵入検知システム、メールフィルタリングシステムの導入によって、.scr、.exe、.pif、.cpl、.ps1、.vbsなどの拡張子の添付ファイルを排除します。
  • サンドボックスを導入し、上記ファイルや、.zip、.rarなどの圧縮されたファイルを展開し、悪意のある添付ファイルを排除します。

ロール運用

  • 重要資産システムの管理端末での電子メール、Web閲覧の禁止。
  • 一般業務端末での管理者権限の限定。

仮想端末運用

  • 電子メール、Web閲覧を行う端末と、重要資産システムの管理端末へのアクセスを行う端末の分離。この場合、ネットワークセグメントも分離します。

エンドポイント対策

  • 脆弱性アップデートの実施。
  • アンチウイルスのパターンファイルの更新、完全スキャンの実施。
  • Endpoint Detection and Responseの導入。

受託開発ベンダー管理責任

セキュアコーディング

  • 該当なし。

開発環境管理

  • ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。 例外はすべて文書化し、適切な監査を実施する。

サプライチェーン正常性維持

  • ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。 例外はすべて文書化し、適切な監査を実施する。