トップ   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS

・悪意のあるファイルを添付したフィッシングメール のバックアップ(No.28)


情報システム開発契約のセキュリティ仕様作成のためのガイドライン
MITRE ATT&CKに基づく詳細設定対策

戦術:初期侵入

MITRE ATT&CK T1566.001 Phishing: Spearphishing Attachment

概説

攻撃者は、取引先や関係者を装い悪意あるプログラム(マルウェア)を電子メールに添付して送信します。本文には、添付ファイルの内容確認を促す内容が書かれています。添付ファイルを開くと、マルウェアが端末に送り込まれ、情報漏洩や改ざんなどの被害を受けます。
差出人は、eコマースサイト、宅配便業者、銀行、保険会社、クラウドサービス事業者、組織の上司、同僚、部下などさまざまですが、これらに限りません。また、同様の手法で、悪意のあるリンクを埋め込んだフィッシングメールがありますが、本対策を参考にしてください。
マルウェアの初期侵入の経路として、この手法は最も多用されており、被害を軽減するために対策を行う必要があります。攻撃側は、以下のような件名や巧みな文面で、心理的な圧迫を与え添付ファイルを開かせようとする特徴があります。

  • ご意見をおねがいします
  • アンケートのお願い
  • 緊急
  • 口座を封鎖
  • アカウントが凍結されました
  • 履歴書送付

緩和の方針

多重的に緩和策を検討する必要があります。

  • 管理者特権を最小化し、原則的に標準ユーザーで運用します。
  • 侵入には利用者の操作が伴うため、利用者のリテラシーを高めることを検討します。
  • 電子メールやブラウザーの閲覧ができるセグメントと、重要資産にアクセスできるセグメントの分離を検討します。
  • 添付ファイルのスキャンなどの検知システムの導入を検討します。

運用やNetworkが変更された場合の影響の有無

後述する重要資産を保有するコンピューターでのWebや電子メールの閲覧は極めてリスクを高くすることから、運用規程の整備と遵守が重要です。

優先すべき措置

緩和の方針に基づき、以下を優先します。

  • 管理者特権の限定運用の適用。
    端末/サーバーの利用者権限が管理者権限で実行されている場合、悪意のあるプログラムは管理者特権で実行されるため、極めて危険です。このため、利用者の権限を標準ユーザーにすることは、大変効果的かつ侵入以降の攻撃の緩和に役立ちます。
    業務で管理者特権が必要な端末/サーバーは文書化し、監査や検出を強化します。
  • ユーザートレーニング。
    Office文書、PDF文書の保護ビューの重要性の理解を得ます。また、最新のフィッシングメールに関する情報共有や、アンチウイルスソフトのアップデート、完全スキャンの実施方法、OS、アプリケーションのアップデートの実施、確認方法等のユーザートレーニングを検討します。
  • 電子メール、Web閲覧が許可される端末と、重要資産を有するシステム・端末の厳格な分離の検討。
    インターネットセグメントに接続可能な端末と、インターネットセグメントに接続できない重要資産を有するコンピュータの分離、アクセスコントロールの厳格化を検討します。
  • インターネットセグメント接続可能端末は、添付ファイルの無害化、組み込みリンクの無害化の実施。
    アンチウイルスソフト、Endpoint Detection and Response、侵入検知システムの導入の検討を検討します。アプリケーションポリシーによる危険な拡張子( .scr、 .exe、 .pif、 .cplなど)の排除、圧縮ファイルや本文に埋め込まれたリンクの分析を行うサンドボックス等による添付ファイルの無害化、組み込みリンクの無効化を検討します。

ユーザー運用管理責任

リスクの受容

守るべき資産が電子メールやWebサイトから適切に分離されており、守るべき資産が暗号化されていて、情報の漏洩、改ざんを受けても実質的な情報漏洩や暴露等の被害が軽微と想定される場合は受容します。 ただし、経営者、秘書、取締役、執行役、研究者、システム管理者など、日常的に重要資産に接している職務に対しては、リスクを受容すべきではありません。
また、プログラム開発担当者はデバッグのために管理者権限が必要であり、悪用されやすいDebug用のコマンドを利用すること、Help Desk担当者は、ドメイン管理者権限を有することがあることから、最もリスクが高いといえます。

業務特権リスク受容のための条件例
プログラム開発担当者Local AdministratorメールやWeb閲覧の分離、侵入監視、ログ監査、開発/HelpDesk業務で使用するアカウントと一般業務アカウントの分離、定期的なトレーニング
Help Desk 担当者Domain/Local Administrator
システム管理者Enterprise/Domain/Local Administrator管理業務端末の分離、メールやWeb閲覧の分離、侵入監視、ログ監査、管理業務で使用するアカウントと一般業務アカウントの分離、定期的なトレーニング
部門管理者(OUの委任)OUのパスワードリセット、グループ管理、ドメイン参加等
VBA/スクリプト利用者標準ユーザーVBA/スクリプト署名、侵入監視、ログ監査、定期的なトレーニング、Local Administrators に含めない
役職者、研究者、秘書標準ユーザー侵入監視、ログ監査、定期的なトレーニング、Local Administrators に含めない
上記以外の一般業務担当者標準ユーザー定期的なトレーニング、Local Administrators に含めない

啓発・教育

  • すべての端末利用者
    • フィッシング対策協議会から最新の手口を入手し、理解を求めてください。
    • 知らない・不明な・不審な・日本語がおかしいファイルを開かない、コンテンツの警告が出た場合は開かない・印刷せず、場合によっては、電話で発信者に確認を取るよう求めてください。

      word-c.jpg
      図:マクロが組み込まれたWord文書を開いた際の警告

    • Office、PDF ビューワーの保護されたビュー(サンドボックス)の重要性の理解を求めてください。
  • 開発者、ヘルプデスク担当者
    • "初期侵入" から "悪意あるプログラムの実行" までの攻撃ベクターでの攻撃阻止の重要性の理解を求めてください。
    • 管理者権限でのインターネット接続、メール受信などのリスクを正しく認識させます。
  • 重要資産にアクセスする経営者、秘書、研究者など
    • "初期侵入" から "悪意あるプログラムの実行" までの攻撃ベクターでの攻撃阻止の重要性の理解を求めてください。重要資産保護のための暗号化の重要性について理解を求めてください。

管理規程

以下の管理規程の整備を検討して下さい。

  • 電子メールクライアント、Webブラウザの使用禁止する端末・サーバーの厳格な定義、これらの監査規程。
  • 確実なアップデートの実施と完全スキャンの強制のための、脆弱性アップデート及びアンチウイルス運用規程。

情報システム設計開発部門・運用部門(ベンダー代行を含む)

Windowsグループポリシー の設定実施

  • 13 ・レベル1セキュリティ構成(Windows 10)及び14 ・Windows Server 2016 Domain Controller の適用を検討して下さい。
  • Microsoft Outlook 2016 の場合、マクロを悪用するフィッシングメール対策として以下のポリシーが存在します。
    • [ユーザーの構成]>[ポリシー>管理用テンプレート]>[Microsoft Outlook 2016]>[セキュリティ]>[セキュリティフォーム設定]>[Outlook セキュリティモード] を [有効] に設定し、オプション [Outlook セキュリティポリシー] を [Outlook セキュリティのグループ ポリシーを使用する] に設定します。
    • [ユーザーの構成]>[ポリシー>管理用テンプレート]>[Microsoft Outlook 2016]>[セキュリティ]>[セキュリティセンター]>[マクロのセキュリティ設定] を [有効] に設定し、オプション [セキュリティレベル] を [署名されている場合は警告を表示し、署名されていない場合は無効にする] に設定します。
    • [ユーザーの構成]>[ポリシー>管理用テンプレート]>[Microsoft Outlook 2016]>[セキュリティ]>[添付ファイルのセキュリティ設定をユーザーが変更できないようにする] を [有効] に設定します。
    • [ユーザーの構成]>[ポリシー>管理用テンプレート]>[Microsoft Outlook 2016]>[セキュリティ]>[セキュリティセンター]>[フィッシング詐欺の疑いがある電子メールメッセージのハイパーリンクを有効にする] を [無効] に設定します。

モニタリング

権限に応じて、以下のモニタリングを検討します。

  • 電子メールクライアント、Webブラウザを使用禁止する端末・サーバーで、以下の状況を確認します。
    • 電子メールクライアントがインストールされていない。
    • Webブラウザが使用できない設定となっている。
  • OS、アプリケーションのアップデートの状況を確認します。
  • アンチウイルスソフトのアップデートの状況を確認します。
  • アプリケーションソフトのインストールの状況を確認します。
  • コマンドライン、スクリプトの実行、セキュリティ権限の変更、ログオン成功・失敗のログを監査します。

ネットワークデザイン、アクセスコントロール、フィルタリング

情報資産の重要度に応じて以下を検討します。

  • メール閲覧端末と重要資産システムとのネットワークセグメントの分離の検討。
  • 管理用端末と一般業務用端末のネットワークセグメントの分離の検討。
  • 状況に応じ重要資産システムセグメント及びそのセグメントに接続する端末等でのPOP、SMTP、IMAP、HTTP、HTTPS等のメール関連プロトコルの停止。
  • Office文書、PDF文書の保護されたビューの設定。 侵入検知システム、メールフィルタリングシステムの導入により、.scr、.exe、.pif、.cpl、.ps1、.vbsなどの拡張子の添付ファイルを排除する。 サンドボックスを導入し、上記ファイルや、.zip、.rarなどの圧縮されたファイルを展開し、悪意のある添付ファイルを排除する。

仮想端末運用

プログラム開発者、HelpDesk担当者、システム管理者については、電子メール、Web閲覧などの一般業務を行う端末と、重要資産システムの管理端末へのアクセスや開発業務を行う端末を、仮想端末で分離し、また、ネットワークセグメントの分離を検討します。

ゲートウェイ及びエンドポイント対策

以下のエンドポイント対策を実施、導入の検討をします。

  • 脆弱性アップデートの実施。
  • アンチウイルスの日次パターンファイルの更新、日次クィックスキャン、週次完全スキャンの実施。
  • Endpoint Detection and Response もしくは、侵入検知システムの導入の検討。

受託開発ベンダー管理責任

セキュアコーディング

該当しません。

開発環境管理

  • ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じます。 例外はすべて文書化し、適切な監査を実施し、ユーザーと共有します。

サプライチェーン正常性維持

  • ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じるます。 例外はすべて文書化し、適切な監査を実施し、ユーザーと共有します。