トップ   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS

・悪意のあるファイルを添付したフィッシングメール のバックアップ(No.15)

情報システム開発契約のセキュリティ仕様作成のためのガイドライン(案)?
MITRE ATT&CKによる設定対策(絞り込み済み)?

悪意のあるファイルを添付したフィッシングメール

戦術

初期侵入

概説

偽って取引先や関係者を装い悪意あるプログラム(マルウェア)を電子メールに添付して送信します。本文には、添付ファイルの内容確認を促す内容が書かれています。添付ファイルを開くと、マルウェアが端末に送り込まれ、情報漏洩や改ざんなどの被害を受けます。
差出人は、eコマースサイト、宅配便業者、銀行、保険会社クラウドサービス事業者などさまざまですが、これらに限りません。
マルウェアの初期侵入の経路として、この手法が最も使われており、この対策をしっかり行うことで、被害を相当軽減することが可能です。一方で、攻撃側は、「ご意見をおねがいします」「アンケートのお願い」「緊急」「口座を封鎖」などといった巧みな文面で添付ファイルを開かせようとします。
マルウェア感染の影響を考えると、サーバーや開発環境での電子メールの運用やブラウザの利用は禁止します。分離が困難な開発端末などでは、端末に仮想環境を追加し、電子メールやブラウザからのマルウェアの混入を避けることも検討してください。

緩和の方針

多重的に緩和策を検討する必要があります。

  • 電子メールクライアントと、重要資産が適切に分離され、適切に防御されている場合は、被害を受ける可能性が下がります。一方で、重要資産が保存されているサーバー、端末で、Webサイトや電子メールを閲覧する場合、システムに侵入され直接的被害を被る可能性が極めて高くなります。
  • 端末の利用者権限が管理者権限で実行されている場合、悪意のあるプログラムは特権で実行されるため、極めて危険です。このため、利用者の権限を標準ユーザーにすることは、大変効果的で、侵入以降の攻撃の緩和に役立ちます。
  • アンチウイルスの導入はもとより、添付ファイルのスキャンなどの検知システムの導入(.scr、.exe、.pif、.cplなどの排除、圧縮ファイルや本文に埋め込まれたリンクの分析を行うサンドボックス等)を検討します。
  • 初期侵入の防止には、利用者自身の判断が極めて重要です。最新のフィッシングメールに関する情報共有や、アンチウイルスソフトののアップデート、完全スキャンの実施方法、OS、アプリケーションのアップデートの実施、確認方法等のユーザートレーニングを検討します。

運用やNetworkが変更された場合の影響の有無

  • 重要資産を有する端末、サーバーで電子メールの閲覧やWebサイトへのリンクをクリックするなどした場合、侵入、情報漏洩、改ざん、他のシステムへの感染などのリスクがが想定されます。その際、管理者特権を有していると、さらにリスクが高まります。

優先すべき措置

  • 電子メールクライアントと、重要資産を有するシステム・端末の厳格な分離の検討。
  • 管理者特権の限定運用。
  • アンチウイルス、侵入検知システムの導入。
  • ユーザートレーニング。

ユーザー運用管理責任

リスクの受容

  • 守るべき資産が電子メールやWebサイトから適切に分離されており、守るべき資産が暗号化されていて、情報の漏洩、改ざんを受けても実質的な情報漏洩や暴露等の被害が軽微と想定される場合は受容します。

啓発・教育

  • ユーザートレーニングで、知らない・不明な・不審な・日本語がおかしいファイルを開かない、コンテンツの警告が出た場合は開かない、Officeの保護されたビューの重要性の理解を促進してください。
  • フィッシング対策協議会から最新の手口を入手し、ユーザーと共有してください。

利用規程

  • 電子メールクライアント、Webブラウザの使用禁止する端末・サーバーの監査および規程。
  • 脆弱性アップデート及びアンチウイルス運用規程。(確実なアップデートの実施と完全スキャンの強制)

情報システム設計開発部門・運用部門(ベンダー代行を含む)

Windowsグループポリシー

  • Microsoft Outlook 2016 の場合
    • [ユーザーの構成]>[ポリシー>管理用テンプレート]>[Microsoft Outlook 2016]>[セキュリティ]>[セキュリティフォーム設定]>[Outlook セキュリティモード] を [有効] に設定し、オプション [Outlook セキュリティポリシー] を [Outlook セキュリティのグループ ポリシーを使用する] に設定します。
    • [ユーザーの構成]>[ポリシー>管理用テンプレート]>[Microsoft Outlook 2016]>[セキュリティ]>[セキュリティセンター]>[マクロのセキュリティ設定] を [有効] に設定し、オプション [セキュリティレベル] を [署名されている場合は警告を表示し、署名されていない場合は無効にする] に設定します。
    • [ユーザーの構成]>[ポリシー>管理用テンプレート]>[Microsoft Outlook 2016]>[セキュリティ]>[添付ファイルのセキュリティ設定をユーザーが変更できないようにする] を [有効] に設定します。
    • [ユーザーの構成]>[ポリシー>管理用テンプレート]>[Microsoft Outlook 2016]>[セキュリティ]>[セキュリティセンター]>[フィッシング詐欺の疑いがある電子メールメッセージのハイパーリンクを有効にする] を [無効] に設定します。

モニタリング

  • 電子メールクライアント、Webブラウザを使用禁止する端末・サーバーで、以下の状況を確認します。
    • 電子メールクライアントがインストールされていない。
    • Webブラウザが使用できない設定となっている。
  • OS、アプリケーションのアップデートの状況。
  • アンチウイルスソフトのアップデートの状況。

NWデザイン

  • メール閲覧端末と重要資産システムとのネットワークセグメントの分離。
  • 状況に応じ重要資産システムセグメント及びそのセグメントに接続する端末等でのPOP、SMTP、IMAP、HTTP、HTTPS等のメール関連プロトコルの停止。

アクセスコントロール

  • Office文書の保護されたビューの設定。

フィルタリング

  • 侵入検知システム、メールフィルタリングシステムの導入によって、.scr、.exe、.pif、.cpl、.ps1、.vbsなどの拡張子の添付ファイルを排除します。
  • サンドボックスを導入し、上記ファイルや、.zip、.rarなどの圧縮されたファイルを展開し、悪意のある添付ファイルを排除します。

ロール運用

  • 重要資産システムの管理端末での電子メール、Web閲覧の禁止。
  • 一般業務端末での管理者権限の限定。

仮想端末運用

  • 電子メール、Web閲覧を行う端末と、重要資産システムの管理端末へのアクセスを行う端末の分離。この場合、ネットワークセグメントも分離します。

エンドポイント対策

  • 脆弱性アップデートの実施。
  • アンチウイルスのパターンファイルの更新、完全スキャンの実施。
  • Endpoint Detection and Responseの導入。

受託開発ベンダー管理責任

セキュアコーディング

  • 該当なし。

開発環境管理

  • ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。 例外はすべて文書化し、適切な監査を実施する。

サプライチェーン正常性維持

  • ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。 例外はすべて文書化し、適切な監査を実施する。