トップ   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS

・悪意のあるファイルを添付したフィッシングメール のバックアップ(No.8)


IPAセキュリティPT評価版?

悪意のあるファイルを添付したフィッシングメール

戦術

初期侵入

対象OS

  • Linux
  • Windows
  • macOS

概説

偽って取引先や関係者を装い悪意あるプログラム(マルウェア)を電子メールに添付して送信します。本文には、添付ファイルの内容確認を促す内容が書かれています。添付ファイルを開くと、マルウェアが端末に送り込まれ、情報漏洩や改ざんなどの被害を受けます。
差出人は、eコマースサイト、宅配便業者、銀行、保険会社クラウドサービス事業者などさまざまですが、これらに限りません。
マルウェアの初期侵入の経路として、この手法が最も使われており、この対策をしっかり行うことで、被害を相当軽減することが可能です。一方で、攻撃側は、「ご意見をおねがいします」「アンケートのお願い」「緊急」「口座を封鎖」などといった巧みな文面で添付ファイルを開かせようとします。
マルウェア感染の影響を考えると、サーバーや開発環境での電子メールの運用やブラウザの利用は禁止します。分離が困難な開発端末などでは、端末に仮想環境を追加し、電子メールやブラウザからのマルウェアの混入を避けることも検討してください。

緩和の方針

多重的に緩和策を検討する必要があります。

  • 電子メールクライアントと、重要資産が適切に分離され、適切に防御されている場合は、被害を受ける可能性が下がります。一方で、サーバーでメールを閲覧するなどの、重要資産が保存されているシステムと電子メールクライアントが適切に分離されていない状況では、システムに侵入され直接的被害を被る可能性が極めて高くなります。
  • アンチウイルス、添付ファイルのスキャンなどの検知システムの導入(.scr、.exe、.pif、.cplなどの排除、Zip、リンクの分析、サンドボックス)。
  • 最新のフィッシングメールに関する情報共有や、アンチウイルスの定期的スキャンの実施方法などのユーザートレーニングを検討します。

運用やNetworkが変更された場合の影響の有無

重要資産を有する端末、サーバーで直接この手法を使用された場合、侵入、情報漏洩、改ざん、他のシステムへの感染などのリスクがが想定されます。

優先すべき措置

電子メールクライアントと、重要資産を有するシステム・端末の厳格な分離の検討。 アンチウイルス、侵入検知システムの導入。

ユーザー運用管理責任

リスクの受容

ZeroDayなどの未知の脆弱性を使った特定個人を狙う標的型攻撃が想定される場合で、守るべき資産が適切に分離されていたり暗号化されていて、情報の漏洩、改ざんを受けても被害が軽微と想定される場合は受容します。

啓発・教育

ユーザートレーニングで、知らない・不明な・不審な・日本語がおかしいファイルを開かない、コンテンツの警告が出た場合は開かない、Officeの保護されたビューの重要性の理解を促進してください。 フィッシング対策協議会から最新の手口を入手し、ユーザーと共有してください。

利用規程

電子メールクライアントの使用禁止する端末・サーバーの監査および規程。 脆弱性アップデート及びアンチウイルス運用規程。(確実なアップデートの実施と完全スキャンの強制)

情報システム設計開発部門・運用部門(ベンダー代行を含む)

ポリシー

  • Microsoft Outlook 2016 の場合
    • [ユーザーの構成]>[ポリシー>管理用テンプレート]>[Microsoft Outlook 2016]>[セキュリティ]>[セキュリティフォーム設定]>[Outlook セキュリティモード] を [有効] に設定し、オプション [Outlook セキュリティポリシー] を [Outlook セキュリティのグループ ポリシーを使用する] に設定します。
    • [ユーザーの構成]>[ポリシー>管理用テンプレート]>[Microsoft Outlook 2016]>[セキュリティ]>[セキュリティセンター]>[マクロのセキュリティ設定] を [有効] に設定し、オプション [セキュリティレベル] を [署名されている場合は警告を表示し、署名されていない場合は無効にする] に設定します。
    • [ユーザーの構成]>[ポリシー>管理用テンプレート]>[Microsoft Outlook 2016]>[セキュリティ]>[添付ファイルのセキュリティ設定をユーザーが変更できないようにする] を [有効] に設定します。
    • [ユーザーの構成]>[ポリシー>管理用テンプレート]>[Microsoft Outlook 2016]>[セキュリティ]>[セキュリティセンター]>[フィッシング詐欺の疑いがある電子メールメッセージのハイパーリンクを有効にする] を [無効] に設定します。

モニタリング

NWデザイン

メール閲覧端末と重要資産システムとのネットワークセグメントの分離。 状況に応じ重要資産システムセグメントでのPOP、SMTP、IMAP、HTTP、HTTPS等のメール関連プロトコルとWebメール利用の禁止。

アクセスコントロール

Office文書の保護されたビューの設定。

フィルタリング

アンチウイルス。 侵入検知システム、メールフィルタリングシステムの導入によって、.scr、.exe、.pif、.cpl、.ps1、.vbsなどの拡張子の添付ファイルを排除します。 サンドボックスを導入し、上記ファイルや、.zip、.rarなどの圧縮されたファイルを展開し、悪意のある添付ファイルを排除します。

モニタリング

ロール運用

重要資産システム管理端末でのメール閲覧の禁止。

仮想端末運用

電子メールを扱う端末と、開発や重要資産へのアクセスを行う端末の分離。この場合、ネットワークセグメント分離も併せて検討する。

エンドポイント対策

脆弱性アップデートの実施。
アンチウイルスのパターンファイルの更新、完全スキャンの実施。
Endpoint Detection and Responseの導入。

受託開発ベンダー管理責任

セキュアコーディング

該当なし。

開発環境管理

ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。 例外はすべて文書化し、適切な監査を実施する。

サプライチェーン正常性維持

ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。 例外はすべて文書化し、適切な監査を実施する。