持続的標的型攻撃におけるソーシャルエンジニアリングとは?
1. ソーシャルエンジニアリングとは?
ソーシャルエンジニアリングとは、人々を巧みに操り、特定の行為をさせたり、ある情報を引き出させたりする際に用いられる心理的な手法です。こうした手法は、恐怖や好奇心といった人間の本能により冷静に判断ができない状況下の人間の心理を悪用するものです。こうしたことから、ソーシャルエンジニアリングは、人間の「脆弱性」、つまり、システムの安全上もっとも弱点となる部分を突くものであると考えられています。
サイバー犯罪者は、オンライン上のコミュニケーションにおいてソーシャルエンジニアリングを利用します。通常、リンクをクリックさせたり、ファイルを開封させるなど、知らない間にサイバー犯罪者の攻撃のきっかけを与えてしまうような行為をさせるようにユーザを促します。例えば、サイバー犯罪者は、世界中で話題となるニュースや天災、有名人のスキャンダル・訃報などに便乗するのです。Eメールを発端とする攻撃では、送信者や受信者、件名などの欄に、特定の政治家やスポーツ選手、季節のイベントなど、便乗したニュースやトピックに関連する内容が使われることとなります。
2. 持続的標的型攻撃においてソーシャルエンジニアリングはどのように利用されていますか。
持続的標的型攻撃は、標的型攻撃の中でも特に、時間・手法・手段を問わず、特定の組織に狙いを定めて執拗に行われる攻撃を指し、「コンピュータへの不正侵入」に関連する脅威の1つです。このタイプの標的型攻撃では、侵入段階において、ソーシャルエンジニアリングが偵察や情報収集の一環として使われる常とう手段となっています。
参考:「Trends in Targeted Attacks」
「持続的標的型攻撃を理解する」で言及しているとおり、持続的標的型攻撃が単発で仕掛けられることは稀であり、実際には、継続して何度も仕掛けられます。トレンドマイクロでは、このタイプの標的型攻撃を一定の期間に標的のネットワーク内部に侵入しようとして成功と失敗を繰り返す一連の試みである「作戦活動(キャンペーン)」として呼んでいます。そして、こうした侵入の試みは、ソーシャルエンジニアリングの手法の効果が鍵を握っているといえるでしょう。攻撃者は、以下のような方法を用いることで、標的者と文脈上関連があるメッセージを巧妙に作成することが可能となります。
- 「Yahoo!」や「Gmail」など一般的によく知られた無料Webメールのアカウントから送信
メールアドレスに実在の送信者の名前を含ませ、実際に使用している無料Webメールのアドレスから送信されたように偽装します。その際、詐称した差出人の名前の後に数字をつけて偽装している場合もあります。 - メッセージの内容に信ぴょう性を持たせるため、事前にメールアカウントを乗っ取り、乗っ取ったアカウントから送信あ
- 標的となる組織のEメールや著名人を装う特別に細工されたメールアドレスを用いて送信
キャンペーン「LURID」では、確認されたEメールの1つの送信者が、Dalai Lamaの事務所から送信されたように偽装されていました。また、標的型攻撃として知られる「Nitro」攻撃では、企業のIT部署から送信されたように装うメールが利用されていました。 - 文脈上関連のある内容を含むEメールを特別に細工
2011年初めに確認されたRSAを狙った持続的標的型攻撃の報告書によると、数人のRSA従業員に送られたメールの件名には、「2011 Recruitment plan(訳:2011年採用計画)」と記述されていました。 - 添付ファイルに文脈上関連のある名前を利用
キャンペーン「Luckycat」では、トレンドマイクロでは、例えば、インドの特定機関を標的としたメールには、インドの弾道ミサイル防衛プログラムに関する情報を含まれているように装っていました。
3. 持続的標的型攻撃において、標的となるネットワークに侵入するためにどのような手段が用いられていますか?
攻撃者が標的とするネットワークに侵入するために仕掛ける攻撃の手法は複数あると考えられますが、標的型メール攻撃が有効な手段であるといえるでしょう。標的型メールには、通常、バックドア型不正プログラムそのものや、あるいは、脆弱性を利用してバックドア型不正プログラムを作成する不正な文書ファイルなどが添付されています。このバックドア型不正プログラム(第1段階の不正プログラム)は、C&Cサーバーに能動的に接続して攻撃者との通信を確立し、攻撃者からの指令を待ち受けます。つまり、攻撃者自身が組織内ネットワークに侵入したような状態となるわけです。その後、攻撃者は別の不正プログラム(第二段階の不正プログラム)を送り込むなどしながら組織内ネットワーク上を自由に動き回り、目的の情報を探し出して窃取していきます。
上記以外に標的とするネットワークへの侵入手段として、ソーシャル・ネットワーキング・サービス(SNS)上のコミュニケーションツールが想定されます。例えば、SNS内で使われるメール機能やチャット機能です。どんな媒体が使われることになろうとも、攻撃者の目的は同じです。標的とするネットワークに侵入を果たし、ネットワーク内との通信を確立して、最終的には、重要情報を窃取することです。
4. 持続的標的型攻撃において、どのような標的型メールが確認されていますか?
キャンペーン「LURID」で確認された標的型メールのいくつかは、メール本文の記載が無く、件名と添付ファイルのみでした。これらの標的型メールは、Dalai Lamaの事務所から送信されたように装っており、添付ファイルには、「LOSAR FLYER_edited-3.pdf」というファイル名が使われていました。なお、「Losar」とは、チベット語で「新年」を意味する言葉です。
キャンペーン「Luckycat」では、日本やインド国内の産業やコミュニティなど複数の組織が狙われていました。このキャンペーン内で確認された標的型メールには、インドの事例の場合、弾道ミサイル防衛プログラムが、日本の事例の場合、東日本大震災と福島原発の事故後の混乱時に便乗して、放射線量の測定結果に関する内容が含んだファイルが添付されていました。
5. 日本で確認された持続的標的型攻撃において、どのようなソーシャルエンジニアリングが使われる傾向がありますか?
持続的標的型攻撃を仕掛ける攻撃者は、それぞれ異なる最終目的を元に機密情報窃取を狙っています。日本で確認された攻撃事例では、政府関連組織、公共機関や大規模製造業が主に標的となっています。また、世界的にも、標的となる組織や個人は、多様化しています。従って、ソーシャルエンジニアリングに利用されるトピックも各事例により異なっています。
参考:「2012年上半期国内における持続的標的型攻撃(APT)の傾向」
- 日本で確認された事例において、標的とするネットワークに侵入するために用いられた標的型メールのいくつかは、受信者と関連がある実際の従業員を装っていました。これにより、標的型メールを受け取った人物がメールを開封し、添付ファイルをも開封してしまうように促すことが意図されています。
- 標的者に添付ファイルを実行させる手段として、複数の無害なファイルとともに不正なファイルが含まれたパスワード付き圧縮ファイルを添付している事例が確認されています。パスワードで保護されていることにより、セキュリティ製品からの検出を回避することが可能となります。ただし、パスワード保護する手法もソーシャルエンジニアリングの手法の要素となります。つまり、ユーザにとっては、パスワード保護されていることで、圧縮ファイルが正規であると判断して、無害なファイルとともに、不正なファイルでさえも開封してしまう恐れがあるからです。
- 実行ファイルでは疑いを持たれる可能性が高いことから、実行ファイルの代わりに文章ファイル(例:拡張子DOCやPDFなど)を利用する手法が常とう化しています。また、文書ファイルは、通常のメールに添付されることも多いことから、攻撃者は、文書ファイルを利用すると考えられます。攻撃者は、特別に細工したメールに実行ファイルが埋め込まれた文書ファイルを添付します。
なお、ファイルの偽装方法として、「Right-to-Left Override(RLO)」や二重拡張子を利用するなどして文書ファイルに偽装する手法が多用されていることを確認しています。 - ファイルが正規であるか確認する方法の1つに、ファイルのプロパティ確認がありますが、攻撃者は、それを悪用します。プロパティに偽の情報を付与して、ファイルが正規であるように偽装します。
日本で確認され、上述で説明したソーシャルエンジニアリングの手法が使われた事例では、以下のような偽装が確認されています。
- 組織内で一般的に流通しているメールを偽装
- 実在するメール内容を流用
- 政府機関や地方公共団体がWebサイト上で一般公開している文章を流用
図:日本で確認された典型的な標的型メール
※これは、典型的な標的型メールの特徴を元に作成されたもので、実際の攻撃に使われたメールではありません。
なお、このような不審なメールかどうか確認する項目として、以下が挙げられます。
- 送信者とメッセージの内容と整合性に不自然な点が見受けられる
例えば、送信者が知り合いの場合であっても、その人物から送られてくる可能性が低い内容がメッセージに記述されている。 - メールの件名やメッセージ本文の日本語に、文法的や語彙に不自然な点が含まれている
- メール本文やファイル名が文字化けして表示される
日本語環境下では、簡体中国語などの文字コードが利用されているため、文字化けして表示されることとなります。 - ファイルのアイコンが文書ファイル(PDFやDOCファイルなど)になっている実行ファイル
ただし、RLOや二重拡張子などの手法を用いて拡張子偽造を施し、見た目の拡張子が文書ファイルになっている場合もある
6. 各企業や社員は標的型メールをどのように見分けるといいのでしょうか?
大企業であれば、スパム対策製品を既に導入しているでしょう。こうしたスパム対策製品は、メールのシグネチャや特徴を元に不正なメールを検知するように設計されています。このような設計は、医薬品広告スパムメールや、偽ブランド品や高級時計の複製品の広告スパムメールといった不特定多数を対象とする典型的なサイバー犯罪においては有効であるかもしれません。
しかし、このようなスパムメールを送信するサイバー犯罪者でさえ、現在、メールを巧妙に偽装しています。表記や文法の間違いといった明らかにおかしいとわかるスパムメールの従来の特徴で、問題のメールがスパムメールであるかどうか確認することはもはや簡単な方法ではありません。サイバー犯罪者でさえ、実在の企業から送信されたようにメールを偽装することもあります。
サイバー犯罪におけるスパムメールが巧妙化している事実に鑑みて、持続的標的型攻撃における標的型メールについては、なおさらです。攻撃者は、特定の標的に狙いを絞り、用意周到に事前調査をして、標的者に関連した内容を含む標的型メールを送ります。こうしたことから、従来のスパム対策製品では、標的型メールを検知することは困難となります。
こうした状況を考慮して、各企業は、社員に試験的に標的型メールを送るなどの訓練や実践的な演習を実施すべきでしょう。演習などを通じて訓練された社員は、潜在的な脅威を報告することができ、こうした攻撃から企業を防御するために重要な役割を果たすことになります。
7. 持続的標的型攻撃における標的型メールへのトレンドマイクロのソリューション
トレンドマイクロでは、ゲートウェイ対策として「InterScan Messaging Security Virtual Appliance」を提供しています。メールに添付された文書ファイルについて、解析エンジンにてファイルの挙動を精査して脆弱性を診断・リスクを可視化します。また、不正なメールがネットワークに到達する前にクラウド側で問題のメールをフィルタリングします。なお、持続的標的型メールの特性から、トレンドマイクロのネットワーク監視ソリューション製品「Deep Discovery」に代表されるSandbox技術を用いるソリューションとの併用をお勧めします。Sandbox技術は、疑わしいファイルが仮想環境で検証され、危険性を判別します。
持続的標的型攻撃では、ソーシャルエンジニアリングの手法やソフトウェアの脆弱性を巧みに利用して、標的とする組織のネットワークを突破します。周到に細工された各要素は、組織内のパッチマネージメントやエンドポイントセキュリティ、ネットワークセキュリティ、ファイアウォールなどの標準的なセキュリティ対策を回避する恐れがあります。このため、各企業は、こうした標的型攻撃によってもたらされるリスクを軽減することができる多層防御によるソリューションやリアルタイムでのスレットマネージメント要件に合致した包括的なセキュリティリスクマネージメント戦略導入を検討する必要があります。「Deep Discovery」は、潜在化している脅威をリアルタイムで独自に発見して、リスクを予防、発見、軽減するための詳細な分析と有益なインテリジェンスを提供します。
トレンドマイクロの専門家からのコメント:
演習などを通じて訓練された社員は、潜在的な脅威を報告することができ、企業内のセキュリティ対策に対する貴重な”スレットインテリジェンス”の情報源となります。つまり、こうした”教育”は、企業内のセキュリティ意識を高める重要な対策となります。
- シニア・スレット・リサーチャー Nart Villeneuve
ソーシャルエンジニアリングは、人間に錯誤を生じさせ不正プログラムを人間自らに実行させるための「騙しのテクニック」として、標的型攻撃において利用されています。このような人間心理を利用した攻撃は「人間の持つ脆弱性に対するエクスプロイト」とも呼ばれますが、プログラムの脆弱性とは異なり人間心理にパッチを当てることはできないため、今後もさまざまな形で攻撃者に利用され続けるでしょう。人間の注意だけで完全に防ぐことは困難ですが、実際の攻撃を見てみると注意すれば不審な点に気づける攻撃が多いことも事実です。諦めることなく、典型的な手口を知るなどして攻撃に備え、多層防御の一つとして人間の注意力を高める努力を怠らないことが肝心です。
- フォワードルッキングスレットリサーチ日本