前回のエントリ に続いて、ますます巧妙になっている標的型メールを、どのようにして見抜くことが出来るかということを考えてみたい。
先ず前提として、最近の標的型メールは
- Fromアドレス、件名、本文、添付ファイル名などは、業務内容などから違和感のない巧妙なものとなっており、これらから標的型メールと見抜くことは非常に困難
- 文書ファイルに偽装した実行ファイルを圧縮して添付されてくるのが標的型メールの典型的な手口
という事実がある。
実行ファイルが圧縮されて添付されるのは、実行ファイルの直接の添付は、メールゲートウェイなどでブロックしている組織が多いからであろう。圧縮ファイルはパスワード付きで暗号化されていることが多い。これは、メール配送経路でのマルウェア対策製品による検出を回避するためであると思われる。
圧縮ファイルが添付されてくるということは、添付を開いたら即、ファイルが実行されて感染ということにはならず、解凍されたファイルを更にクリックして実行するという操作が必要になる。その間の操作に、標的型メールを見抜くポイントが隠されている。
このエントリでは、前回のエントリの後半で紹介した、圧縮ファイルを開く時にサードパーティ製のアーカイバではなく、Windows標準のエクスプローラーを使用することによる対策について、もう少し詳しく見てみる。
尚、以下の記事でも解説をしているので、合わせてお読みいただければ幸いである。
設定を見直すだけ、いますぐ簡単にできる「標的型メール攻撃対策」
http://www.atmarkit.co.jp/ait/articles/1409/05/news006.html
続・設定を見直すだけ、いますぐ簡単にできる「標的型メール攻撃対策」
http://www.atmarkit.co.jp/ait/articles/1509/16/news007.html
「すぐできる標的型攻撃対策 Windows標準のセキュリティ機能を利用した対策」
http://www.jnsa.org/aboutus/jnsaml/ml-71.html
標的型メールと通常の文書ファイルの添付メールを比較
標的型メールと通常の文書ファイルを添付したメールを比較するために、Word文書に偽装した実行ファイル(前回のエントリと同じもの)と本物のWord文書ファイルをそれぞれZIPで圧縮し、メールに添付し送信する。
図1は、それらのメールをWindows 7のOutlookで受信したものだ。尚、ここでは、既定で有効になっている「登録されている拡張子は表示しない」のチェックを外して拡張子を表示するように設定してあり、Windows標準のエクスプローラーを拡張子.zipに関連付けしている。少し小さいが添付ファイルのアイコンが黄色にチャックの付いたエクスプローラーのものになっているのが見える。
以降、左側がWord文書に偽装した実行ファイル、右側が本物のWord文書となる。
 |
| 図1 左がWord文書に偽装した実行ファイル、右がWord文書ファイル ZIPで圧縮し添付し、Outlookで受信 |
添付ファイルをクリックして開いたのが図2となる。拡張子.zip に関連付けがされている標準のエクスプローラーで開かれる。
まずは、アイコンを比較してみると、右のWord文書では表示されるWordのアイコンが、左の偽装されたファイルでは緑の実行ファイルを表すアイコンが表示される。エクスプローラーで圧縮ファイルを開いた場合は、実行ファイルの中のリソースのアイコンは表示されないので、アイコンの偽装工作が効かない。
 |
| 図2 アイコンを比較する |
次に、ファイルの拡張子を比較してみると、右のWord文書では、正しいWord文書の拡張子 .docx が表示されているが、左の偽装ファイルでは、実行ファイルの拡張子 .exe が表示されている。
 |
| 図3 拡張子を比較する |
また、表示形式を「詳細」にし、ファイルの種類が表示される様にする。右のWord文書では、種類が「Microsoft Word 文書」となっているが、左の偽装ファイルでは「アプリケーション」と実行ファイルを表すものになっている。
 |
| 図4 詳細表示にし、ファイル種類を比較する |
最後に、ファイルをクリックして実行してみる。右のWord文書では、Microsoft Wordが立ち上がり文書が開かれたが、左の偽装ファイルでは「セキュリティの警告」が表示された。ここで警告を無視して「実行」をクリックすると、実行ファイルが実行されてしまうが、「キャンセル」をクリックすれば、実行はキャンセルされる。
 |
| 図5 ファイルをクリックして実行する |
「セキュリティの警告」が表示されるのは、解凍したファイルにZoneIDという、インターネットから取得したことを表す識別子が付加されているためだ。また、右のMicrosoft Wordも「保護されたビュー」という制限されたサンドボックス環境で開かれるため攻撃を受けにくくなる。エクスプローラーではなく、Lhaplusなどのサードパーティ製のアーカイバで圧縮ファイルを開くと、ZoneIDが欠落してしまうため、「セキュリティの警告」が表示されずに実行されてしまうし、Office文書も「保護されたビュー」ではなく通常モードで開かれる。
もう一度、文書ファイルに偽装した実行ファイル及び、本物のWord文書ファイルをZIP圧縮した添付ファイルをWindows標準のエクスプローラーで開き、実行するまでの手順を図6、図7に示す。
 |
| 図6 文書ファイルに偽装した実行ファイルをZIP圧縮した添付ファイルを Windows標準のエクスプローラで開き、実行する |
 | ||
| 図7 Word文書ファイルをZIP圧縮し添付したファイルを Windows標準のエクスプローラーで開き、実行する |
この様に、受信者が不審なメールと見抜くポイントは、
- Fromアドレスや件名、本文などに不自然な箇所がないか?
- 圧縮ファイルをエクスプローラーで開いた時のアイコンが実行ファイルを表すものでないか?
- 拡張子が実行ファイル(.exe .scr など)のものではないか?
- ファイル種類が「アプリケーション」でないか?
- 実行時に「セキュリティの警告」が表示されるか?
この内、1に関しては、業務内容などから違和感のない巧妙なものが多くなっており、見抜くことは非常に困難になっているが、2から5を偽ることは困難で、「拡張子を表示されるようにする」「ZIPファイルを標準のエクスプローラーで開く様に関連付ける」などの正しい設定を行い、利用者に正しい知識の周知を行っていれば、見抜くことは可能なはずだ。
JTBの事件を受けて、標的型メール訓練への関心が再び高まっていると思われるが、標的型メール訓練を実施する際は、Fromアドレスや件名、本文などに不審な箇所がないかを見分けさせる訓練に終始するのではなく、是非、このような項目に着目した訓練を実施していただきたい。
