Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

もはや日本語は壁では無くなりつつある

産経新聞の少し古い(5月)記事を見つけました。 

www.sankei.com

 

中国のハッカー集団が関与していることが多いとみられる攻撃の狙いは、主に安全保障に関わる機密情報や最新技術を盗み出すこと。かつてはメール文面に不自然な点が多かったが、このところは日本語の「上達」ぶりがめざましく、攻撃もいっそう巧妙化している 

 「内閣府総合海洋政策推進事務局でございます」 3月12日。2018~22年度の海洋基本計画案の作成に携わった関係者に一通のメールが送信された。同案には、尖閣諸島沖縄県石垣市)海域の緊急警備体制の強化なども含まれる。 送り主の欄には、実際に同計画案の取りまとめにあたる参事官補佐の名前があった。本文では、添付ファイルが計画策定に向けた論点などをまとめた文書だとしていた。これが実は、パソコン内の情報を盗み出すウイルスに感染させるための「罠」だった。「標的型攻撃」と呼ばれる手法だ。
産経新聞記事より引用)

 

◆キタきつねの所感

標的型攻撃で用いられるメールの多くは、フィッシングメールで使われる手法が基本的にとられる事が多いのですが、バラマキ型で誰かリンクを踏めば良い・・・程度の期待度で投げられるフィッシングメールと違い、標的型は、その攻撃対象者を調べてから送られる為に、更に踏み込んだ注意が必要となってきています。

 

一般的なフィッシングメール手法について言えば、 

www.antiphishing.jp

 

辺りで攻撃キャンペーンのメール雛形をウォッチしていれば、かなり傾向が掴めると思います。

とは言え、フィッシング元として偽装される企業は大体決まっています。

マイクロソフトAmazon、アップル等のユーザシェアが高い企業、Twitter、LINE、Facebook、Linkedin等のSNSアカウント、そしてPayPal、銀行(MUFG楽天カード、OMC、セゾン)や仮想通貨取引(bitFlyer)なども、ここ1年位でフィッシングメールがバラかまれていますが、警戒する企業メールが大体固まっているだけに、多くの人がひっかかる状況ではなくなりつつあります。

 

一般的なフィッシング対策では、例えばトレンドマイクロの以下の記事が参考になるかと思います。

is702.jp

・「個人情報や認証情報を安易に要求してくる」メールに用心する。
・リンクをクリックする前に、URLの上にマウスカーソルをかざして表示される「参照先」を確認する。
「心当たりがないタイミング」で、勝手に送られてくるメールは非常に疑わしい。
・「登録したものと異なるアドレスに届いたメール」は、一斉配信されたスパムの可能性大。
・「期限を区切って早急な対応を求める」「威圧的・脅迫的な内容」のメールも危険。
・「普段と異なるドメイン」から送信されたメッセージは危険信号。Web検索で確かめるのもよい。
・「あいさつ文がない、個人名を書いていない等、普段と異なる書式」のメッセージは危険信号。
・「画像を読み込まない」「表示が崩れている」メッセージは危険信号。
文法間違いやスペルミス等、「不自然な文章」メッセージは危険信号。
「無意味な文字列」のメールタイトルは、通常ありえない。
・自身が使用しているメールクライアントの機能を再確認し、不審メールはブロックする。
・日本の銀行、クレジットカード会社等の金融機関は、基本的にメールによる口座番号や暗証番号、本人確認は行っていない。
・会員番号を使用しないサービスから会員番号を含むメールが送られてきた際には注意が必要。
・個人情報を扱う正規サイトでは、通常「HTTPS」通信が使用され、ブラウザに錠前マークが表示される。

(Trendmicro is702記事より引用)

 

これらの不自然さポイントの内、中国語フォント(簡体字が使われていたり、助詞の使い方が明らかに変であったりする、少し前にフィッシングメールで見かけられた特徴は改善されているようです。それは、攻撃者側が、対象者の受け取るであろうメールを分析している事が大きい気がします。

日本年金機構であった攻撃の手法の様に、周辺のアカウントをまずは狙い(マルウェア感染させ、実際に送付しているメールを分析し)、実在し、実際に攻撃対象組織とメールのやり取りがある個人名を使う攻撃に結び付けているようです。

それ以外では、業界で使われていて不自然ではない文面、添付ファイル名を偽装してきている標的型メールは増えていると思われますが、政府がサポートする攻撃組織に知見・経験がついた事と、日本語を話す人(日本人とは限らない)が攻撃メールを監修している事も要因としてありそうです。

エンドポイント製品も潜り抜けるフィッシングメール(添付マルウェア)も多くなってきている事を考えると、こうした攻撃手法を従来の「エンドポイント製品」や「人の注意」によるフィッシングメール対策だけで防ごうとするのはもはや限界がありそうです。

 

対策費用やメール送信の手間は少しかかりますが、公官庁等々の「狙われる程の重要対象組織」であるならば、証明書付きメール(PGPS/MIME)が一番効果がある気がします。とは言え、これらの技術はかなり前からありますが、普及しているとは言えないので、何か隠れた問題があるのかも知れません。

別な対策では、とあるセキュリティセミナーで拝聴した、メールの送信経路(大体において変な国を経由したメールとなっている)を判別するソフトウェアも、人は普段見てなくて、なかなか攻撃側が偽装しづらい部分なので効果があるかも知れません。

もう1つ、決済分野での導入が多いのですが、リスクベース認証も、ある意味怪しげな情報のビックデータ分析であるので、技術的には今後、標的型メール防止判断で主要なポジションを占めていく可能性が高いかと思います。

 

一昔前は、「日本語環境だからハッカーに狙われない」(※いわゆる日本語の壁)と言われていましたが、今や昔。国際的なハッカーが、高度な攻撃手法と日本語メール偽装の知見をつけて攻撃してくる時代になりつつある、そうした「壁が崩れた」認識の下で考える事が重要なのです。

 

 

f:id:foxcafelate:20180715152836p:plain

 

更新履歴

  • 2018年7月22日PM(予約投稿)