TOP > 研究成果 > 囮文書の内容に着目した標的型攻撃の分析

研究成果

囮文書の内容に着目した標的型攻撃の分析

目次

  1. はじめに
  2. 標的型攻撃と囮文書
  3. 標的型攻撃の囮文書の分析
  4. 囮文書分析とサイバーセキュリティインテリジェンスの蓄積
  5. まとめと今後の課題
  6. 参考文献
  7. お問い合わせ先

 本研究成果は,2016年3月3日に情報通信システムセキュリティ研究会にて発表したものです[8].  また,2016年2月4日に本研究に関する報道がNHKからありました.


1.はじめに

 近年,企業や個人の情報を狙った標的型攻撃が増加しており,特に標的型メール攻撃による被害は深刻です. 攻撃者は攻撃対象に関係する文書ファイルに見せかけたマルウェアをメールに添付して送信します.受信者は添付文書を閲覧するつもりでこれを実行することでマルウェアに感染してしまいます. この際,マルウェアは,受信者に不審に思われぬように,関連文書(以降,囮文書と呼ぶ)をカモフラージュとして表示する場合が多いです. 標的型メール,囮文書,マルウェアの関係図を図1に示します.

図1 標的型メール,囮文書,マルウェアの関係

なお,囮文書は通常マルウェア本体に埋め込まれているか,攻撃者の管理するサーバからダウンロードされます.囮文書の内容はマルウェアがなりすました文書と深い関連をもっており,当該マルウェアが攻撃に利用される際の文脈を理解する上で有益な情報です. そこで本研究では,連携組織から提供された標的型攻撃検体や統合型マルウェア検査サービスであるVirus Total [1]から取得した標的型攻撃検体の囮文書の内容を分析します. Virus Totalが保持する標的型検体のほとんどはメール本体とは切り離されており攻撃対象が不明ですが,囮文書の内容から多くの検体について攻撃対象を推測できることを示します. また通常,部外者が知り得ない非公開情報を含む囮文書が存在することから,当該情報の所有者が既に攻撃により侵入を受けており,流出した情報が囮情報として悪用されている可能性を指摘します. 当該情報の出所への確認を行った結果,これらの非公開情報は架空ではなく実際に内部情報として存在しており,何らかの原因で流出し攻撃者に悪用されていたという事実を複数の事例について確認しました. このように囮文書の分析は,標的型攻撃の対象や情報流出の現状把握といったサイバーセキュリティインテリジェンスの蓄積に有益といえます.

本稿の構成は以下の通りです.第2章で標的型攻撃の概要を説明し,第3章で分析対象の検体と囮文書の分析方法と結果について述べます.第4章では囮文書の分析結果の有効活用について述べます.


2.標的型攻撃と囮文書

 文献[2]では標的型攻撃の進行を,事前調査,初期潜入,攻撃基盤構築,システム調査,攻撃最終目的の遂行の段階に分けて説明しています.本研究は,特に初期潜入に注目し,標的型メールに添付されるマルウェアとその囮文書について分析します.前述の通り,囮文書とは標的型マルウェアが実行時にカモフラージュとして生成・表示する文書ファイルのことです.囮文書はマルウェア本体に埋め込まれている場合や,攻撃者の管理するサーバからダウンロードされる場合などがあります.ファイルタイプとしてはMS OFFICEに代表されるオフィス系文書ファイル,PDFファイル,画像ファイル,テキストファイルなど様々です.囮文書の内容は多様であり,2014年頃から流布が確認されているEMDIVIマルウェアは,健康保険組合からの医療費通知を装った囮文書を使うことが報告されています [3].また別の事例として,2015年12月頃から日本郵政等の郵便サービスを名乗り「小包が配達できなかった」などと騙し,「委託運送状」を囮文書として提示するマルウェアが確認されています[4].上記は類似した内容の囮文書が多数の攻撃対象に対して利用される例ですが, 特定の企業や個人を狙った攻撃では,受信者の所属する組織や業務に関連する内容をもつ場合が多いです [5].具体的な事例として,民主党や内閣府からのメールを騙り,民主党の政策調査会等に関する囮文書を用いて関係者を狙った攻撃[6]が確認されています.


3.標的型攻撃と囮文書の分析

 本章では,標的型メールに添付されたマルウェアが表示する囮文書の分析について述べます.
3.1節では分析対象の標的型検体と囮文書の取得方法について述べます.3.2節では,攻撃対象の推定方法と推定結果の概要について述べ,3.3節では文書内容の機密性の分析結果の概要を説明します.

3.1分析対象の標的型マルウェア検体:

 本研究では連携先組織から提供された標的型攻撃検体に加えて, 論文[7]の手法を用い,既知の標的型検体と類似する検体をVirus Totalから収集したものを一次検体群として実験を行いました.以降では,一次検体群のうち,動的解析環境で実行した際に日本語の囮文書を表示することが確認された46検体を分析対象とします.なお,一次検体46体から得られる46件の囮文書には重複があり,ユニークな囮文書は31件となります. また,一次検体の実体として,(1)アイコンやファイル名を文書ファイルらしく偽装した実行可能ファイルであり,実行時に囮文書を生成またはダウンロードして表示する場合 (2)標的型検体自体は文書ファイルですが,文書閲覧アプリケーションの脆弱性を突くことで埋め込まれたマルウェアを実行する場合が存在しますが,後者についてはさらに(2-1)脆弱性攻撃時に文書閲覧アプリケーションが異常終了してしまうため,脆弱性攻撃により起動した悪性プロセスが囮文書を別途作成またはダウンロードして表示する場合と(2-2)脆弱性攻撃後も文書閲覧アプリケーションが異常終了しないため,一次検体が囮文書の役割を果たしている場合があります. 一次検体の提供元を図2に,論文[7]の手法を用いた際の検索クエリを図3に記します.(但し検索クエリは匿名化しています)


図2 一次検体の提供元

図3 Virus Totalでの類似検体収集時に用いた検索クエリと収集検体数

3.2攻撃対象の分析:

 囮文書から攻撃対象を推測する際の最も大きな手がかりは囮文書に記載された宛先です.囮文書に宛先が記載されているのは,分析対象の囮文書31件のち4件のみでした. 一方,他の27件の囮文書には宛先情報が記載されていないため,その内容から攻撃対象を推定しました.各囮文書に関する推定結果を表1に示します. 囮文書の内容から攻撃対象の推定が行えたものは全体の70%にあたる19件でした.全体として全31件の囮文書のうち74%にあたる23件で攻撃対象の推測が可能という結果となりました. 特に囮文書4, 5, 12, 14, 17, 18の6件については攻撃対象を特定の組織まで絞り込めています. 逆に攻撃対象の範囲を推測できなかった8件の囮文書のうち囮文書1と6に関しては,その内容が2.1節の事例[3, 4]と類似していることから,ばらまき型の囮文書である可能性が高いと言えます.

表1 囮文書の内容と攻撃対象の推定,機密性の調査結果

3.3内容の機密性の分析:

 攻撃対象に標的型メールの内容を信じさせ,疑いを生じさせないために囮文書の内容には信ぴょう性の高さが求められます. そのため,攻撃者は実際に存在する文書を囮文書として用いたり,実在する文書を加工して用いることが予想されます. 特に,限られた関係者しか所持していない情報を囮文書に含めることで内容の信ぴょう性を高める攻撃が考えられます. 例えば,セキュリティレベルの高い組織に侵入するため,当該組織と取引のある別組織にまず侵入し,関係者でなければ知り得ない情報を取得し,これを用いて攻撃を行うことで最終的な標的組織への侵入を行うことが考えられます. そこで本研究では,囮文書の内容の機密性に着目し,特に特定組織や個人しか知り得ない情報を含む囮文書の有無を調べました.任意の文書の機密性を客観的に評価することは難しいため,今回は囮文書の内容から著者の主観に基づき機密性を推測しています.この際,類似文書がWWW上に存在するかを調査し参考としました.類似文書の検索の際は囮文書において特徴的な語句を選定し,これをキーワードとしてGoogleにより検索を行っています.類似文書探索時に用いたキーワードおよび検索の結果を表1に示します.探索の結果,31件の囮文書のうち,23件については類似文書をWWW上で発見しました.そのうち2件については囮文書と全く同一の内容のファイルであり,ハッシュ値も等しいものでした.またそれ以外の21件についてもほぼ同内容の情報がWWW上で公開されており,攻撃者はこれらの公開情報を元に囮文書を作成したと思われます.但し,囮文書17については,Virus Totalに当該囮文書を含む標的型検体が投稿された日時において類似文書は公開されておらず内部情報であったことを当該情報の出所に確認しました.囮文書17については以下にて詳説します.一方,類似文書を発見できなかった8件のうち,囮文書12, 18, 29の3件については,関係者以外には知り得ない情報を含んでおり内部文書であると判断しています.このうち,囮文書18については,内部情報の出所へ問い合わせることにより,実際に内部情報であることを確認しました.又,囮文書の内容から機密性の推測が困難だったものは31件中6件存在しますが,このうち囮文書16については同様に内部情報の出所への問い合わせで,実際に内部情報であることを確認しました.このように囮文書として内部情報が利用されている事実を複数確認しました.これは,内部情報の所持者のいずれかが既に標的型攻撃の被害者となっている可能性を示唆するものです.以下ではいくつかの囮文書について詳しく述べます.

囮文書17:
国家安全保証に関する意見を述べた原稿3枚からなる文書であり,ある公益法人に属する特定の人物により執筆されたと記載されています.前述の通り,現在は類似文書がWWWに公開されていますが,当該囮文書を内包する標的型検体がVirus Totalに投稿された日時は,類似文書のWWW公開日時よりも前であり,文面も公開されているものと囮文書とでは表現が一部異なっています.これらのことから攻撃者は囮文書の元となった情報を公開前に入手していたと推測され,情報の出所も囮文書が攻撃に悪用された当時には内部文書であったことを認めています.このような公開前の文書を囮として用いることが有効な攻撃対象として,当該組織の内部関係者などが考えられます.

囮文書18:
某国際セミナーにおけるオブザーバーとして,国際セミナーの内容に関連が深いと思われる14の組織とその組織の連絡担当者氏名,連絡先アドレスが記載された文書です.当該情報の出所に問い合わせたところ内部文書であることが確認されました.囮文書内に記述された国際セミナーが有識者を対象とするセミナーであることから,この文書内に記載のある組織及び国際セミナーの開催にかかわる組織関係者が攻撃対象であると推測されます.また,内部文書が攻撃に用いられたことから周辺関係者がサイバー攻撃により既に情報漏洩の被害を受けている可能性があります.

囮文書19:
ある場所で行われる評価・調査検討会についての出欠席の確認,及び別の評価・調査検討会への出欠席を確認する内容の文書です.文書の内容から,囮文書以外の添付ファイルの存在や返信を要求する意図がみられました.囮文書内に個人名が明記されていることから,明確にこの個人を狙った攻撃だと推測されます.内部情報を不正使用した可能性も疑われるものの,確認はとれていません.

囮文書12:
ある組織の会計情報であり,平成26年度収支,各種銀行の預貯金額が記載された財産目録,正味財産増減計算表,貸借対照表という全4シートで構成されたExcel文書です.文書の性質上,広く公開する情報ではないことは明らかですが,実際に内部情報であるかどうかの確認はとれていません.このような会計報告が送られる対象は限られているため,攻撃対象を絞った攻撃であると考えられます.また,周辺関係者がサイバー攻撃により既に情報漏洩の被害を受けている可能性が考えられます.


4.囮文書分析とサイバーセキュリティインテリジェンスの蓄積

 前章までで述べた通り,囮文書の内容の分析により,標的型攻撃の対象となっている組織に関する情報や既に攻撃者により侵入されている恐れがある組織の情報が得られました. これらの組織が侵入を受けていることを認識していない場合,今後も当該組織から得られる内部情報を利用したなりすまし攻撃が発生する可能性があります. そこで,囮文書の分析により得られた情報を蓄積し,将来の攻撃に備えるためのサイバーセキュリティインテリジェンスとして用いることを提案します. 今回は連携組織から提供された標的型検体とVirus Totalから得られた類似検体を分析対象としましたが,標的型攻撃の対象と成り得る組織において日常的に検知される標的型メールやマルウェア検体,囮文書を対象に大規模な分析を行うことで,当該組織を狙う攻撃にカスタマイズされたインテリジェンスの蓄積が可能と考えます.


5.まとめと今後の課題

 本稿では,標的型検体から得られる囮文書の内容に着目し,攻撃対象の推定と囮文書の情報の機密性の調査を行いました. その結果,囮文書全31件のうち23件について攻撃対象者の範囲推定が可能であり,3件の囮文書について内部文書であることを確認しました. 囮文書としての悪用は内部文書の所持者が既にサイバー攻撃により情報漏えいの被害にあっていることを示唆するものであり重要な情報といえます. 今後は囮文書だけでなく,他の関連情報の分析についても検討すると共に分析結果の有効利用についても検討しています.


参考文献

  • [1] Virustotal,https://www.virustotal.com/
  • [2] 独立行政法人情報処理推進機構:「新しいタイプの攻撃の対策に向けた」設計・運用ガイド 改訂第2版, 入手先:http://www.ipa.go.jp/files/000017308.pdf
  • [3] トレンドマイクロセキュリティブログ:2015年上半期・医療費通知に偽装した不審メールが法人利用者に遠隔操作ツールを拡散,入手先:http://blog.trendmicro.co.jp/archives/12335
  • [4] Security Next:小包の配達を装う「偽日本郵政」からのメールに注意,入手先:http://www.security-next.com/065290
  • [5] トレンドマイクロセキュリティマガジン TREND PARK: 企業の9割が気づかなかったサイバー攻撃 その脅威動向と企業がとるべき次の一手,入手先: https://www.trendmicro.co.jp/jp/trendpark/apt/201511-1/20151124035404.html
  • [6] IEAS管制センター統括グループ,白原 信吾:サイバー攻撃関する内容 緊急報告書,入手先:リンク: サイバー攻撃に関する内容.docx
  • [7] 森島 周太,筒見 拓也,田辺 瑠偉,高橋 佑典,小林 大朗,吉川 亮太, 吉岡 克成,松本 勉, “動的解析と統合型マルウェア検査サービスの活用によるサイバー攻撃情報収集手法,”2015年電子情報通信学会:ICSS,ICSS2014-81,2015
  • [8] 川上奈津子,吉川亮太,鉄穎,田辺瑠偉,吉岡克成,松本勉, “囮文書の内容に着目した標的型攻撃の分析”,2016年電子情報通信学会:ICSS,2016
    (発表のみで予稿はありません).

お問い合わせ先

 本研究に関するお問い合わせは、吉岡克成准教授(yoshioka@ynu.ac.jp)までお願い致します。