【IT】完全防御、ほぼ不可能な「標的型メール」―対策は早期報告と教育

完全防御、ほぼ不可能な「標的型メール」

　衆議院のサーバーと国会議員のパソコンがウイルス感染し、情報が流出した可能性が高まっている。
メールの添付ファイルを開いたことが原因のようだ。（ITジャーナリスト・三上洋）

サーバーとパソコン1台が感染　メール添付ファイルが原因

　衆議院で使われている公務用パソコンとサーバーがコンピューターウイルスに感染した。原因は衆議院
議員に貸与されているパソコンで、メールの添付ファイルを開いてしまったため。以前の記事「三菱重工
サイバー攻撃と標的型メール」で詳しく取り上げた「標的型メール」にだまされてしまった可能性が高い。

　最初に被害に遭ったのは、衆議院議員の公務用パソコンで、7月ごろにメールを開いてしまい、トロイの
木馬に忍び込まれてしまったようだ。トロイの木馬とは、コンピューターに入り込んで遠隔操作・ウイルス
感染・踏み台悪用などを行う不正なプログラムのこと。この議員のパソコンがトロイの木馬にやられたこと
から、衆院立法情報ネットワークシステムのサーバー1台も被害に遭った模様だ。他の２人の議員のパソ
コンにも標的型メールが送られているが、現時点で被害が確認されているのは、パソコン1台とサーバー
1台だけとなっている。

　衆議院事務局によれば被害状況はまだ調査中とのことで、具体的な被害は判明していない。ただし、
トロイの木馬に忍び込まれ、長期間潜伏状態にあったことから、情報流出がゼロとは考えにくい。報道
のように「議員のパソコンが感染→サーバーも感染」というルートであれば、議員のパソコンは外部から
遠隔操作されたと考えたほうが自然だ。その場合、最初に被害に遭った議員のパソコンにあるファイルは、
外部に漏れたと考えたほうがいいだろう。

　犯人は判明していないが、報道によれば中国のサーバーを経由していたとのこと。以前の記事「企業
狙いのサイバー攻撃『心理攻撃とゼロデイ』」でも取り上げたように、この手の標的型メールでは中国の
サーバーを経由している場合が多い。攻撃の足場として使われるセキュリティーの甘いサーバーがある
のが原因だと思われる。残念ながら、ここから本当の犯人を追跡するのは難しいだろう。
標的型メールの被害をゼロにするのは難しい

　この事件について「メールの添付ファイルを開いてしまった意識の低さが問題」と批判するのは簡単だ。
しかしながら標的型メールの場合、被害をゼロにするのは不可能に近い。標的型メールの特徴をまとめ
てみよう。

●タイトル、本文が巧妙
　標的型メールは、業務連絡を装ったり、震災や原発事故に関連した内容にするなど、思わず開いて
しまうような仕掛けとなっている。いわゆるソーシャルエンジニアリングの手口であり、タイトル・本文・添付
ファイルのタイトルを巧妙に作っている。セキュリティー会社の社内で演習を行ったところ、社員ですらも
だまされて開いてしまった事例があるほどだ。
●発信元の偽装
　メールの発信元が偽装されれば、さらに被害は拡大する。たとえば今回の事件で言えば、最初に感染
した議員のパソコンからアドレス帳を抜き出し、そのリストを基にすればウイルス添付メールをばらまくことも
不可能ではない。知り合いからのメールなら、開いてしまう人が増えるだろう。
●添付されているのは文書ファイル
　メールに添付されているのは、ほとんどの場合、PDF、エクセルなどの文書ファイルだ。文書ファイルを
開いただけで、ソフトの脆弱（ぜいじゃく）性を使ってウイルス感染させる。たとえば原発事故のファイルと
して開くと、実際に原発事故に関しての文書が表示されるのだが、裏ではウイルスに感染している。添付
ファイルを開いただけでは感染に気付かない。
●目立った被害がない＝潜伏
　標的型メールの目的は、パソコンに被害を与えることではなく、長期間忍び込んで情報を盗み出したり、
他のパソコン・サーバーへの攻撃の足場として使うこと。そのため感染に気付かないままで使っている場合
が多い。
●ゼロデイ攻撃・ウイルスの切り替え
　ウイルス対策ソフトがあったとしても被害に遭う。対策の行われていない脆弱性を使って感染させたり
（いわゆるゼロデイ）、潜伏させるウイルス・トロイの木馬を遠隔操作によって新種に切り替えることができ
るからだ。

読売新聞　2011年10月28日
http://www.yomiuri.co.jp/net/security/goshinjyutsu/20111028-OYT8T00882.htm
>>2辺りに続く

　このように標的型メール、というよりも最近のパソコン狙いの不正プログラム（マルウェア）全般は、完全に
シャットアウトするのは無理だ。何らかの被害に遭うことを前提として考えたほうがいいい。

　では標的型メールへの対策はどうすればいいのだろうか。まず大切なのは報告だ。今回の事件では、
8月にはウイルス感染が確認されていたものの、発表が大幅に遅れて対策が後手に回った。怪しげな
ファイルを開いてしまった時点、もしくはウイルス感染を確認した時点で、サーバー管理者と上司に報告
するのがもっとも重要だ。それによって他のパソコンに波及していないか、情報がどこまで流出しているか
を確認する。「標的型メールは誰でもだまされる」という前提のもとで、被害に遭ったら報告し、ウイルス
感染していないかを確かめよう。

　そのためには、議員・職員の教育が必要となる。添付ファイルを開かないようにすること、開いてしまった
場合の対処策を知っておくべきだろう。被害ゼロにするのは無理だと考えて、感染後の対処策を検討
することが重要となる。

関連ニュース
Insight搭載の「Symantec Web Gateway 5.0」を国内投入 ボットを洗い出せ！標的型攻撃にシマンテックが緊急提言
大谷イビサ／TECH.ASCII.jp 2011年10月28日 06時00分更新
http://ascii.jp/elem/000/000/645/645435/
半年で900件の「標的型攻撃」、警察庁が発表
http://hibari.2ch.net/test/read.cgi/pcnews/1318860945/
省庁職員5万人を対象に「標的型攻撃」訓練、偽のウイルスメールを送信
http://hibari.2ch.net/test/read.cgi/pcnews/1318342203/
【セキュリティ】2010年は標的型攻撃の元年、モバイルの脅威はこれから--シマンテック総括
http://hibari.2ch.net/test/read.cgi/pcnews/1302875708/
【セキュリティ】防衛産業を狙う標的型攻撃、日本や米国で8社が被害
http://hibari.2ch.net/test/read.cgi/pcnews/1316612683/
Symantec Official Blog　標的型攻撃におけるスパムの利用　Updated: 07 Jul 2011
http://www.symantec.com/connect/blogs-209
Symantec Official Blog　標的型メール攻撃に関する考察　Updated: 20 Jul 2011
http://www.symantec.com/connect/blogs-213
Symantec 「標的型攻撃」に備える - 今やるべき4つのステップ
http://www.symantec.com/ja/jp/business/theme.jsp?themeid=apt

国会議員に教育とか、実現不可能なこと言うな。

>>1
つーか、相変わらず板違いのスレ立てだなお前。

JavaScriptとかActiveXを切っとけばいいだけだろ。

いいんでないの。　俺は、たとえ犯罪でもウイルス攻撃した側を擁護するよ。

逆に、隠蔽・偽装の方が、何万倍もの被害を国民に齎す。…政財官・公務員・御用学者との企業などの癒着。
糞まで腐敗した政財官らを糞の政財官が裁いたり浄化する事ができない以上、政財官らを攻撃する方を応援したい。
つまり、敵の敵は味方ってわけだ。国民の最大敵は糞の政財官らなんだから。

ウイルス攻撃での被害は、外交の駆引きと、防衛･テロの対策と、科学技術の流失だろ。
科学技術の流失以外、漏れてもほとんど関係ないな。
科学技術の流失だって、アホの役員自身が自分の手柄みたい公言してる方が遥かに問題だ。

横峰何とかとか、谷何とか、他にも沢山いるんだろうが
エクセルやワードも無理じゃね？

そもそもなんで添付ファイルを許可してんの？

議員や役人が間抜けなのをごまかしたいの？
それとも、国益じゃなくて売国議員や役人を保護するための
法律でも作りたいの？

まず迷惑メールの配信を完全に規制しよう

迷惑メールにまぎれてウイルスメールを一般人に送って
そのメールをスパムメール対応のウイルス対策している人でもウイルス対策ソフトを潜り抜けて
実際にメールを開いてウイルスがきちんと実行するかどうかの実験してるよ絶対

思うところはいろいろあるが
板違いなので止めておこう

>>5
釣りにしても微妙な

間抜けじゃなくてわざとじゃね？
産業スパイの手口

>>6
攻撃受けた影響のお前の年金記録が消えました。未納扱いにします。
とかだったらファビョるくせにｗ

とにかく、拡張子を非表示にしてるバカどもを一掃しろ

こういう機密事項を扱うところは、Windowsをやめろよ。
unix系を使うか、main frame系を使えよ。
どんだけバカなんだ、機密事項を扱ってんだぞ。
メールなんて、main frameでも、linuxでも、solarisでも何でも読めるだろ。
Windowsしか扱えない、、ってのは、情弱だけで、言い訳にならんぞ。

既に、わざと米軍（三沢基地）に情報、筒抜けさせているのにｗ
っていうか、自ら米国に情報与えているのにｗ

なんで今更、騒ぐんだろ？　
また、マスゴミ大本営発表だな。狙いは情報統制だな

........ 内部犯行 ........

一体どんな名前のファイルだったのか気になるｗ

貸与してるＰＣを重要なネットワークに繋ぐなよ

衆議院がWebメールを運用すれば済む話だろ

サンドボックス使って開けばいいじゃんw

国内IPに限定＋ホワイトリスト更新なら問題名だろ。
どうせウィルスメール送りつけてるのは国外の一般家庭が使っているIPだろ？
しかも相手はMXにも登録されていないドメイン搾取とかだし。

依頼する側の無能と依頼される側の無能を今後も晒し続けるだろうな。
根本を分かっちゃいない。

ウィルスチェックのソフトって使ってないのか？
迷惑メールの中で毎日何本も引っかかってくるけど

>>24
＞ 完全防御、ほぼ不可能な「標的型メール」
a. 増殖せず特定の人だけを狙い撃ちにして、対策ソフト制作者に知られないようにする
　　大企業や政府に対する攻撃では一般的。

＞ 心理攻撃とゼロデイ
脆弱性が判明してから対策が行われる（ウイルス定義ファイルを更新する）0日目の隙に攻撃

デジタル署名使ってないの？

ドザのやつってどうして危機感がマイナスなんだ？
Macでもリモート画像はデフォルトで読み込まない設定があるし、添付なんて知り合いからのしか開けないよ？
ウインなんてリスクの固まりを使ってるんだから少しは心得て使えよ・・・

>>27
＞ 完全防御、ほぼ不可能な「標的型メール」
＞ 心理攻撃とゼロデイ

完全なカスタムチューンなんで
送受信履歴のある人のメールを偽装してくる（発信元の経路まで）
署名付きにさせないと防御は困難。
マカとやり取りしてても署名付きは意外と少ない。

>>28
アプリケーションから見たら単なるデータなのに、
開いただけでシステムに影響が出るって……

それって普通に「バグ」「セキュリティホール」の放置じゃないの？

>>29
＞ それって普通に「バグ」「セキュリティホール」の放置じゃないの？
まったくその通り。
1秒でも早く手当てされるべき。

linuxやwindowsはその点は攻撃されまくってるから手当てが早いんだが、
macはbsdでバグが見つかってからパッチが出るまでの「ゼロデイ期間」がやや長い傾向にある。
こういう理由もあって、macは割と標的型攻撃に弱い傾向にあって、
その結果として標的型攻撃への脆弱性を見るPWN2OWNでは
win/linuxとの比較で毎年最弱という評価がつく。

つーか、メール読むオペレーションで中身にあわせて実行する
メーラーがあかんだけじゃん。
win系列があれだけ自動実行を禁止する方向になっているのに。

NETに繋がなければいいじゃん。
独立回線で。

>>32
ほんとそう思うわ。完全独立されたネットワークだと物理的にしか情報を盗めない。
ニュースが出る度に驚くほどセキュリティがずさんなんだよな。

>>32
頭の固くなた偏屈な老人とキチガイ女相手にセキュリティうんうんの
実行要求をしても無駄！無駄！

独自言語でシステム組もうぜ

>>35
ハッカーはマシン語を直接読む。

矢文（一発で出ないとかATOKクソだろ）の復活だな。

単に議員全員に電子署名を配ればいいだけなんでないの？
電子署名が未添付のメールは基本開かないようにするだけでいいじゃん？

機能制限したやつを渡しとけばいいのに

メールはＰＣ内の仮想マシンで処理させればいいじゃん。

>>37
国会議員の頭に直接打ち込むのか。効果的だな。

電子署名の無いのは、受け付けないようにする
とかじゃ駄目なのかね。




って、思ったが駄目だってすぐわかったよ。
難しいな。この問題は。

集中システムで検閲しろよ
公務なんだから見られて困る内容なんて無いよな？

>>31
全部は知らんが、読むだけで感染する類のウィルスは、
添付ファイルやスクリプトを実行させてるわけじゃないよ。

>>43
＞ 完全防御、ほぼ不可能な「標的型メール」
＞ 心理攻撃とゼロデイ
ゼロデイの穴を利用した標的型攻撃は
集中システムであっても防げないから問題なの。
あと集中システムはほぼすべての巨大組織で使われてる。

外部との連絡用と内部との連絡用でＰＣを使い分けることすらしてないのか

>>5
PDFやエクセルの脆弱性にブラウザの予防策が何の意味があるの？

素朴な疑問なんだけど、開く前に添付ファイルをセキュリティソフトでスキャンして発見することはできないのかな？
仮に、添付ファイルを開いた場合でもComodoのDefence+みたいなので検知することとかもできないの？

添付ファイルつきメールを跳ね返すようにすれば済むんじゃないの。
金融機関はみんなそうしてるよ。
一般人でも知らないメルアドから来たメールは開かないのが普通だろう。

>>48
普通企業ではサーバの段階ではじく。
消費者向けでもたいていのプロバイダはそういうサービスを入れてる。

セキュリティソフトが情報を更新する前に、
セキュリティソフトの会社が知らない「特定企業狙い専用マルウェア」を書いて監視の目を逃れる、それが厄介。

対策としては>49みたいに添付ファイルをすべてハネるしかない。
あと特定企業狙い攻撃では差出人は偽装されてるから「知らない人からのメールは開かない」というルールでは防げない。

会社の重役や国会議員の先生方はその一般人より
劣るってことでしょ？

メールを開く、Webを見るなどの外部とのやり取りが発生する部分だけ
仮想環境にするとか．．．だめか

>>51
「見る専」で書き変えないこと前提ならそれはありえる

そもそも、メールでやり取りしようという発想が古いのでは？
例えば、CMSやSNSを使ってその中だけでやり取りするとか。

まぁ、パスとユーザ名割れたら終わりだから、あとはネトゲで使われているような
チャレンジ/レスポンス認証を併用するとかしたほうがいいかもしれんね。

まぁ、パスとユーザ名割れたら終わりなのはメールも同じだけどね。

まずは、管理者権限をはく奪したパソコンを配布し、それ以外はイントラへの接続を認証ではじくようにするところから始めるのかな。

これ科学+じゃねーよなぁ
でもこうやって開いて書き込んじゃうと
タイトルで巧妙に誘ってなんたらかんたらってとことよく似てる
このスレに書いてる奴は添付ファイル開きそうだなｗ

公務員、国会議員がウィルス。
ワクチンは無い。ワクチン作成するのはウィルス側だからだ。
全員がウィルスとは言わないが。

>>53
科+住民なら1日のメール数が100や200に達する人も少なくないでしょ。
メールでの連絡が破綻している組織は結構あって、
最近は社内SNSの利用が結構進んでいるよ。

無駄な機能がない事務オンリーの日本政府専用OS+専用メーラーを作ればいいんじゃね？
リモート機能も当然無しで。

zip送られてきていきなり開けるとかバカすぎんだろ

添付ファイルは鯖に保管して管理人が安全を確認した後
そこからダウンロードする形にすればいい
国家機密ならしっかりＰＧＰで暗号化されたもののみでやり取りすればいい

>>16
メインフレームでメール読む馬鹿は、なんぼ世界が広くたって、おまいくらいのもんだ。

国会議員に教育とか、ゾウリムシに相対性理論を理解させるようなもんだろ。

つまり国会議員には国の機密文書を読ませてはいけないという事ですね
困ることはなさそうだけど

うちの組織では
セキュリティを要求されるネットワークに於いて
メールはテキストのみで添付ファイルは無しです。
ファイルをやり取りする場合は専用サーバーを経由させます。
もちろんセキュアサーバーです。
メーラーソフトは専用のテキスト機能のみのもので
本文は自動的に暗号／復号化されます。
これまで機密事項の流出事故は一度もありません。

システムはシンプルな方が強固なのです。

公安はサリンオウム信者の子供を40歳まで社会から隔離している

オウム信者が地方で現在も潜伏している…それが新興宗教を配下としている公安の仕事だ

で、盗聴機器を開発したら、霊魂が寄って来た

で、お願いだから刑事事件の流れをどうぞ

電波憑依
スピリチャルを否定なら
江原氏三輪氏高橋佳子大川隆法は強制入院だ
幻聴降臨
日本の中途半端な宗教は怖いね…(-_-;)

コードレス盗聴すでに2004国民の20%は被害者もう立ち上がれエンジニアさん電波戦争しかない<+>中国鶏姦工作員ふざけるな<+>医師が開発に絡んだ集スト今年の５月に日本警視庁防犯課は被害者のSDカード15分を保持した。有る!国民に出せ!!
＊創価は潰せる
犯人は創刊学会幹部キタオカ1962年東北生は、二十代で2人の女性をレイプ殺害して入信した
創価本尊はこれだけで潰せる
＊創価幹部は韓国工作員こうのとり学会軍団
創価会員と言えば公明党
<<<<<<テロ装置<<東芝部品<<<宗教<<<同和>>>>公安>>>医師>>>魂複写>>>官憲>>>>>日本終<<<Google検索へ

>>64
ISH大活躍だなw