トップ   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS

悪意のあるファイルを添付したフィッシングメール のバックアップ(No.12)

設定対策?

悪意のあるファイルを添付したフィッシングメール

対象OS

  • Linux
  • Windows
  • macOS

概説

偽って取引先や関係者を装い悪意あるプログラム(マルウェア)を電子メールに添付して送信します。本文には、添付ファイルの内容確認を促す内容が書かれています。添付ファイルを開くと、マルウェアが端末に送り込まれ、情報漏洩や改ざんなどの被害を受けます。
差出人は、eコマースサイト、宅配便業者、銀行、保険会社クラウドサービス事業者などさまざまですが、これらに限りません。
マルウェアの初期侵入の経路として、このテクニックが最も使われており、この対策をしっかり行うことで、被害を相当軽減することが可能です。一方で、攻撃側は、「ご意見をおねがいします」「アンケートのお願い」「緊急」「口座を封鎖」などといった巧みな文面で添付ファイルを開かせようとします。
マルウェアは、スクリプト言語や実行形式のプログラムを組み合わせて、様々な方法で感染を試みるため、スクリプト言語(VBA、PowerShellなど)の実行に制限をかけることが重要です。Active Directoryが導入されている場合は、Word、Excelのグループポリシーの設定をすべきです。
VBAやPowerShellが必要な端末は、コード署名を行い、動作を許可する端末を文書化します。定期的にログの監査を行うことで、マルウェアの検出が可能となります。 マルウェア感染の影響を考えると、サーバーや開発環境での電子メールの運用やブラウザの利用は禁止します。分離が困難な開発端末などでは、端末に仮想環境を追加し、電子メールやブラウザからのマルウェアの混入を避けることも検討してください。

攻撃評価

戦術分類119 ValuePen Value
初期侵入33

119 Value:Min:1 Max:3 数値が高いほど攻撃実績が多い
Pen Value:Min:1 Max:3 数値が高いほどペネトレーションテストで攻撃が成功しやすい

MITRE 緩和策

アンチウイルス?は、疑わしいファイルを自動的に隔離することもできます。

アンチウイルスは、疑わしいファイルを自動的に隔離することもできます。

ネットワーク侵入防止システムの適用

ネットワーク侵入防止システムおよび悪意のある電子メールの添付ファイルをスキャンして削除するように設計されたシステムを使用して、アクティビティをブロックできます。

厳格なWebベースのコンテンツ制限

既定では、不明な添付ファイルや未使用の添付ファイルをブロックします。これは、.scr、.exe、.pif、.cplなどなどのベクトルを防ぐためのベストプラクティスとして、電子メールで送信しないようにします。一部の電子メールスキャンデバイスでは、zipやrarなどの圧縮および暗号化された形式を開いて分析できます。これらの形式は、難読化されたファイルや情報に悪意のある添付ファイルを隠すために使用される可能性があります。 既定では、不明な添付ファイルや未使用の添付ファイルをブロックします。これは、.scr、.exe、.pif、.cplなどなどのベクトルを防ぐためのベストプラクティスとして、電子メールで送信しないようにします。一部の電子メールスキャンデバイスでは、zipやrarなどの圧縮および暗号化された形式を開いて分析できます。これらの形式は、難読化されたファイルや情報に悪意のある添付ファイルを隠すために使用される可能性があります。

ユーザートレーニング?

ユーザーは、ソーシャルエンジニアリング技術とスピアフィッシングメールを識別するためのトレーニングを受けることができます。

Windows 10 STIG

V-63351 Windows 10システムは、ウイルス対策プログラムを使用する必要があります。

Windows Server 2016 STIG

V-73241 Windows Server 2016システムでは、ウイルス対策プログラムを使用する必要があります。
V-73245 サーバーには、ホストベースの侵入検知または防止システムが必要です。

RHEL 7 STIG

V-72213 Red Hat Enterprise Linuxオペレーティングシステムは、ウイルススキャンプログラムを使用する必要があります。

Word 2016 STIG

下記、添付ファイルを参照してください。(校正中、PW付き)

Excel 2016 STIG

下記、添付ファイルを参照してください。(校正中、PW付き)