Presentation is loading. Please wait.

Presentation is loading. Please wait.

標的型メール攻撃シミュレーション 1 添付ファイルの開封による情報流出 2 不正リンクのクリックによる情報流出

Similar presentations


Presentation on theme: "標的型メール攻撃シミュレーション 1 添付ファイルの開封による情報流出 2 不正リンクのクリックによる情報流出"— Presentation transcript:

1 標的型メール攻撃シミュレーション 1 添付ファイルの開封による情報流出 2 不正リンクのクリックによる情報流出
右から 選んでね♪ 1 添付ファイルの開封による情報流出 2 不正リンクのクリックによる情報流出 3 標的型メール攻撃の見分ける注意点 終了する

2 ○ 使用方法 ・ 画面は自動で動きますので、「ボタン」が動作す るまで操作は不要です。 ・ ボタンが動作しましたら、該当するボタンをク リックしてください。
次へ

3 <事案想定> トキ食品 ・ あなたは、 株式会社トキ食品( toki-food.co.jp )の社員
・ あなたは、     株式会社トキ食品( toki-food.co.jp )の社員     営業担当 ・ あなたのメールアドレス宛に、    商品の納入先スーパーの担当者の署名が記載された   メールが届きました。 ・ メール内容に不審な点がないか調査しましょう!! 開始

4 1 添付ファイルの開封による 情報流出の事例 添付ファイルの事例 ① 添付ファイルの事例 ② 添付ファイルの事例 ③ トップメニューに戻る
1 添付ファイルの開封による 情報流出の事例 右から 選んでね♪ 添付ファイルの事例 ① 添付ファイルの事例 ② 添付ファイルの事例 ③ トップメニューに戻る

5

6 メールが来たわ。

7 納入先の会社の担当者の署名があるから添付ファイルを実行する
納入先からのメールだわ メールヘッダ を確認する 納入先の会社の担当者の署名があるから添付ファイルを実行する 添付ファイルを保存して調査する

8 どうしようかな メールヘッダの記録から送信元が偽装されている可能性が高いので、 管理者へ連絡 納入先の会社へ電話連絡して確認
メールヘッダ調査-1 ・ よく分からない ・ 怪しいところはない 戻る

9

10 メールヘッダの怪しい箇所を確認して下さい。
他のところにも、表示されている。 良く気付きましたね。 メールヘッダの怪しい箇所を確認して下さい。 攻撃阻止成功ー1-1(メールヘッダ解説-1) 総合的に見て、フリーメールアドレスから送信された可能性が高い。 次へ

11 ・ システム管理者がメールの内容を確認して、社内へ注意喚起を実施
<その後の対応例> ・ システム管理者がメールの内容を確認して、社内へ注意喚起を実施 ・ システム管理者の指示により、社内規定に基づきメールを削除 攻撃阻止成功ー1-1(メールヘッダ解説-1) 添付ファイルの調査をしましょう。

12 メールに記載のあった署名の納入先会社へ連絡して確認した結果、メールを送信していなことが判明
<その後の対応例> ・ システム管理者がメールの内容を確認して、社内へ注意喚起を実施 ・ システム管理者の指示により、社内規定に基づきメールを削除 攻撃阻止成功ー1-2 添付ファイルを調査してみましょう。

13 添付ファイルを実行して、感染してしまいました!!!
添付ファイルを実行して、感染してしまいました!!! 感染-1-1 感染してしまいましたが、添付ファイルを調査してみましょう。

14 エクスプローラの詳細表示、プロパティ表示 調査してみよう
写真を送ったとのことだから、拡張子がjpgという画像形式のファイルで問題ない。 問題なさそうだが、ウイルス対策ソフトでチェック 添付ファイル調査ー1 ファイルが偽装されている可能性が非常に高い箇所が分かったので、システム管理者へ連絡

15 攻撃阻止成功!!! 攻撃阻止成功-1-3 解説を確認してみましょう。

16

17 まず、エクスプローラで詳細表示を確認しましょう。
アイコンは、画像だけど・・・ 名前の後ろに、「・・・」が !!! これは、名前が長い場合の省略の印です。 画像ファイルなのに、「アプリケーション」となっています。 「アプリケーション」は、実行ファイルなどのファイルを表す種類です。 解説-1-1 画像ファイル(jpg形式)の場合は、「JPEGイメージ」と表示されます。 次へ

18

19 実際のファイル名は、こんなに長い名前で、
まず、エクスプローラで詳細表示を確認しましょう。 実際のファイル名は、こんなに長い名前で、 最後に「exe」がありました。 解説-1-1-② ここは、空白文字で埋められています。 次へ

20

21 ファイルの種類も、アプリケーション(.exe)と表示
次は、エクスプローラでプロパティ表示を確認しましょう。 やはり、アイコンは、画像だけど・・・ 名前の後ろに、「.exe」が !!! 感染した場合に発生する攻撃のアニメを見る。 事例メールの選択画面へ 解説ー1-2 ファイルの種類も、アプリケーション(.exe)と表示 初期画面へ戻る

22 ウイルスの検知は なかった!! ウイルス対策ソフトでチェックー1 ウイルス検知しなかったら実行 戻る

23 添付ファイルを実行して、感染してしまいました!!!
添付ファイルを実行して、感染してしまいました!!! 感染-1-2 解説を確認してみましょう。

24 あなたは、 添付ファイルを実行してしまいました。 その裏では・・・ 感染アニメ-1 次へ

25

26 ? 裏では… 感染通知 感染したパソコンから通知がきた。 感染したことを通知しよう!! 次へ ウイルス指令サーバ 感染通知 マイコンピュータ
パスワード.docx 顧客リスト.xlxs マイコンピュータ 感染したパソコンから通知がきた。 感染したことを通知しよう!! 感染通知 感染通知 次へ ウイルス指令サーバ

27

28 ? 裏では… 命令 パソコンの画面を見てみよう・・・ ファイルを 入手しよう ファイルを 画面データを 送信 送信 ウイルス指令サーバ
パスワード.docx 顧客リスト.xlxs マイコンピュータ ふむ、パソコンの利用者が使用しているファイルは・・・ パソコンの画面を見てみよう・・・ 命令 ファイルを 入手しよう ファイルを 送信 画面データを 送信 (攻撃者)感染端末ファイル確認→ファイル転送 次へ ウイルス指令サーバ

29

30 ? 裏では… ファイルの内容は・・・ ウイルス指令サーバ 次へ (攻撃者)感染端末ファイルの中身を表示 マイコンピュータ
パスワード.docx 顧客リスト.xlxs マイコンピュータ ファイルの内容は・・・ (攻撃者)感染端末ファイルの中身を表示 次へ ウイルス指令サーバ

31

32 ? 命令 画面を表示しろ!! ウイルス指令サーバ トキ食品 次へ 1スライドずつに分ける
パスワード.docx 顧客リスト.xlxs マイコンピュータ 画面を表示しろ!! 命令 1スライドずつに分ける ・ 画面を表示しろ → 被害者の画面を盗み見する様子 ・ ファイルを入手しろ → 個人情報の絵を移動 ・ キー入力情報を入手しろ → 社内のシステムログイン、パスワードを入手 次へ ウイルス指令サーバ

33

34 ? 命令 ファイルを 入手しろ!! 了解!! ウイルス指令サーバ トキ食品 次へ 1スライドずつに分ける
・ 画面を表示しろ → 被害者の画面を盗み見する様子 ・ ファイルを入手しろ → 個人情報の絵を移動 ・ キー入力情報を入手しろ → 社内のシステムログイン、パスワードを入手 次へ ウイルス指令サーバ

35

36 ? 命令 商品の発注をしなきゃ… キー入力の履歴を入手しろ!! 了解!! 98765 hanasado 98765 hanasado
トキ食品 キー入力の履歴を入手しろ!! 命令 了解!! 98765 hanasado 1スライドずつに分ける ・ 画面を表示しろ → 被害者の画面を盗み見する様子 ・ ファイルを入手しろ → 個人情報の絵を移動 ・ キー入力情報を入手しろ → 社内のシステムログイン、パスワードを入手 98765 hanasado 次へ ウイルス指令サーバ

37 など、攻撃者にあらゆる操作をされてしまいます。
ウイルスに感染すると、  ・機密ファイルの外部流出  ・リアルタイムの監視  ・キー入力情報の窃取 など、攻撃者にあらゆる操作をされてしまいます。 事例メールの選択画面へ 感染アニメ-2 初期画面へ戻る

38

39 また、メールが来たわ。

40 納入先の会社の担当者の署名があるし、拡張子が「exe」じゃないから実行する
メールヘッダを確認 (※ 事例 ① と同様) 納入先の会社の担当者の署名があるし、拡張子が「exe」じゃないから実行する 添付2 添付ファイルを保存して調査する

41 メールヘッダ調査-1 戻る

42 添付ファイルを実行して、感染してしまいました!!!
添付ファイルを実行して、感染してしまいました!!! 感染-1-1 感染してしまいましたが、添付ファイルを調査してみましょう。

43 エクスプローラの詳細表示、プロパティ表示 調査してみよう
Wordのアイコンと 拡張子(docx)で問題ないから実行 問題なさそうだが、ウイルス対策ソフトでチェック 添付ファイル調査ー2 ファイルが偽装されている可能性が非常に高い箇所が分かったのでシステム管理者へ連絡

44 攻撃阻止成功!!! 攻撃阻止成功-1-3 解説を確認してみましょう。

45 検知しなかったわ!! ウイルス検知しなかったら実行 ウイルス対策ソフトでチェックー1 戻る

46 添付ファイルを実行して、感染してしまいました!!!
添付ファイルを実行して、感染してしまいました!!! 感染-1-2 解説を確認しましょう。

47

48 まず、エクスプローラで詳細表示を確認しましょう。
Wordファイルなのに、「アプリケーション」となっている。 「アプリケーション」は、実行ファイルなどのファイルを表す種類です。 アイコンは、Word だけど・・・ 解説-2-1 Wordファイルの場合は、「Microsoft Office Word文書」と表示されます。 次へ

49

50 ファイルの種類に、アプリケーション(.exe)と表示
次は、エクスプローラでプロパティ表示を確認しましょう。 ファイル名が怪しいものになっています。   ・ 通常 → 「PhotoexE.docxのプロパティ」   ・ 表示 → 「PhotoィテロパプのexE.docx」 これは、「RLO(右から左へ表示)」というOSの制御文字の機能を利用して、実行形式ファイル( .exe )であるのに、Wordファイル(docx)のように偽装しています。 解説-2-2-① ファイルの種類に、アプリケーション(.exe)と表示 次へ

51

52 次は、エクスプローラでプロパティ表示を確認しましょう。
感染した場合に発生する攻撃のアニメを見る。 (※ 事例 ① と同じ)  実際のファイル名: Photo xcod.Exe  (実際はexe)  表示のファイル名: Photo exE.docx  (見た目はdocx)  ここに、RLO制御文字を挿入 読む方向:左から右 読む方向:右から左 事例メールの 選択画面へ 解説-2-2-② 初期画面へ戻る

53

54 まだ、 メールが来るの?

55 納入先の会社の担当者の署名があるし、拡張子が「exe」じゃないから、Zipファイルを解凍する
メールヘッダを確認 (※ 事例 ①と同様) 納入先の会社の担当者の署名があるし、拡張子が「exe」じゃないから、Zipファイルを解凍する 添付2

56 メールヘッダ調査-1 戻る

57

58 エクスプローラの詳細表示、プロパティ表示
解凍して中身をみよう 解凍 PDFのアイコンと拡張子(pdf)で問題ないから実行 問題なさそうだが、ウイルス対策ソフトでチェック 添付ファイル調査-3 ファイルが偽装されている可能性が非常に高い箇所が分かったのでシステム管理者へ連絡

59 攻撃阻止成功!!! 攻撃阻止成功-1-3 解説を確認しましょう。

60 検知しなかったわ!! ウイルス検知しなかったら実行 ウイルス対策ソフトでチェックー1 戻る

61 添付ファイルを実行して、感染してしまいました!!!
添付ファイルを実行して、感染してしまいました!!! 感染-1-1 解説を確認しましょう。

62

63 まず、エクスプローラで詳細表示を確認しましょう。
PDFファイルなのに、「ショートカット」となっている。 「ショートカットファイル」は、ファイル、フォルダを指し示す特殊なファイル(実体は別にあります。)の種類です。 アイコンは、PDFファイルのようだけど・・・  アイコンの左下に、「矢印のマーク」が !!! これは、ショートカットファイルの印です。 解説-3-1 次へ

64

65 ファイルの種類も、ショートカット(.lnk)と表示されています。
次は、エクスプローラでプロパティ表示を確認しましょう。 ファイルの種類も、ショートカット(.lnk)と表示されています。 解説-3-2 次へ

66

67 引き続き、エクスプローラでプロパティ表示を確認しましょう。
これは、インターネットからファイルをダウンロードする命令の一部です。 感染した場合に発生する攻撃のアニメを見る。 (※ 事例 ①と同じもの) 事例メールの選択画面へ 解説-3-3 初期画面へ戻る ショートカットファイルは、「リンク先」にコマンドを入力できます。

68 ○ 使用方法 ・ 画面は自動で動きますので、「ボタン」が動作す るまで操作は不要です。 ・ ボタンが動作しましたら、該当するボタンをク リックしてください。 ・ メール画面で青色文字部には、リンク先が設定さ れていますので、必要な時はクリックしてください。 次へ

69 <事案想定> トキ食品 ・ あなたは、 株式会社トキ食品( toki-food.co.jp )の社員
・ あなたは、     株式会社トキ食品( toki-food.co.jp )の社員     営業担当 ・ あなたのメールアドレス宛に、    食品業界の団体である食品協会の担当者の署名が 記載されたメールが届きました。 ・ メール内容に不審な点がないか調査しましょう!! 開始

70 2 不正リンクのクリックによる 情報流出 右から 選んでね♪ 不正リンクの事例 ① 不正リンクの事例 ② トップメニューに戻る

71

72  4通目のメールが来たわ。  いい加減にしてほしいわ。

73 青色文字部はクリックするとリンク先に移動できます
メールヘッダを確認 (※ 添付ファイル事例と同様) 協会のホームページ 関係機関の署名があるから、URLリンクをクリック URLリンク1 URLリンクを調査

74 メールヘッダ調査-1 戻る

75 署名メールのリンククリック時 戻る

76

77 URLリンクをクリックして、感染してしまいました!!!
URLリンクをクリックして、感染してしまいました!!! 感染-1-1 感染してしまいましたが、 URLリンクを調査してみましょう。

78

79 詳しく見てみよう!! 問題なさそうだから、URLをクリック URLが偽装されている可能性が非常に高いので、システム管理者へ連絡
マウスをリンクの上に合わせた時の表示 詳しく見てみよう!! HTMLソース表示 問題なさそうだから、URLをクリック URLリンク調査-1 URLが偽装されている可能性が非常に高いので、システム管理者へ連絡

80

81 URLリンクをクリックして、感染してしまいました!!!
URLリンクをクリックして、感染してしまいました!!! 感染-1-2 解説を確認しましょう。

82 攻撃阻止成功!!! 攻撃阻止成功-1-3 解説を確認しましょう。

83

84 URLリンク上にマウスを合わせると、クリックした時に接続するURLが分かります。
マウスをリンクの上に合わせた時の表示 URLリンク上にマウスを合わせると、クリックした時に接続するURLが分かります。 URLリンクとして表示されている文字は、表示用のもので、実際の接続先情報は別に記述されています。 メールアドレスとホームページのドメイン名が全く別の名前で怪しい。  ・ メールアドレス → shokukyo.or.jp  ・ ホームページ  → attack.ru 解説-1-1-① 次へ

85

86 メモ帳などに貼り付けると実際の接続先が分かります。
また、 URLリンク上でマウスの右クリックで、 「ハイパーリンクのコピー」を選択して、 メモ帳などに貼り付けると実際の接続先が分かります。 解説-1-1-② 次へ

87

88 実際の接続先 → http://www.attack.ru 表示される文字 → 協会のホームページ
HTML(ホームページ等で利用される言語)における  ~ URLリンクの記述方法 ~  <a href=“ 接続先 URLリンクとして表示される文字 <a href=“ ”> </a>  :HTML言語のURLリンクの記述箇所 HTMLソース表示 感染した場合に発生する攻撃のアニメを見る。 事例メールの選択画面へ 解説-1-2 今回の場合は、   実際の接続先  →    表示される文字 → 協会のホームページ 初期画面へ戻る

89

90 ? トキ食品 関係機関からのメールだ。 URLリンクをクリックして確認しよう。 ウイルスを置いた ホームページ 事前に、 トキ食品へ
「ウイルスを置くホームページ」と「ウイルス指令サーバ」を準備しよう。 トキ食品へ メールを送って、 ウイルスを置いたホームページへ誘導しよう。 感染アニメ-1 ・ サーバ準備 → メール送付 ・ メール開封 → リンククリック → 不正サイトへ接続 → 感染 → 情報流出 ウイルス指令サーバ 次へ

91 など、攻撃者にあらゆる操作をされてしまいます。
ウイルスに感染すると、  ・機密ファイルの外部流出  ・リアルタイムの監視  ・キー入力情報の窃取 など、攻撃者にあらゆる操作をされてしまいます。 事例メールの選択画面へ 感染アニメ-2 初期画面へ戻る

92

93 何通目だったかしら・・・

94 青色文字部はクリックするとリンク先に移動できます
メールヘッダを確認 (※ 添付ファイル事例と同様) 関係機関の署名があるから、URLリンクをクリック URLリンク1 URLリンクを調査

95 メールヘッダ調査-1 戻る

96 署名メールのリンククリック時 戻る

97

98 URLリンクをクリックして、感染してしまいました!!!
URLリンクをクリックして、感染してしまいました!!! 感染-1-1 感染してしまいましたが、 URLリンクを調査してみましょう。

99

100 詳しく見てみよう!! 問題なさそうだから、URLをクリック URLが偽装されている可能性が非常に高いので、システム管理者へ連絡
マウスをリンクの上に合わせた時の表示 詳しく見てみよう!! HTMLソース表示 問題なさそうだから、URLをクリック URLリンク調査-2 URLが偽装されている可能性が非常に高いので、システム管理者へ連絡

101

102 URLリンクをクリックして、感染してしまいました!!!
URLリンクをクリックして、感染してしまいました!!! 感染-1-1 感染してしまいましたが、解説を確認しましょう。

103 攻撃阻止成功!!! 攻撃阻止成功-1-3 解説を確認しましょう。

104

105 URLリンク上にマウスを合わせると、クリックした時に接続するURLが分かります。
マウスをリンクの上に合わせた時の表示 URLリンク上にマウスを合わせると、クリックした時に接続するURLが分かります。 URLリンクとして表示されている文字は、表示用のもので、実際の接続先情報は別に記述されています。 メールアドレスとホームページのドメイン名が全く別の名前で怪しい。  ・ メールアドレス → shokukyo.or.jp  ・ ホームページ  → attack.ru 解説-2-1 次へ

106

107 URLリンク上でマウスの右クリックで、「ハイパーリンクのコピー」を選択して、メモ帳に貼り付けると実際の接続先が分かります。
解説-2-1 次へ

108

109 HTML(ホームページ等で利用される言語)での ~ URLリンクの記述方法 ~
 ~ URLリンクの記述方法 ~  <a href=“ 接続先 URLリンクとして表示される文字 <a href=“ ”> </a>  :HTML言語のURLリンクの記述箇所 HTMLソース表示 感染した場合に発生する攻撃のアニメを見る。 (※事例 ① と同様) 事例メールの選択画面へ 今回の場合は、   実際の接続先  →    表示される文字 →  解説-2-2 初期画面へ戻る

110

111 署名のアドレスと送信者のアドレスが異なっています。 可能性大 フリーメール(yahoo.co.jp)が使用されています。
標的型メールと思われる箇所をクリックして確認してみましょう。 2016/07/14(木)11:11 cyber 可能性大  署名のアドレスと送信者のアドレスが異なっています。 可能性大  フリーメール(yahoo.co.jp)が使用されています。 【新潟警察】アンケートのお願い 問題なさそうだ・・・ 質問事項.zip(2KB) 可能性あり  添付ファイルは要注意!! 可能性大  日本人なのに、中国簡体字を使用しています。 トキ食品 営業部 佐渡花子 先生 可能性あり  日本語が不自然です。 お世話になっています。警察の彩葉です。 东京 オリンピックに向けたサイバーセキュリティ対策を 推進ため 添付ファイルの 質问 事項に回答してください。 ありがとう。 標的型メールのチェックポイント 可能性大  存在しない会社、機関 新潟市警察 サイバー犯罪対策課 彩葉三郎 回答を確認 住所 〒  新潟県新潟市中央区新光町 TEL 戻る


Download ppt "標的型メール攻撃シミュレーション 1 添付ファイルの開封による情報流出 2 不正リンクのクリックによる情報流出"

Similar presentations


Ads by Google