標的型メール攻撃シミュレーション １ 添付ファイルの開封による情報流出 ２ 不正リンクのクリックによる情報流出

Presentation on theme: "標的型メール攻撃シミュレーション １ 添付ファイルの開封による情報流出 ２ 不正リンクのクリックによる情報流出"— Presentation transcript:

1 標的型メール攻撃シミュレーション １ 添付ファイルの開封による情報流出 ２ 不正リンクのクリックによる情報流出
右から 選んでね♪ １　添付ファイルの開封による情報流出 ２　不正リンクのクリックによる情報流出 ３　標的型メール攻撃の見分ける注意点 終了する

2 ○ 使用方法 ・ 画面は自動で動きますので、「ボタン」が動作す るまで操作は不要です。 ・ ボタンが動作しましたら、該当するボタンをク リックしてください。
次へ

3 ＜事案想定＞ トキ食品 ・ あなたは、 株式会社トキ食品（ toki-food.co.jp ）の社員
・　あなたは、 　　 　株式会社トキ食品（ toki-food.co.jp ）の社員 　　　　営業担当 ・　あなたのメールアドレス宛に、 　　　商品の納入先スーパーの担当者の署名が記載された 　　メールが届きました。 ・　メール内容に不審な点がないか調査しましょう!! 開始

4 １ 添付ファイルの開封による 情報流出の事例 添付ファイルの事例 ① 添付ファイルの事例 ② 添付ファイルの事例 ③ トップメニューに戻る
１　添付ファイルの開封による 情報流出の事例 右から 選んでね♪ 添付ファイルの事例　① 添付ファイルの事例　② 添付ファイルの事例　③ トップメニューに戻る

5

6 メールが来たわ。

7 納入先の会社の担当者の署名があるから添付ファイルを実行する
納入先からのメールだわ メールヘッダ を確認する 納入先の会社の担当者の署名があるから添付ファイルを実行する 添付ファイルを保存して調査する

8 どうしようかな メールヘッダの記録から送信元が偽装されている可能性が高いので、 管理者へ連絡 納入先の会社へ電話連絡して確認
メールヘッダ調査－１ ・ よく分からない ・ 怪しいところはない 戻る

9

10 メールヘッダの怪しい箇所を確認して下さい。
他のところにも、表示されている。 良く気付きましたね。 メールヘッダの怪しい箇所を確認して下さい。 攻撃阻止成功ー１－１（メールヘッダ解説－１） 総合的に見て、フリーメールアドレスから送信された可能性が高い。 次へ

11 ・ システム管理者がメールの内容を確認して、社内へ注意喚起を実施
＜その後の対応例＞ ・　システム管理者がメールの内容を確認して、社内へ注意喚起を実施 ・　システム管理者の指示により、社内規定に基づきメールを削除 攻撃阻止成功ー１－１（メールヘッダ解説－１） 添付ファイルの調査をしましょう。

12 メールに記載のあった署名の納入先会社へ連絡して確認した結果、メールを送信していなことが判明
＜その後の対応例＞ ・　システム管理者がメールの内容を確認して、社内へ注意喚起を実施 ・　システム管理者の指示により、社内規定に基づきメールを削除 攻撃阻止成功ー１－２ 添付ファイルを調査してみましょう。

13 添付ファイルを実行して、感染してしまいました！！！
？ 添付ファイルを実行して、感染してしまいました！！！ 感染－１－１ 感染してしまいましたが、添付ファイルを調査してみましょう。

14 エクスプローラの詳細表示、プロパティ表示 調査してみよう
写真を送ったとのことだから、拡張子がjpgという画像形式のファイルで問題ない。 問題なさそうだが、ウイルス対策ソフトでチェック 添付ファイル調査ー１ ファイルが偽装されている可能性が非常に高い箇所が分かったので、システム管理者へ連絡

15 攻撃阻止成功！！！ 攻撃阻止成功－１－３ 解説を確認してみましょう。

16

17 まず、エクスプローラで詳細表示を確認しましょう。
アイコンは、画像だけど・・・ 名前の後ろに、「・・・」が !!! これは、名前が長い場合の省略の印です。 画像ファイルなのに、「アプリケーション」となっています。 「アプリケーション」は、実行ファイルなどのファイルを表す種類です。 解説－１－１ 画像ファイル（jpg形式）の場合は、「ＪＰＥＧイメージ」と表示されます。 次へ

18

19 実際のファイル名は、こんなに長い名前で、
まず、エクスプローラで詳細表示を確認しましょう。 実際のファイル名は、こんなに長い名前で、 最後に「ｅｘｅ」がありました。 解説－１－１－② ここは、空白文字で埋められています。 次へ

20

21 ファイルの種類も、アプリケーション（.exe）と表示
次は、エクスプローラでプロパティ表示を確認しましょう。 やはり、アイコンは、画像だけど・・・ 名前の後ろに、「.exe」が !!! 感染した場合に発生する攻撃のアニメを見る。 事例メールの選択画面へ 解説ー１－２ ファイルの種類も、アプリケーション（.exe）と表示 初期画面へ戻る

22 ウイルスの検知は なかった！！ ウイルス対策ソフトでチェックー１ ウイルス検知しなかったら実行 戻る

23 添付ファイルを実行して、感染してしまいました！！！
？ 添付ファイルを実行して、感染してしまいました！！！ 感染－１－２ 解説を確認してみましょう。

24 ？ あなたは、 添付ファイルを実行してしまいました。 その裏では・・・ 感染アニメ－１ 次へ

25

26 ？ 裏では… 感染通知 感染したパソコンから通知がきた。 感染したことを通知しよう!! 次へ ウイルス指令サーバ 感染通知 マイコンピュータ
パスワード.docx 顧客リスト.xlxs マイコンピュータ 感染したパソコンから通知がきた。 感染したことを通知しよう!! 感染通知 感染通知 次へ ウイルス指令サーバ

27

28 ？ 裏では… 命令 パソコンの画面を見てみよう・・・ ファイルを 入手しよう ファイルを 画面データを 送信 送信 ウイルス指令サーバ
パスワード.docx 顧客リスト.xlxs マイコンピュータ ふむ、パソコンの利用者が使用しているファイルは･･･ パソコンの画面を見てみよう・・・ 命令 ファイルを 入手しよう ファイルを 送信 画面データを 送信 （攻撃者）感染端末ファイル確認→ファイル転送 次へ ウイルス指令サーバ

29

30 ？ 裏では… ファイルの内容は･･･ ウイルス指令サーバ 次へ （攻撃者）感染端末ファイルの中身を表示 マイコンピュータ
パスワード.docx 顧客リスト.xlxs マイコンピュータ ファイルの内容は･･･ （攻撃者）感染端末ファイルの中身を表示 次へ ウイルス指令サーバ

31

32 ？ 命令 画面を表示しろ！！ ウイルス指令サーバ トキ食品 次へ 1スライドずつに分ける
パスワード.docx 顧客リスト.xlxs マイコンピュータ ？ 画面を表示しろ！！ 命令 1スライドずつに分ける ・　画面を表示しろ　→　被害者の画面を盗み見する様子 ・　ファイルを入手しろ　→　個人情報の絵を移動 ・　キー入力情報を入手しろ　→　社内のシステムログイン、パスワードを入手 次へ ウイルス指令サーバ

33

34 ？ 命令 ファイルを 入手しろ！！ 了解！！ ウイルス指令サーバ トキ食品 次へ 1スライドずつに分ける
・　画面を表示しろ　→　被害者の画面を盗み見する様子 ・　ファイルを入手しろ　→　個人情報の絵を移動 ・　キー入力情報を入手しろ　→　社内のシステムログイン、パスワードを入手 次へ ウイルス指令サーバ

35

36 ？ 命令 商品の発注をしなきゃ… キー入力の履歴を入手しろ！！ 了解！！ 98765 hanasado 98765 hanasado
トキ食品 キー入力の履歴を入手しろ！！ ？ 命令 了解！！ 98765 hanasado 1スライドずつに分ける ・　画面を表示しろ　→　被害者の画面を盗み見する様子 ・　ファイルを入手しろ　→　個人情報の絵を移動 ・　キー入力情報を入手しろ　→　社内のシステムログイン、パスワードを入手 98765 hanasado 次へ ウイルス指令サーバ

37 など、攻撃者にあらゆる操作をされてしまいます。
ウイルスに感染すると、 　・機密ファイルの外部流出 　・リアルタイムの監視 　・キー入力情報の窃取 など、攻撃者にあらゆる操作をされてしまいます。 事例メールの選択画面へ 感染アニメ－２ 初期画面へ戻る

38

39 また、メールが来たわ。

40 納入先の会社の担当者の署名があるし、拡張子が「exe」じゃないから実行する
メールヘッダを確認 （※ 事例 ① と同様） 納入先の会社の担当者の署名があるし、拡張子が「exe」じゃないから実行する 添付２ 添付ファイルを保存して調査する

41 メールヘッダ調査－１ 戻る

42 添付ファイルを実行して、感染してしまいました！！！
？ 添付ファイルを実行して、感染してしまいました！！！ 感染－１－１ 感染してしまいましたが、添付ファイルを調査してみましょう。

43 エクスプローラの詳細表示、プロパティ表示 調査してみよう
Wordのアイコンと 拡張子（docx）で問題ないから実行 問題なさそうだが、ウイルス対策ソフトでチェック 添付ファイル調査ー２ ファイルが偽装されている可能性が非常に高い箇所が分かったのでシステム管理者へ連絡

44 攻撃阻止成功！！！ 攻撃阻止成功－１－３ 解説を確認してみましょう。

45 検知しなかったわ！！ ウイルス検知しなかったら実行 ウイルス対策ソフトでチェックー１ 戻る

46 添付ファイルを実行して、感染してしまいました！！！
？ 添付ファイルを実行して、感染してしまいました！！！ 感染－１－２ 解説を確認しましょう。

47

48 まず、エクスプローラで詳細表示を確認しましょう。
Wordファイルなのに、「アプリケーション」となっている。 「アプリケーション」は、実行ファイルなどのファイルを表す種類です。 アイコンは、Word だけど・・・ 解説－２－１ Wordファイルの場合は、「Microsoft Office Word文書」と表示されます。 次へ

49

50 ファイルの種類に、アプリケーション（.exe）と表示
次は、エクスプローラでプロパティ表示を確認しましょう。 ファイル名が怪しいものになっています。 　　・　通常　→　「PhotoexE.docxのプロパティ」 　　・　表示　→　「PhotoィテロパプのexE.docx」 これは、「ＲＬＯ（右から左へ表示）」というＯＳの制御文字の機能を利用して、実行形式ファイル（ .exe ）であるのに、Wordファイル（docx）のように偽装しています。 解説－２－２－① ファイルの種類に、アプリケーション（.exe）と表示 次へ

51

52 次は、エクスプローラでプロパティ表示を確認しましょう。
感染した場合に発生する攻撃のアニメを見る。 （※ 事例 ① と同じ） 　実際のファイル名：　Photo xcod.Exe　　（実際はexe） 　表示のファイル名：　Photo exE.docx 　（見た目はdocx）　 ここに、ＲＬＯ制御文字を挿入 読む方向：左から右 読む方向：右から左 事例メールの 選択画面へ 解説－２－２－② 初期画面へ戻る

53

54 まだ、 メールが来るの？

55 納入先の会社の担当者の署名があるし、拡張子が「exe」じゃないから、Zipファイルを解凍する
メールヘッダを確認 （※ 事例 ①と同様） 納入先の会社の担当者の署名があるし、拡張子が「exe」じゃないから、Zipファイルを解凍する 添付２

56 メールヘッダ調査－１ 戻る

57

58 エクスプローラの詳細表示、プロパティ表示
解凍して中身をみよう 解凍 PDFのアイコンと拡張子（pdf）で問題ないから実行 問題なさそうだが、ウイルス対策ソフトでチェック 添付ファイル調査－３ ファイルが偽装されている可能性が非常に高い箇所が分かったのでシステム管理者へ連絡

59 攻撃阻止成功！！！ 攻撃阻止成功－１－３ 解説を確認しましょう。

60 検知しなかったわ！！ ウイルス検知しなかったら実行 ウイルス対策ソフトでチェックー１ 戻る

61 添付ファイルを実行して、感染してしまいました！！！
？ 添付ファイルを実行して、感染してしまいました！！！ 感染－１－１ 解説を確認しましょう。

62

63 まず、エクスプローラで詳細表示を確認しましょう。
ＰＤＦファイルなのに、「ショートカット」となっている。 「ショートカットファイル」は、ファイル、フォルダを指し示す特殊なファイル（実体は別にあります。）の種類です。 アイコンは、ＰＤＦファイルのようだけど・・・ 　アイコンの左下に、「矢印のマーク」が !!! これは、ショートカットファイルの印です。 解説－３－１ 次へ

64

65 ファイルの種類も、ショートカット（.lnk）と表示されています。
次は、エクスプローラでプロパティ表示を確認しましょう。 ファイルの種類も、ショートカット（.lnk）と表示されています。 解説－３－２ 次へ

66

67 引き続き、エクスプローラでプロパティ表示を確認しましょう。
これは、インターネットからファイルをダウンロードする命令の一部です。 感染した場合に発生する攻撃のアニメを見る。 （※ 事例 ①と同じもの） 事例メールの選択画面へ 解説－３－３ 初期画面へ戻る ショートカットファイルは、「リンク先」にコマンドを入力できます。

68 ○ 使用方法 ・ 画面は自動で動きますので、「ボタン」が動作す るまで操作は不要です。 ・ ボタンが動作しましたら、該当するボタンをク リックしてください。 ・ メール画面で青色文字部には、リンク先が設定さ れていますので、必要な時はクリックしてください。 次へ

69 ＜事案想定＞ トキ食品 ・ あなたは、 株式会社トキ食品（ toki-food.co.jp ）の社員
・　あなたは、 　　 　株式会社トキ食品（ toki-food.co.jp ）の社員 　　　　営業担当 ・　あなたのメールアドレス宛に、 　　　食品業界の団体である食品協会の担当者の署名が 記載されたメールが届きました。 ・　メール内容に不審な点がないか調査しましょう!! 開始

70 ２　不正リンクのクリックによる 情報流出 右から 選んでね♪ 不正リンクの事例　① 不正リンクの事例　② トップメニューに戻る

71

72 　４通目のメールが来たわ。 　いい加減にしてほしいわ。

73 青色文字部はクリックするとリンク先に移動できます
メールヘッダを確認 （※ 添付ファイル事例と同様） 協会のホームページ 関係機関の署名があるから、ＵＲＬリンクをクリック ＵＲＬリンク１ ＵＲＬリンクを調査

74 メールヘッダ調査－１ 戻る

75 署名メールのリンククリック時 戻る

76

77 ＵＲＬリンクをクリックして、感染してしまいました！！！
？ ＵＲＬリンクをクリックして、感染してしまいました！！！ 感染－１－１ 感染してしまいましたが、 ＵＲＬリンクを調査してみましょう。

78

79 詳しく見てみよう！！ 問題なさそうだから、ＵＲＬをクリック ＵＲＬが偽装されている可能性が非常に高いので、システム管理者へ連絡
マウスをリンクの上に合わせた時の表示 詳しく見てみよう！！ ＨＴＭＬソース表示 問題なさそうだから、ＵＲＬをクリック ＵＲＬリンク調査－１ ＵＲＬが偽装されている可能性が非常に高いので、システム管理者へ連絡

80

81 ＵＲＬリンクをクリックして、感染してしまいました！！！
？ ＵＲＬリンクをクリックして、感染してしまいました！！！ 感染－１－２ 解説を確認しましょう。

82 攻撃阻止成功！！！ 攻撃阻止成功－１－３ 解説を確認しましょう。

83

84 ＵＲＬリンク上にマウスを合わせると、クリックした時に接続するＵＲＬが分かります。
マウスをリンクの上に合わせた時の表示 ＵＲＬリンク上にマウスを合わせると、クリックした時に接続するＵＲＬが分かります。 ＵＲＬリンクとして表示されている文字は、表示用のもので、実際の接続先情報は別に記述されています。 メールアドレスとホームページのドメイン名が全く別の名前で怪しい。 　・　メールアドレス　→　shokukyo.or.jp 　・　ホームページ　 →　attack.ru 解説－１－１－① 次へ

85

86 メモ帳などに貼り付けると実際の接続先が分かります。
また、 ＵＲＬリンク上でマウスの右クリックで、 「ハイパーリンクのコピー」を選択して、 メモ帳などに貼り付けると実際の接続先が分かります。 解説－１－１－② 次へ

87

88 実際の接続先 → http://www.attack.ru 表示される文字 → 協会のホームページ
ＨＴＭＬ（ホームページ等で利用される言語）における 　～　ＵＲＬリンクの記述方法　～ 　＜a href=“ 接続先 ＵＲＬリンクとして表示される文字 ＜a href=“ ”＞　</a>　　：HTML言語のＵＲＬリンクの記述箇所 ＨＴＭＬソース表示 感染した場合に発生する攻撃のアニメを見る。 事例メールの選択画面へ 解説－１－２ 今回の場合は、 　　実際の接続先　　→　 　　表示される文字　→　協会のホームページ 初期画面へ戻る

89

90 ？ トキ食品 関係機関からのメールだ。 ＵＲＬリンクをクリックして確認しよう。 ウイルスを置いた ホームページ 事前に、 トキ食品へ
「ウイルスを置くホームページ」と「ウイルス指令サーバ」を準備しよう。 トキ食品へ メールを送って、 ウイルスを置いたホームページへ誘導しよう。 感染アニメ－１ ・　サーバ準備　→　メール送付 ・　メール開封　→　リンククリック　→　不正サイトへ接続　→　感染　→　情報流出 ウイルス指令サーバ 次へ

91 など、攻撃者にあらゆる操作をされてしまいます。
ウイルスに感染すると、 　・機密ファイルの外部流出 　・リアルタイムの監視 　・キー入力情報の窃取 など、攻撃者にあらゆる操作をされてしまいます。 事例メールの選択画面へ 感染アニメ－２ 初期画面へ戻る

92

93 何通目だったかしら・・・

94 青色文字部はクリックするとリンク先に移動できます
メールヘッダを確認 （※ 添付ファイル事例と同様） 関係機関の署名があるから、ＵＲＬリンクをクリック ＵＲＬリンク１ ＵＲＬリンクを調査

95 メールヘッダ調査－１ 戻る

96 署名メールのリンククリック時 戻る

97

98 ＵＲＬリンクをクリックして、感染してしまいました！！！
？ ＵＲＬリンクをクリックして、感染してしまいました！！！ 感染－１－１ 感染してしまいましたが、 ＵＲＬリンクを調査してみましょう。

99

100 詳しく見てみよう！！ 問題なさそうだから、ＵＲＬをクリック ＵＲＬが偽装されている可能性が非常に高いので、システム管理者へ連絡
マウスをリンクの上に合わせた時の表示 詳しく見てみよう！！ ＨＴＭＬソース表示 問題なさそうだから、ＵＲＬをクリック ＵＲＬリンク調査－２ ＵＲＬが偽装されている可能性が非常に高いので、システム管理者へ連絡

101

102 ＵＲＬリンクをクリックして、感染してしまいました！！！
？ ＵＲＬリンクをクリックして、感染してしまいました！！！ 感染－１－１ 感染してしまいましたが、解説を確認しましょう。

103 攻撃阻止成功！！！ 攻撃阻止成功－１－３ 解説を確認しましょう。

104

105 ＵＲＬリンク上にマウスを合わせると、クリックした時に接続するＵＲＬが分かります。
マウスをリンクの上に合わせた時の表示 ＵＲＬリンク上にマウスを合わせると、クリックした時に接続するＵＲＬが分かります。 ＵＲＬリンクとして表示されている文字は、表示用のもので、実際の接続先情報は別に記述されています。 メールアドレスとホームページのドメイン名が全く別の名前で怪しい。 　・　メールアドレス　→　shokukyo.or.jp 　・　ホームページ　 →　attack.ru 解説－２－１ 次へ

106

107 ＵＲＬリンク上でマウスの右クリックで、「ハイパーリンクのコピー」を選択して、メモ帳に貼り付けると実際の接続先が分かります。
解説－２－１ 次へ

108

109 ＨＴＭＬ（ホームページ等で利用される言語）での ～ ＵＲＬリンクの記述方法 ～
　～　ＵＲＬリンクの記述方法　～ 　＜a href=“ 接続先 ＵＲＬリンクとして表示される文字 ＜a href=“ ”＞　</a>　　：HTML言語のＵＲＬリンクの記述箇所 ＨＴＭＬソース表示 感染した場合に発生する攻撃のアニメを見る。 （※事例 ① と同様） 事例メールの選択画面へ 今回の場合は、 　　実際の接続先　　→　 　　表示される文字　→　 解説－２－２ 初期画面へ戻る

110

111 署名のアドレスと送信者のアドレスが異なっています。 可能性大 フリーメール（yahoo.co.jp）が使用されています。
標的型メールと思われる箇所をクリックして確認してみましょう。 2016/07/14（木）11:11 cyber 可能性大 　署名のアドレスと送信者のアドレスが異なっています。 可能性大 　フリーメール（yahoo.co.jp）が使用されています。 【新潟警察】アンケートのお願い 問題なさそうだ・・・ 質問事項.zip（2KB） 可能性あり 　添付ファイルは要注意!! 可能性大 　日本人なのに、中国簡体字を使用しています。 トキ食品 営業部　佐渡花子 先生 可能性あり 　日本語が不自然です。 お世話になっています。警察の彩葉です。 东京 オリンピックに向けたサイバーセキュリティ対策を 推進ため 添付ファイルの 質问 事項に回答してください。 ありがとう。 標的型メールのチェックポイント 可能性大 　存在しない会社、機関 新潟市警察 サイバー犯罪対策課　彩葉三郎 回答を確認 住所 〒 　新潟県新潟市中央区新光町 TEL 戻る