コラム

CTC教育サービス・ホーム　＞　コラム　＞　Inst. Tech View　＞　第24回　怪しい添付ファイルの調べ方

Inst. Tech View

CTC 教育サービス

[IT研修]注目キーワード Python UiPath(RPA) 最新技術動向 Microsoft Azure Docker Kubernetes

第24回　怪しい添付ファイルの調べ方 2013年4月

　今回のInst. Tech Viewは、「怪しい添付ファイルの調べ方」について紹介します。

　先日、警察庁から「平成24年中のサイバー攻撃情勢について（ http://www.npa.go.jp/keibi/biki3/250228kouhou.pdf ）」という資料が発表されました。
　この資料によると、平成24年度中に日本の民間事業者等に送付された標的型メールの件数（警察が把握したもの）は、合計1,009件だったそうです。

　標的型メールとは、機密情報の搾取などを目的として、特定企業や個人を対象に送りつけられる電子メールのことです。標的型メールには、以下に挙げるような特徴があります。

不特定多数に対するウィルスメールや迷惑メールとは異なり、メールの件名や本文がメール受信者の業務に関連した内容になっている等、巧妙に偽装されている。
受信者が偽装に気が付かずに添付ファイルを開封すると、その中に組み込まれたマルウェア（不正プログラム）に感染してしまう。
このマルウェアはアンチウィルスソフトでは検知できない可能性が高い。

　特に重要なのが、3 の特徴です。
　一般的にマルウェアの検知にはアンチウィルスソフトが用いられますが、通常のアンチウィルスソフトはパターンマッチングによりマルウェアか否かの判定を行うため、既知の（既に他のサイバー攻撃等で使用されたことがある）マルウェアしか検知できません。
　標的型メールでは未知の（特定の標的に特化した）マルウェアが使用されることが多いため、アンチウィルスソフト以外の手段を用いないと検知できないことがあります。

「この添付ファイル、何か怪しいなぁ～」と感じた際にどうすればいいか？
　アンチウィルスソフト以外にも、いくつかファイルを調べる方法がありますので、その中から比較的簡単に試せるものを紹介します。

オンラインファイル解析

　ファイル解析を行うオンラインサービスを活用する方法です。
　調べたい添付ファイルをアップロードするだけで、簡単に解析結果を確認することができます。代表的なオンラインサービスを以下に示します。

VirusTotal（ http://www.virustotal.com/ja/ ）
Hispasec Sistemas（情報セキュリティ研究所）により開発されたオンラインサービスです。このサービスに添付ファイルをアップロードすることで、43種のアンチウィルスソフトの検知結果を得ることができます。
検査方法はパターンマッチングですが、単一のアンチウィルスソフトだけで調べるよりも検知率は高くなります。
XecScan（ http://scan.xecure-lab.com/ ）
Xecure Lab社が提供するドキュメントファイルのスキャンサービスです。
Microsoft Office文書やPDFファイル、ZIP/RAR圧縮ファイル等の解析を行い、マルウェアや不正なコードが埋め込まれていないかを調べてくれます。
また、（可能な範囲で）ファイル開封時のマルウェアの挙動についても、解析結果として表示してくれます。

ファイル内の文字列抽出

　ファイル内に含まれるUnicode/ASCII文字列を抽出することで、添付ファイルの特徴を推測する方法です。
　少し分かりづらい方法なので、具体例を使って説明します。

　以下の例では、「strings.exe（http://technet.microsoft.com/ja-jp/sysinternals/bb897439.aspx ）」を使用して、怪しい添付ファイル（cal.exe）内に含まれるUnicode/ASCII文字列を抽出しています。

　この添付ファイルは電卓アプリという名目で送られてきたものです。
　ほとんどは意味をなさない文字列ですが、電卓アプリだとすると明らかに疑わしい文字列がいくつか存在します。

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
C:¥tool> strings.exe cal.exe


Strings v2.5
Copyright (C) 1999-2012 Mark Russinovich
Sysinternals - www.sysinternals.com


FSG!
.ap0x
ess
z"@
.H@
hn1@
o#M
6"0S.
5A3
a0b
!WVS
[^_
HiG
t%j
"E*
y/L
XVrR
Ho・
}@ps
・
・
・
・
FtpPutFileA-----------------(1)
・
・
・
・
GetKeyboardState------------(2)
・
・
・
・
ftp.hoge.com----------------(3)
・
・
・
・
a0b
!WVS
[^_
HiG
t%j
"E*
y/L
XVrR
Ho・
}@ps
@z(;
tht
d:c2#
pzv
/'ァ
zF>
,=$
@ u
u<w
't.
K#h
G2E
/WP
・
・
・
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

　(1)の「FtpPutFileA」はFTP通信のためのWin32 API、(3)の「 ftp.hoge.com 」はおそらくFTPサーバの名称です。電卓アプリにこれらの文字列が含まれているのは不自然ですから、このファイルはマルウェアの可能性が高いといえます。

　また、(2)の「GetKeyboardState」はキーロガー（キーストロークを盗み出すマルウェア）がよく利用するAPIです。(1)、(3)の情報も組み合わせると、「このファイルはマルウェア（キーロガー）で、盗んだキーストローク情報を外部のFTPサーバ（ ftp.hoge.com ）にアップロードするのではないか？」と推測できます。

　文字列抽出による解析は確実なものではありませんが、明らかにファイルの名目と中身の文字列が矛盾している場合はファイルの開封を控えたほうがいいでしょう。

　標的型メールの件数は年々増加傾向にありますから、いつ皆さんのもとに届いてもおかしくありません。被害を水際で食い止めるためにも、添付ファイルの扱いには十分注意することをお勧めします。

　>>　セキュリティの関連コース一覧