2020年度、200倍に急増した迷惑メールとパスワード付きZIP対策【IIR Vol.51】Inside-Out

株式会社インターネットイニシアティブ(IIJ)の技術情報誌「Internet Infrastructure Review(IIR)Vol.51」より、迷惑メールと暗号化ZIPファイルについてのレポートを転載してお届けします。

» 2022年05月20日 05時00分 公開
[古賀勇IIJ]

この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。

Internet Infrastructure Review(IIR)Vol.51 Internet Infrastructure Review(IIR)Vol.51

IIJ

本記事は、株式会社インターネットイニシアティブの許可をいただき、「Internet Infrastructure Review(IIR)Vol.51」の「定期観測レポート」(2021年6月30日発行)を転載したものです。そのため、用字用語の統一ルールなどが、@ITのものと異なります。ご了承ください。


古賀 勇 氏

執筆者プロフィール

古賀 勇(こが いさむ)
IIJ ネットワーク本部 アプリケーションサービス部 運用技術課 課長

2007年IIJ入社。メールサービスの運用業務に従事し、現場でメールに関する動向を調査。お客様のメールボックスを守るため、最新の攻撃手法や、迷惑メールのトレンド、対策情報などを発信中。


1. 定期観測レポート

1.1 はじめに

 新型コロナウイルス感染症対策を発端に、自宅やサテライトオフィスで業務を遂行する「テレワーク」が急速に広まって1年が経ちました。この1年間で世の中は様変わりしましたが、企業における電子メールの重要性は変わっていないことでしょう。

 本稿では2020年度におけるメッセージングイベントを振り返ってみたいと思います。

1.2 2020年度の迷惑メール・ウイルス集計

 図-1は、2020年4月〜2021年3月における、IIJ管理のハニーポットに着信した迷惑メールの数を集計したものです。

図-1 IIJハニーポットに着信した迷惑メール(2020年4月〜2021年3月) 図-1 IIJハニーポットに着信した迷惑メール(2020年4月〜2021年3月)

 2020年度上半期は、これまでに類を見ない量の迷惑メールを断続的に観測しました。縦軸を最大値に合わせているため確認しづらくなっていますが、4月の平均を1としたとき、5月上旬の第1波で約10倍[1]、5月中旬の第2波で約40倍[2]、5月下旬から6月の上旬で約60倍[3]規模の迷惑メールを集中的に受信しました。この状況が断続的に続き、7月末には約200倍[4]もの迷惑メールを受信しています。一般的な組織の設備設計で平常時の200倍の規模に耐えられる設備投資をすることは稀だと思いますので、DDoS攻撃と言っても過言ではないでしょう。

 ウイルスの集計も見てみます。図-2は同期間における、IIJ管理のハニーポットに着信したウイルスの数を集計したものです。

図-2 IIJハニーポットに着信したウイルス(2020年4月〜2021年3月) 図-2 IIJハニーポットに着信したウイルス(2020年4月〜2021年3月)

 こちらも同様に4月の平均を1としたときのグラフで、6月に1000倍を越えるウイルスを受信していたことが分かります。しかし、年間の変化量が大きすぎて他が確認しづらいため、同じデータの対数グラフを図-3に作成しました。

図-3 IIJハニーポットに着信したウイルス(対数グラフ)(2020年4月〜2021年3月) 図-3 IIJハニーポットに着信したウイルス(対数グラフ)(2020年4月〜2021年3月)

 常時、何らかの活動が認められますが、迷惑メールとは異なり、年間に数回、短い時間に集中して着信している様子がうかがえます。

 6月頃に着信した検体を調査すると、"Look at this photo!"のような件名で、IMG135123.jpg.js.zipのように画像ファイルを思わせるようなZIPファイルが添付されており、展開するとマルウエアをダウンロードするJavaScriptが入っていました。このファイル自体に悪性はないものの、ユーザがJavaScriptを実行してしまうと、マルウェアをダウンロードしてしまいます。画像ファイルとユーザに思わせて開かせる、知っている人から見れば古典的な手法ですが、過去の攻撃と思わず、認識しておく必要があります。

 また、9月に2番目に大きいピーク値が見えます。このときに観測したウイルスはEmotet(エモテット)と呼ばれるものでした。2020年に猛威をふるったEmotetは、自分自身をパスワード付きZIPファイルで暗号化するという特徴がありましたが、9月のものは、従来にない特徴がありました。図-4の出力は、受信したEmotet(ZIPファイル形式で暗号化されたもの)の構造を詳細に表示したサンプルの一部です。暗号化方式がZIPファイル標準のZipCryptoから、AES 256-bitに変化していました。

図-4 受信したEmotet(ZIPファイル形式で暗号化されたもの)の構造を詳細に表示したサンプルの一部 図-4 受信したEmotet(ZIPファイル形式で暗号化されたもの)の構造を詳細に表示したサンプルの一部

 AESとはZIP標準のものよりも暗号を強化した方式で、7-ZIPをはじめとした一部のアーカイバが対応していますが、Windows標準の圧縮フォルダは対応していません。ウイルスを拡散する目的から見れば、多くのターゲットに開かせたいのですから、わざわざ暗号強度を上げる必要はないように思えます。では、なぜ、こんなことをしたのでしょう。

 これは推測ですが、サンドボックスによる検出回避と考えられます。一部のセキュリティ製品・サービスには、メール本文からパスワードと考えられる文字列を読み取り、サンドボックス上で展開を試みる機能を有しているものがあります。しかし、Windows標準ではAESで暗号化されたZIPファイルに対応していません。仮に運良くメールからパスワードを正しく抽出することに成功したとしても展開することができませんので、有害な挙動が確認できずサンドボックスを回避できてしまいます。

 このように、同じように見える攻撃でも、少しずつ手法を変えていることが分かります。

1.3 暗号化ZIPファイルの廃止論

 2020年11月、平井デジタル改革担当大臣が定例会見で「暗号化ZIPファイル(通称、PPAP)の廃止」について言及しました(注1)

(注1)内閣府、「平井内閣府特命担当大臣記者会見要旨 令和2年11月17日」(https://www.cao.go.jp/minister/2009_t_hirai/kaiken/20201117kaiken.html)。


 ここで言う「暗号化ZIPファイル」とは、メールでファイルを送信するときに、差出人は添付したいファイルをパスワード付きZIPファイルとして暗号化しておき、その展開パスワードを別送するといった手法のことです(注2)。国内ではよく見かける一方で、国外ではほとんど見られない、日本特有な文化です。

(注2)2021年6月30日の本稿発行時点でIIJスタッフがやり取りするメールでも、この手法をとっているものがあります。業務やお客様のご都合もあり、全面的にすぐ廃止はできませんが、準備ができたところから順次、暗号化ZIPファイルを廃止していく方針です。


 このような手法を採用する目的は誤送信対策や経路暗号化であるとされ、個人で実施できる、(専用のアプリケーションを必要としないという観点で目先の)コストが低い、といった理由で、主に組織の情報セキュリティポリシーとして策定されていることが多いようです。

1.3.1 暗号化ZIPファイルの問題点

 なぜ暗号化ZIPファイルを廃止するべきなのでしょうか。それは、この手法が見込める効果よりも、多くのリスクを抱えていることにあります。

 最も深刻なのは、メール受信時にウイルススキャンを実施できない点です。1.2項で説明したとおり、誰もが送受信できるメールは、攻撃者にとって依然として有用な攻撃ベクターです(注3)。そのため多くの組織では、メールに添付されたウイルスから感染しないよう、ゲートウエイやWebメールなどでウイルス対策を施すことが一般的です。

(注3)国民のための情報セキュリティサイト(総務省)、「ウイルスの感染経路」(https://www.soumu.go.jp/main_sosiki/joho_tsusin/security/basic/risk/02-1.html)。


Copyright© Digital Advantage Corp. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。