Technique - T1193-

T1193 - Spearphishing Attachment

概要

Spearphishing attachment is a specific variant of spearphishing. Spearphishing attachment is different from other forms of spearphishing in that it employs the use of malware attached to an email. All forms of spearphishing are electronically delivered social engineering targeted at a specific individual, company, or industry. In this scenario, adversaries attach a file to the spearphishing email and usually rely upon User Execution to gain execution.

There are many options for the attachment such as Microsoft Office documents, executables, PDFs, or archived files. Upon opening the attachment (and potentially clicking past protections), the adversary's payload exploits a vulnerability or directly executes on the user's system. The text of the spearphishing email usually tries to give a plausible reason why the file should be opened, and may explain how to bypass system protections in order to do so. The email may also contain instructions on how to decrypt an attachment, such as a zip file password, in order to evade email boundary defenses. Adversaries frequently manipulate file extensions and icons in order to make attached executables appear to be document files, or files exploiting one application appear to be a file for a different one.

管理者によるコメント

T1193「Spearphishing Attachment」（スピアフィッシング添付ファイル） は、特定の組織や個人を狙い、マルウェアを仕込んだファイルをメールに添付して送りつける、最も古典的かつ強力な初期侵入手法の一つです。

1. 概要

この手法で攻撃者は、「標的ユーザーにファイルを開かせ、エンドポイント上で直接コードを実行させること」を実現します。

何を実現できるのか

初期アクセスの確立: 添付ファイルを開いた瞬間にマルウェア（RATやダウンローダー）を感染させ、ネットワーク内への足がかりを得る。
検知の回避: ファイルを暗号化（パスワード付きZIPなど）して送ることで、メールサーバー上のゲートウェイ検査をバイパスする。
信頼の悪用: 業務に関連する文書（履歴書、請求書、報告書）を装い、ユーザーの警戒心を解く。

2. 攻撃の流れ

攻撃者は、ファイルを開かせるための「説得力」のあるストーリーを構築します。

ターゲットの調査: 業務内容や現在進行中のプロジェクト、取引先の情報をSNSや公式サイトから収集します。
悪意あるファイルの作成:
- マクロ悪用: Office文書（Word, Excel）にVBAマクロを仕込む。
- エクスプロイト: PDFやOfficeソフトの既知の脆弱性を突くコードを埋め込む。
- 偽装ファイル: invoice.pdf.exe のように拡張子を偽装した実行ファイルや、ISO/LNKファイルを使用する。
メールの送信: 信頼できる人物や組織を装い、至急の確認を求めるような文面で送信します。
実行: ユーザーが添付ファイルを開くと、マクロが動作したり脆弱性が発動したりして、バックグラウンドでC2サーバーから本体のマルウェアがダウンロードされます。

3. 防御・対策

「ファイルを開かせない」ための仕組みと、「開いても被害を出さない」ための対策が重要です。

マクロの無効化: グループポリシーを使用して、インターネットから取得したOfficeファイルのVBAマクロ実行をデフォルトでブロックします（現在のMicrosoft Officeの標準設定）。
サンドボックス解析: メールゲートウェイで添付ファイルを仮想環境内で実際に開き、挙動を確認してから配送する仕組みを導入します。
添付ファイルの拡張子制限: .exe, .scr, .vbs, .iso など、業務に不要で危険な拡張子を持つファイルの受信を制限します。
エンドポイント保護 (EDR/AV): ファイルが実行された際の不審な挙動（PowerShellの異常な起動など）を検知・ブロックします。

4. 重要ポイント

「パスワード付きZIP」の悪用: ゲートウェイによる中身の検査を逃れるために、本文にパスワードを記載した暗号化ZIPを送る手法（いわゆるPPAPの悪用）が非常に多く見られます。
ファイルレス攻撃への入り口: 近年では、添付ファイル自体は単なる「呼び出し役」に過ぎず、メモリ上で直接コードを動かすファイルレス攻撃へ繋げるケースが増えています。

5. 関連する主なCWE

CWE-829: Inclusion of Functionality from Untrusted Control Sphere: 信頼できないソースからのファイルやコードを読み込んでしまう問題。
CWE-20: Improper Input Validation: ファイルのヘッダーや構造に含まれる悪意あるデータを正しく検証できない脆弱性。

6. 関連する代表的なCVE

添付ファイルを開いた際に、アプリケーションの脆弱性を突いて自動実行させるために以下のCVEがよく使われます。

CVE-2017-11882: Microsoft Officeの数式エディタの脆弱性。非常に古いが、現在もパッチ未適用の環境を狙ってスピアフィッシングで多用されます。
CVE-2021-40444: MSHTML（ブラウザエンジン）の脆弱性。Office文書のプレビュー機能などを通じてコードを実行させます。
CVE-2022-30190 (Follina): Microsoftサポート診断ツール (MSDT) を介して、文書を開くだけでコード実行を可能にする脆弱性。

実務上のヒント

不審な添付ファイルを受け取った際は、ハッシュ値を計算して VirusTotal 等の外部データベースで照合するのが有効ですが、標的型攻撃（スピアフィッシング）の場合は「そのターゲット専用に作られた初見のファイル」である可能性が高いため、ハッシュ値が一致しなくても安全とは言い切れない点に注意が必要です。

分析

この攻撃手法を利用する脅威アクター

攻撃手法 – 脅威アクター Graph

← Technique一覧に戻る ← Tactics一覧に戻る

Trusted Design