今週のSecurity Check(第177回)

 「スピア(Spear=槍)」「Targeted Attack」「Targeted Trojan」---などと呼ばれる,特定のユーザーや組織を狙った攻撃が話題になっている。しかし,その脅威とは裏腹に,その実体についてはあまり知られていないのが現状だろう。そこで本稿では,インターネットセキュリティシステムズのセキュリティ・チームである「X-Force」の調査結果や報道資料をもとに,スピア攻撃[注1]の特徴と基本的な対応策を解説する。

注1)「特定のユーザーや組織を狙った攻撃」は,海外では「Targeted Attack」と呼ばれ,スピア攻撃(Spear Attack)と呼ぶのは日本だけである。しかしながら,国内ではスピア攻撃のほうが現時点では一般的だと考えられるので,本稿では「スピア攻撃」とする。

国内でも事例が報告

 スピア攻撃(Targeted Attack)に関する公開情報は,セキュリティ組織の英NISCC[注2]および米US-CERT[注3]が2005年7月に公表した文書が最初だと考えられる。これらの情報を受けて,国内ではJPCERTコーディネーションセンター(JPCERT/CC)が注意喚起を実施[注4]。JPCERT/CCと情報処理推進機構(IPA)が共同運営するJP Vendor Status Notes(JVN)においても,関連情報が公開された[注5]

注2)「Trojan activity」(NISCC)
注3)「Targeted Trojan Email Attacks」(US-CERT)
注4)「トロイの木馬に関する注意喚起」(JPCERT/CC)
注5)「TRTA05-189A 『トロイの木馬』添付メールの流布」(JVN)

 警察庁幹部の講演内容を伝える報道によると,国内でもスピア攻撃が確認されており,特に,警察庁や防衛庁を狙ったスピア攻撃が増加しているという[注6]。トレンドマイクロでは,以下のような事例が確認されているとする[注7]

  • ある企業の労働組合をかたるフィッシング・メールが組合員に対して送られた事例
  • 大企業の情報システム部社員をかたって,支店勤務の社員に対して「調査に必要なのであなたのパスワードを教えてほしい」といったメールを送り,聞き出したパスワードを使ってその企業のネットワークに不正侵入した事例
  • 上司や取引先になりすまして特定の社員にメールを送り,業務上の機密情報や知的財産を盗んだ事例

注6)関連記事「警察を標的にしたスピア型フィッシング・メールが増加」
注7)「セキュリティ教室 - 2006年3月 特定の相手だけを狙う『スピア型』攻撃がひそかに横行中!」(トレンドマイクロ)

 ただし,確認されているのはほんの一部。スピア攻撃は「Targeted Attack」の名のとおり,攻撃対象を絞って実施される。また,後述するように,攻撃を検出されないような工夫を凝らしているので,攻撃されていることに気付かないケースが多いと考えられる。

攻撃はメールから始まる

 スピア攻撃の典型的な流れを,図1を使って解説する。


図1 スピア攻撃の典型的な流れ
[画像のクリックで拡大表示]

 スピア攻撃は,攻撃対象へメールを送信することから始まる(図1(1))。メールには「ダウンローダ」と呼ばれるプログラムが添付されている場合が多い。ダウンローダとは,特定のWebサーバーなどからマルウエア(悪質なプログラム)をダウンロードして実行するプログラムのこと。多くの場合,スパイウエアやボット,ルートキットなどがダウンロードされる。

 攻撃対象のユーザーがメールをサーバーからダウンロードすると,メールと添付ファイルがパソコン上にコピーされる(図1(2))。この添付ファイルをユーザーが開くとダウンローダが動作して(図1(3)),攻撃者が指定したサイトからマルウエアがダウンロードされる(図1(4)(5))。

 ダウンロードに成功すると,ダウンローダはそのマルウエアを実行する(図1(6))。ダウンロードされたボットなどのマルウエアは,攻撃者がそのパソコンに自由にアクセスできるように「バックドア」として常駐する(バックドアについては後述)。