取引先や同僚を装って限られたユーザーをピンポイントに狙い,ウイルス・メールを送り付けるスピア型攻撃が国内で顕在化してきた。2回目となる今回は,その騙しの手口にさらに斬り込む。
犯罪者はメールを送る際,「狙った相手の社会的地位,趣味や嗜好(しこう)といったプライベート情報,部下,上司,友人の名前などをできる限り集めた上で文面を作ってきている」(JPCERTコーディネーションセンター早期警戒グループの鎌田敬介グループマネージャ)。
これらの情報は企業・組織のWebページや個人ブログ,個人情報売買会社が持っている住所録,ボットを通じて得たメールなど,あらゆるところから収集されている。「電話などで直接問い合わせて聞き出すケースもあるのではないか」(トレンドマイクロの岡本ウイルスエキスパート)と推測する専門家もいる。
しかも,こうしたウイルス・メールの添付ファイルの多くが「.exe」のような実行形式ではなく,WordやExcel,PDFなどのファイル形式になっている。それ自体は不審なプログラムには見えない。「ユーザーは,アプリケーション・ソフトのぜい弱性については,OSに関するものほど意識が高くない」(シマンテックの浜田譲治シニア セキュリティ レスポンス マネージャ)。犯罪者はこうした状況を見越して攻撃してくるのだ。
こうした手口を組み合わせてメールを偽装されると,文面や添付ファイルの名前に不審さを感じない限り,どんなユーザーでも警戒心を働かせることは不可能に近い。
警察庁の坂課長への攻撃では,ある研究会の開催通知メールにWordファイルが添付されてきた。メールは,送信元アドレスや文面など,どこからどう見てもその研究会からのものだった。しかし,事務局に参加する旨を連絡したところ,会合は前月に終わっていたことが判明。この時点で初めて,スピア攻撃であることを認識した。たまたま事務局に連絡したことで事なきを得たものの,知らずにWordファイルを開いていたら機密情報を盗み出されていたかもしれない。
警察庁の別の職員に届いたメールは,「懇意にしている知人のメール・アドレスだけでなく,メールの文末につける氏名や住所,電話番号などの署名欄まで全く同じだった」(警察庁生活安全局情報技術犯罪対策課の河原淳平理事官)と言う。
一般の企業でも,会議内容についての連絡,購入した商品の不具合報告,顧客からの苦情など,業務上必要な連絡事項を装った文面であれば,社員としては添付ファイルを開かないわけにはいかない。犯罪者はそこを突いてくる。
送信元アドレスを偽装したメールに対しては,送信ドメイン認証が有効とされている。しかし,その効果には限界がある。
送信ドメイン認証は,送信メール・サーバーのドメインとメール・アドレスに含まれるドメインが一致するかどうかを確認する仕組み。これに対して犯罪者は,「個人や企業のパソコンにボットを仕掛け,感染したマシンに登録されたメールのアカウントを使って正規の経路で送ってくることが多い」(ラックの新井担当部長)。正しい送信元から送られると,送信ドメイン認証では攻撃メールを排除できない。
