2008年5月12日,日本IBMの東京セキュリティオペレーションセンター(以下,東京SOC)は複数のセンサーで,「地震による成都の影響の件.pdf」という名前の不正なファイルが添付された電子メールを検知した。
中国成都での地震発生からわずか6時間後のことだった。送信元アドレスは政府関係の組織を示唆するgo.jpドメインを偽装されており,添付されたPDFファイルには不正なJavaScriptが埋め込まれていた。
これは東京SOCで検知した標的型攻撃の一例に過ぎない。以下では主に2008年5,6月に東京SOCで検知した標的型攻撃の事例とその特徴,対策を紹介する。
標的型攻撃の脅威
標的型攻撃とは,特定の集団や組織,あるいは個人に対象を絞って行われる攻撃の総称であり,近年の傾向としては冒頭の例のように不正なファイルを添付した電子メールを送付することによって実施される場合が多い。特に2008年に東京SOCで確認された標的型攻撃は,ほとんどがAdobe Readerのぜい弱性を悪用する不正なPDFファイルを添付した電子メールによるものだった。同じぜい弱性が比較的長期間使い回されている。
標的型攻撃の問題は,攻撃対象が絞られているためにセキュリティ・ベンダーによる検体の入手が難しいこと。検体入手の遅れはウイルス対策ソフトなどの対応の遅れにつながる。攻撃対象が絞られているため,被害者が気付かなければ攻撃の存在そのものが長期にわたって表面化しないことも大きな問題である。
情報セキュリティ白書2008で「巧妙化する標的型攻撃」というトピックが,投票で選ばれた10大脅威の第4位に位置づけられていることからもわかるように,標的型攻撃は専門家の間でも注目されている。
東京SOCの検知事例から見る標的型攻撃の特徴
東京SOCでは2008年の5月から6月にかけて,次表のような攻撃メールを検知している。これらの事例から,この種の攻撃に関するいくつかの特徴がうかがえる。
| 送信元アドレス | 添付ファイル名 |
|---|---|
| 政府関係者に偽装 | 地震による成都の影響の件.pdf |
| 政府関係者に偽装 | 地震による成都の影響の件.pdf |
| 有名新聞社に偽装 | 特急!中国大地震!.pdf |
| オリンピック関係者に偽装 | 日本代表選手団公式服装.pdf |
| 有名新聞社に偽装 | 尖閣問題衝突懸念.pdf |
特徴(1):タイムリーな話題を使い,受信者の関心をひく
表の事例はいずれも添付ファイル名に時事的な話題を取り入れている。冒頭でも触れたとおり,「地震による成都の影響の件.pdf」という不正なファイルを添付したメールは,中国成都で大地震が発生してからわずか6時間後に送信されている。当地の情報を待つ関係者を狙った,狡猾な試みであると言えよう。
特徴(2):公的機関や関係者になりすまし,送信元メールアドレスを偽装
取りあげた攻撃の送信元は全て偽装されている。東京SOCがこれらを偽装と判断した理由は,同じ攻撃コードを含むPDFファイルを複数の異なるネットワークで検知したからである。受信した当事者が単独で偽装を見破ることは難しいだろう。なお,独立行政法人 情報処理推進機構(IPA)からのメールを装った攻撃 も確認されている。
特徴(3):あて先は組織の代表アドレスではなく個人メール・アドレス
特定の組織の個人メール・アドレスをピンポイントに狙うことで,攻撃の事実を第三者が把握しづらい状況を作っている。残念ながら本稿に実際のあて先アドレスを記載することはできないが,特に組織のトップや重要職のアドレスが狙われることが多いようだ。また,今回取りあげた事例では,Webサイトに公開された資料に掲載されているメール・アドレスが攻撃対象となっているものも見受けられた。
電子メールを使った攻撃で大勢を占めているのは,不特定多数を狙う『マス型』である。マス型の攻撃では,送信元にフリーメールのアドレスが使われていたり,あからさまな名前のファイルが添付されていたりするなど,ひと目で「怪しい!」と直感できるものが多い。
| 送信元アドレス | 添付ファイル名 |
|---|---|
| John@aaa.ne.jp | Porn.exe |
| taro suzuki@bbb.com | important.zip |
| pretty@***mail.com | important.zip |
一方,今回のような標的型攻撃には従来のマス型に見られるような安直さは感じられない。政府関係者などに見せかける送信元アドレスの偽装や,攻撃の対象や時勢にあわせてカスタマイズした添付ファイル名といった手の込みようからは,否が応にもファイルを開かせようとする攻撃者の狡猾な意図が読み取れる。
対策
今回紹介した不正なPDFファイルを用いた攻撃は,Adobe Reader を8.1.2へアップデートすることにより影響を回避することができる。しかしこれはあくまで今回のケースに限った対策である。今後は他のぜい弱性を使って別の対象に狙いを定めた攻撃が行われることを想定し,対策を施す必要がある。以下に紹介する3通りのアプローチによる対策を参考にしていただきたい。
■クライアント・パソコンにおける対策
- ぜい弱性をつくらない
いまさら言うまでもないが,OSの修正パッチやアプリケーションのアップデートを間断なく適用し,PC環境を既知のぜい弱性が存在しない状態に保つことは,ほとんどの攻撃に有効な基本的な対策のひとつである。 - ウイルス対策ソフトを活用する
「ぜい弱性を作らない」と並び,基本的な対策ではあるが,ウイルス対策ソフトのパターン・ファイルを最新に保ち,定期的にシステム全体のウイルス・スキャンを実施することも重要である。 - 組織のポリシーによる対策
あなたのメール・アドレスが組織のWebサイトで公開している資料のどこかに記載されてはいないだろうか。標的型攻撃やその他のソーシャル・エンジニアリングに悪用される恐れがあるので,公開資料に記載する情報(組織図,個人メール・アドレスなど)は最小限にとどめておくことをお勧めする。
■ネットワークにおける対策
- メール・サーバーや,ゲートウエイ上で稼働するウイルス対策製品の利用
「標的型攻撃の脅威」で述べたとおり,標的型攻撃においては,その性質上ウイルス対策ソフトの対応(パターン・ファイルへの反映)が遅れるケースも想定される。そのため,不正なファイルを添付したメールがエンドユーザのPCに到達する前に,複数のポイントで,なるべく異なるベンダーのツールを用いてウイルス・スキャンを実施することが望ましい。 - 侵入防御システム(IPS)の導入
標的型攻撃において,ウイルス対策ソフトによる迅速な対応が難しいことは,検体を元にして作成したパターン・ファイルによって攻撃(ウイルス)を認知するウイルス対策ソフトの仕組みに基づく限界と言えよう。
侵入防御システム(以下IPS)では,「ぜい弱性を攻略しようとする試み」という観点から攻撃を検知することができるため,既知のぜい弱性を悪用する内容であれば,パターン・ファイルの更新とは無関係に攻撃を防ぐことが可能だ。望ましいのはIPSや前項のウイルス対策ゲートウエイを導入し,複数のポイントで,複数の仕組みを使って攻撃を防ぐこと(多層防御)である。標的型攻撃は,特定の人物や組織を狙う明確な意志によって,巧妙かつ狡猾に実行される。この種の攻撃は,今後も手を替え品を替え継続して行われることだろう。北京オリンピックの時期になれば『日本選手団 金メダル続出!』というような攻撃メールが出回るかもしれない。
鈴木 七慧
被害に遭わないためには,攻撃の手口とその対策をよく知ることが重要だ。そして,万が一攻撃メールを受信するようなことがあれば,その情報を広く知らせることを忘れないでほしい。あなたが「不審なメールを受け取った」と手を挙げる ことが,社会がその攻撃の存在を知るきっかけになるかもしれないのだ。
日本IBM ISS事業部 マネージドセキュリティサービス部 セキュリティオペレーションセンター セキュリティエンジニア「今週のSecurity Check」は,セキュリティに関する技術コラムです。セキュリティ・ベンダーである「日本アイ・ビーエム ISS事業部」(IBM ISS:旧インターネット セキュリティ システムズ)のスタッフの方々を執筆陣に迎え,同社のセキュリティ・オペレーション・センター(SOC)で観測した攻撃の傾向や,セキュリティ・コンサルタントが現場で得たエッセンスなどを織り交ぜながら,セキュリティに関する技術や最新動向などを分かりやすく解説していただきます。(編集部より) ■IBM ISSが提供するネットワーク・セキュリティの最新情報はこちら■
