いつものように受信した大量のメールをチェックしていると、一つのメールに目が止まる。メールの件名は「3月30日放射線量の状況」。「何だろう、このメールは…?」気になってメールを開いてみると、メール本文は何もなく添付ファイルが一つ「3月30日放射線量の状況.doc」。「何が書いてあるのかな…?」この添付ファイルを開くか否かが、感染してしまうかどうかの分かれ道だ。
今回取り上げるのは、このようにメールの添付ファイルとして届くことが確認されている不正プログラム「TROJ_EXPLOIT.EC」である。トレンドマイクロでは、3月11日の東日本大震災の直後から、「地震」「津波」「停電」「原発」「放射線」といった震災に関連するキーワードを含む内容をメールや添付ファイル名に記載し、不正プログラムに感染させようとする標的型攻撃を多数確認している。
標的型攻撃とは攻撃対象の意図性に着目した攻撃の分類であり、マスメーリングなどのワームやファイル感染型のウイルス、改ざんされた正規Webサイトの閲覧をきっかけとする不正プログラム感染など、誰が感染被害を受けるか分からない攻撃と区別するために用いられている。従ってその攻撃目的や攻撃方法は限定されないが、その典型的な手口は組織が持つ機密情報の搾取を目的として行われるメールを用いた攻撃だ。
事前にセキュリティソフトに検出されないことを確認した不正プログラムを添付したメールを組織内の個人に対して送りつけ、外部からの不正侵入を防止するファイアウォールやゲートウェイでのセキュリティ対策などの備えを突破して、組織内部のネットワークに侵入する。そして、不正プログラムである添付ファイルをメール受信者自身に開かせることによって、バックドア(裏口)設置用のプログラムを実行させる。攻撃者は設置されたバックドアを利用して内部ネットワーク上に侵入し、機密情報を収集するのだ。
不正コードの実行は、公開サーバー上に存在している脆弱性を突くなど直接的に行われるのではなく、メール受信者に添付ファイルを開かせるという人間の自発的行為によって行われる。そのため「人間の脆弱性を突いた攻撃」とも言われる。攻撃者はメール受信者から「添付ファイルを開く」という行為を引き出すために、ソーシャルエンジニアリング的な手法(だましのテクニック)を駆使する。
巧妙さのレベルは、非常に巧妙なものから少し注意していれば怪しいと気づけそうなものまで千差万別だが、受信者がメールに不審感を抱かないよう攻撃先組織内で流通しているメールに偽装したり、つい開きたくなってしまうような受信者の興味を引く事柄をメール内容に用いたりする。そのため、注目を集める出来事やニュースがあると、それを瞬時に悪用することが多い。
豚インフルエンザの話題が注目を集めたときには、豚インフルエンザ関連の情報を利用した攻撃が多数確認された。そして今回は、未曽有の被害が出た東日本大震災に攻撃者が目を付けたのである。残念ながら震災直後は各所が混乱状態にあり、攻撃が成功しやすい状況にあったことは想像に難くないが、攻撃先となった組織は攻撃を受けた事実の公表を望まないので、被害状況はもちろん攻撃状況が表沙汰になることはほとんどない。しかし今回、トレンドマイクロでは実際に受信した震災に関連した内容の標的型攻撃のメールをO氏に提供してもらい、公開いただくことの了承を得た。そこで今回の検証ラボではこのメールを題材として、標的型攻撃メールの添付ファイルを開いてしまうと一体何が行われるのかを明らかにしていきたい。
