主に機密情報の窃取を目的に、特定の企業や組織を標的として攻撃を執拗に仕掛ける「標的型攻撃」が大きな社会問題になっている。もしかしたら、あなたのアドレス宛てに届いたメールの中に、標的型攻撃のメールが混ざっているかもしれない。
そうしたメールに添付されている、ウイルスが仕込まれたファイルをクリックして開くと、PC端末がウイルスに感染する恐れがある。そして、そのPC端末を足掛かりにサーバーが不正利用され、顧客や社員、製品などの機密情報を盗まれかねない。
「たとえウイルスが添付されているメールが届いても、ウイルス対策ソフトを導入しているので防げるはずだ」「ウイルスが添付されているような怪しいメールなど誰も開かない」。こんな声を聞くことがある。しかし現実には、そううまくはいかない。
ウイルス対策ソフトでは防ぎきれないことも
標的型攻撃のメールには、ウイルス対策ソフトのベンダーさえ認識していない未知のウイルスが添付されることがある。攻撃者は、主要なウイルス対策ソフトでは検知されないことを事前に確認した上で、ウイルスを送りつけていると考えられる。つまり、ウイルス対策ソフトでは防御できない可能性がある。
ここで言いたいのは、「ウイルス対策ソフトは効果がない」ということではない。ウイルス対策ソフトは大多数のウイルスを検知できるので有効である。しかし、攻撃者が手間や時間をかけて行う標的型攻撃に対しては、ウイルス対策ソフトでは防ぎきれないこともあるのだ。
標的型攻撃のメールは、特定の企業や組織を狙って送られる。その際、届いたメールが一見して不審だと分かるようなものなら、誰も添付ファイルを開かないだろう。実際に添付ファイルを開いてしまう社員がいるのは、メールに巧妙なだましの手口が駆使されているためだ。それはどのようなものか。実際に標的型攻撃で使用されたメールの例を図1に示した。
攻撃者がメールを開かせるために使用する、だましの手口は主に三つある。それは次のようなものだ。
(2)件名や本文を業務に関連する内容や時事ネタにして受信者の関心を引き付ける
(3)ウイルスを正常なファイルに見せかける
これらを以降で順番に見ていこう。
信頼されている組織の名をかたる
「(1)送信元を実在する組織のメールアドレスに偽装する」という手口を駆使するのは、全く知らない人からのメールだと、受信者が不審なメールだと警戒するからである。そこで、攻撃者は送信元のメールアドレスを詐称して、標的の受信者が信頼しそうな組織の名をかたる。
情報処理推進機構(IPA)に届け出のあった標的型攻撃のメールのうち約6割は、官公庁や独立行政法人のメールアドレスが詐称されていた(約1割は民間企業を詐称、約3割はその他)。官公庁や独立行政法人の業務を請け負っている企業や関係者にそうしたメールが届いたら、不審に思うことなく添付ファイルを開いてしまう可能性があるだろう。
件名や文面で関心を引こうとする
「(2)件名や本文を業務に関連する内容や時事ネタにして受信者の関心を引き付ける」のは、図1にも示したように、件名や文面で標的の受信者の関心を引いて、添付ファイルを開かせるためだ。
さらに巧妙な、標的型攻撃のメールが届いたケースもある。攻撃者は標的の組織が外部と実際にやり取りしているメールを盗み、そのメールを基に文面を作成していたのである。そこまで手の込んだメールだと、受け取っても不審に思わないので、極めて危険といえる。
ファイルの拡張子を偽装する
最後は、「(3)ウイルスを正常なファイルに見せかける」という手口である。具体的には、拡張子を偽装して正常なファイルに見せかける、ソフトウエアの脆弱性を悪用する、という二つの手口がある。
前者は、拡張子がEXEやSCRなどの実行可能ファイルを添付し、それがDOCやPDFファイルなどであるかのように見せかけるものだ。アイコンを偽装するとともに、ファイル名にテキストの流れを強制的に右から左へ変更する制御記号(Right-to-Left Override)などを悪用する。これにより、例えば「abc_fdp.exe」を「abc_exe.pdf」と表示させることで、実行可能ファイルと気付かれないようにする。
後者はソフトウエアの脆弱性を突いて、本来ソフトウエアが想定していない動作を起こさせるもの。例えば、Microsoft WordやAdobe Readerのようなソフトウエアに脆弱性があった場合、それを悪用すると、そのソフトウエアには実装されていない任意のコードを実行できてしまう。標的にされた受信者からすると、添付ファイルは実行可能形式でなくDOCやPDFなので、ウイルスとは気付きにくい。
