産業制御デバイスに対する攻撃の傾向

2013.09.18

　今回は、産業機器向けの攻撃、ソーシャルエンジニアリング、標的型攻撃といった最近の様々な攻撃の動向についてのブログを取り上げる。

　「Flame」や「Stuxnet」などによる攻撃が大きな話題になったことから、産業制御システム（ICS）および遠隔制御・監視システム（SCADA）のセキュリティに対する懸念は高まっている。しかし、攻撃対象としてICS／SCADAに対する関心はいっこうに衰える気配がない。トレンドマイクロは、ICS／SCADAのセキュリティに関する調査からいくつかの注目すべき傾向を確認したとして、ブログで報告した。

　目立った傾向の1つとして、トレンドマイクロはターゲット型攻撃の増加を挙げた。ターゲット型攻撃では、攻撃を実行する前にICSデバイスをより念入りに調べている様子がある。トレンドマイクロの調査では、標的を絞り込んで特定のアプリケーションのみを狙っていると思われるマルウエアを確認した。

　今回の調査では、ICSデバイスをエミュレートするハニーポットを世界8カ国の12都市に仮想設置し、より詳しいデータを取得した。ICS分野における攻撃は引き続き増加し、動機も目的もさまざまに拡大すると予測される。また、ランサムウエアがICS分野にも広がり、デバイスを人質にとってお金を騙し取ろうとする攻撃も登場する可能性がある。

ICSハニーポットに対する攻撃の発生源
http://blog.trendmicro.com/trendlabs-security-intelligence/files/2013/08/SIB_130827comment01-3.jpg

　トレンドマイクロは詳細な調査結果を「The SCADA That Didn't Cry Wolf」（PDF文書）にまとめ、公開している。

流ちょうにフランス語をあやつるソーシャルエンジニアリング攻撃

　米シマンテックは、流ちょうなフランス語を使ったソーシャルエンジニアリング攻撃の事例をブログで紹介した。

　2013年4月、フランスに本社を置く多国籍企業の副社長付き事務アシスタントは、1通の電子メールを受け取った。電子メールには、大手ファイル共有サービスに保存されている請求書へのリンクが掲載されていた。数分後、事務アシスタントに別の副社長から電話がかかり、請求書を確認して処理するよう指示を受けた。その副社長は完璧なフランス語を話したが、実は請求書は偽物で、電話をかけてきた人物は攻撃者だった。

　請求書とされたファイルはリモートアクセス型トロイの木馬（RAT）で、ウクライナにあるマルウエア制御（C＆C）サーバーにアクセスするよう設定されていた。RATによって攻撃者はすぐに事務アシスタントのパソコンの制御を奪い、キー入力を記録し、デスクトップを覗き、ファイルを参照して入手した。

　電子メールに続いてフランス語の電話をかけるという手口は非常に珍しく、ソーシャルエンジニアリングが強引さを増している様子が感じられる。大企業やその取引銀行は未承認の送金を防止する機能を導入しているが、攻撃者はこのようなソーシャルエンジニアリングの手口を使って送金を実行している。

　攻撃者はまず、RATを使って企業のシステムに侵入する。システムにRATが感染すると、攻撃者は災害時復旧プランなどの情報を探し、関連銀行や通信会社、およびその連絡先やアカウントデータを取得する。攻撃者は企業の担当者を装い、通信会社に電話をかける。物理的な災害が発生したと連絡し、企業にかかってきたすべての電話を転送するよう指示する。転送先には攻撃者が制御する電話番号を使用する。

　電話転送の指示に続いて、攻撃者は取引銀行にファクス送信し、海外の指定口座に多額を送金するよう依頼する。異常な取引であるため、銀行の担当者は確認のために企業の電話番号に電話をする。しかし、その電話は攻撃者に転送され、攻撃者は送金を承認する。このようにして大金が複数の海外口座に送られ、送金を繰り返してマネーロンダリングが行われる。

　シマンテックの調査によると、複数のフランス企業がこうした攻撃の影響を受けている。攻撃者の目的は、会計部門などから海外の口座に送金させることだ。

フランス語のターゲット型攻撃を受けた業界

　ほとんどの場合、最初の被害者になるのは事務アシスタントか会計士だ。最初の被害者が送金する権限を持っていない場合、攻撃者はその人物の個人情報を使って、送金できる従業員を割り出す。さらにソーシャルエンジニアリングの手口により、個人のコンピュータに侵入する。

　電子メールとC＆Cトラフィックを調べたところ、シマンテックは、攻撃者がイスラエルにいるか、イスラエルを経由して攻撃を実行していることをつきとめた。さらにトラフィックの分析を進めると、攻撃はモバイルネットワークから仕掛けられ、モバイルWi-Fi接続が使われたことが分かった。

攻撃の経路

　モバイルWi-Fi用のSIMカードが個人販売や低価格マーケットで購入した物であれば、攻撃者は匿名性を維持しながら攻撃を仕掛けることができる。多くの第3世代通信キャリアは、購入者の身元を確認する必要のないプリペイドのデータプランを販売しているので、通信記録から個人を特定することはできない。

　またシマンテックは、攻撃者が移動しながら攻撃を実行していることも確認した。こうした方法をとられると、攻撃者を追跡することは非常に困難になる。このような手口の登場は、サイバー攻撃がますます巧妙になっていることを明示している。

分割マルウエアを送り込む標的型攻撃

　米シマンテックは、ショートカットファイルを用いた標的型攻撃が増えているとして、ブログで注意を呼びかけた。セキュリティツールの検出をかわして電子メールの受信者に添付ファイルを実行させるために、この種のファイルが使われる。電子メールは分割されたマルウエアと、マルウエアを組み立てるためのショートカットファイルが添付されて送信される。

　シマンテックが確認した電子メールには、フォルダーアイコンが割り当てられたショートカットファイル1件と実際のフォルダー1つがアーカイブされて添付されていた。フォルダーには、「.docx」拡張子が付いたドキュメント1件と「.dat」拡張子が付いた隠しファイル2件が入っていた。

添付のアーカイブファイルの内容

フォルダーの中身

　Windows Explorerを初期設定のまま使っている平均的なユーザーには、添付ファイルは2つのフォルダーだけが含まれているように見える。いずれかのフォルダーをクリックしてドキュメントファイルを含むフォルダーを開こうとするが、実際にはショートカットファイルを開いてしまう。コマンドが実行され、2つのDATファイルが結合して1つのマルウエアが作成され、コンピュータはマルウエアに感染する。添付ファイルの内容は場合によって異なるが、常に複数のDATファイルとショートカットファイルで構成されている。

ショートカットファイルのプロパティー

1つ目のDATファイルのバイナリーデータ

2つ目のDATファイルのバイナリーデータ

結合したファイルのバイナリーデータ

　分割マルウエアを送信して被害者のコンピュータ上で組み立てるこの手口を使う主な理由は、不正なファイルが検出されるのを避けるためと考えられる。ファイルが断片化されていると、セキュリティツールにとってこれらファイルが不正かどうか、判断が困難になる。また、ゲートウエイセキュリティ製品が実行ファイルを削除しないようにする意図もあると見られる。典型的なゲートウエイはファイルタイプによって分類を行い、実行ファイルが添付されている電子メールを遮断する。

　ショートカットファイルは、極めて単純でコスト効率も高い。攻撃コードを使わないため、リソースに負荷をかけず、コンピュータが脆弱である必要もない。手軽にフォルダーやドキュメントファイルに見せかけたアイコンを付け、不正なファイルを用意したら、スクリプトを1行書くだけで攻撃の準備ができる。

　しかし一般的な環境では、電子メールにショートカットファイルを添付する実質的な理由はないのだから、ショートカットファイルを振り分ける機能をネットワークのゲートウエイに実装することで、このような攻撃に備えられると、シマンテックはアドバイスしている。