今回の攻撃で使われたとみられるウイルスの情報ページ
今回の攻撃で使われたとみられるウイルスの情報ページ
[画像のクリックで拡大表示]

 セキュリティ企業の米シマンテックは2008年4月14日、日本の政府機関をかたるウイルス添付メールが多数報告されているとして注意を呼びかけた。日本の企業を狙った「スピアー攻撃(標的型攻撃)」とみられる。

 今回報告されたウイルスメールは、日本のある政府機関から送られたように見せかけられている。メールの本文には、「添付された圧縮ファイル(ZIPファイル)を開いて、最近行われた組織変更を確認してほしい」といった内容が書かれているという。

 添付されたZIPファイルを展開(解凍)すると、「0414.xls」と「0414.exe」の2つのファイルが生成される。0414.xlsは通常のExcelファイルで、Excelの脆弱(ぜいじゃく)性を突くような細工は施されていないという。ファイルには、複数の人物の名前と住所、役職などの一覧が記載されている。一覧に記載された人物が実在するかどうかは不明。

 もう一つの0414.exeはウイルス(悪質なプログラム)。同社が「Backdoor.Darkmoon」と名付けたウイルスの亜種。実行すると、ユーザーのキー入力情報と、パソコン画面に表示されているウインドウのタイトルを記録し、攻撃者に送信する。これにより攻撃者は、特定のソフト/Webサービスの利用時に入力されたパスワード情報を知ることができる。

 加えて、攻撃者がそのパソコンにアクセスできるように「バックドア」を開く。バックドアを経由して、攻撃者はそのパソコンを自由に操作できる。

 今回のようなスピアー攻撃は、過去に何度も確認されている。このためシマンテックでは、「覚えのないメールの取り扱いには十分注意すること」や「そういったメールの添付ファイルは開かないようにすること」を強く呼びかけている。