情報処理推進機構(IPA)は2011年9月29日、同年3月末に出現した標的型攻撃を解析し、その内容を報告した。攻撃では、Officeの脆弱性を突くウイルスが、東日本大震災に関連した情報に見せかけたメールに添付されて送られてきたという。
特定の企業や団体を狙った標的型攻撃が相次いでいる。標的型攻撃の多くでは、ウイルス添付メールが使われる。攻撃者は、標的とした企業の社員にウイルス添付メールを送信し、“言葉巧み”にウイルスを実行させる。
具体的には、メールの送信者や件名などを偽装するとともに、添付したウイルスを有用なファイルに見せかける。このように、ユーザーをだます攻撃手法は「ソーシャルエンジニアリング攻撃」と呼ばれる。
ウイルスを実行したパソコンは乗っ取られ、遠隔から操作されるようになる。攻撃者はそのパソコンを踏み台にして企業ネットワークに侵入し、機密情報を盗むなどの悪事を行う。
今回IPAでは、標的型攻撃の対策を促進するために、IPAが分析した具体例の一つを報告した。報告された攻撃では、メールおよび添付したウイルスを、東日本大震災に関連した情報に見せかけて、ユーザーをだまそうとした(図1)。
攻撃に使われたメールの件名は「3月30日放射線量の状況」で、本文は空白。添付ファイルの名前は「3月30日放射線量の状況.doc」。拡張子から分かるように、Wordの文書ファイルである。
このファイルには、Officeの脆弱性を悪用する仕掛けが施されている。このため、その脆弱性が存在するWordで開くと、仕込まれたウイルスが動き出して感染する。感染後、ウイルスは無害の文書ファイルをWordに開かせて、ユーザーの目をあざむく(図2)。
悪用された脆弱性を修正するパッチは、4月13日に公開された。一方、攻撃メールの送信日時は3月31日。つまり、攻撃メールが出回った時点では、修正パッチは未公開。未修正の脆弱性(ゼロデイ脆弱性)を悪用する、いわゆるゼロデイ攻撃であり、修正パッチをきちんと適用しているユーザーでも被害に遭う恐れがあった。
感染したウイルスはパソコンを乗っ取り、攻撃者の支配下にあるサーバーに接続。攻撃者からの命令を受けて、7月12日にウイルス自身を“アップデート”したという。このケースでは確認されなかったが、一般には、感染パソコンから重要な情報が盗まれることも多い。感染パソコンを踏み台にして、ネットワークに侵入される危険性もある。
IPAでは、今回のような攻撃による被害を防ぐには、パソコンへの感染を防ぐ「入口対策」に加え、攻撃者のサーバーとの通信を遮断する「出口対策」が重要だとしている。
