情報処理推進機構(IPA)は2011年10月3日、標的型攻撃の特徴などをまとめたレポートを公開した。標的型攻撃では、ユーザーをだましてウイルスに感染させようとするので注意が必要だとしている。
標的型攻撃とは、特定の企業や団体を狙った攻撃。標的型攻撃の多くでは、ウイルス添付メールが使われる。攻撃者は、標的とした企業の社員にウイルス添付メールを送信し、“言葉巧み”にウイルスを実行させる。
ウイルスを実行したパソコンは乗っ取られ、遠隔から操作されるようになる。攻撃者はそのパソコンを踏み台にして企業ネットワークに侵入し、機密情報を盗むなどの悪事を行う。
今回IPAでは、実際に受信した標的型攻撃メールや、IPAに届け出や相談のあった攻撃メールから、ユーザーをだますために使われている手口をまとめ、公表した。
IPAが報告した手口は以下の4種類。
(1)Webなどで公表されている情報を加工して、メール本文や添付ファイルを作成する
(2)組織内の業務連絡メールを加工して、メール本文や添付ファイルを作成する
(3)ファイルを添付せずに、不正なサイトへのリンクをメール本文に記載する
(4)日常会話的なメールを数回繰り返して、メール受信者の警戒心を和らげる
例えば(1)については、IPAをかたった攻撃メールが確認されている(図1)。IPAがWebで公開している文章を本文にコピーし、その関連情報に見せかけたPDFファイルのウイルスを添付している。
(2)の事例としては、標的型攻撃に関する注意喚起の組織内メールが、標的型攻撃に悪用されたケースを紹介している。
2008年11月に、ある組織に対して標的型攻撃メールが送られてきた。攻撃メールを検知した管理部門では、そのことを伝える注意喚起のメールを、150人の幹部職員に送付した。
するとその2時間後、その注意喚起メールを基にした新たな攻撃メールが、同じ150人に送信されたという。本物の注意喚起メールが単なるテキストメールだったのに対して、攻撃メールにはPDFファイルのウイルスが添付されていた。
(3)の事例では、ウイルスは添付されていない。本文中のリンクをクリックすると、ウイルスがダウンロードされる(図2)。IPAでは、「標的型攻撃メールの見分け方の一つである、『添付ファイルが付いた不審なメールには注意する』という対策を回避しようとした可能性がある」としている。
(4)の事例では、標的としたユーザー(社員・職員)に、最初はテキストのみのあいさつメールを送信する。心当たりがないとする標的ユーザーからの返信には、「以前食事したことがある」旨を送信。何度かテキストメールでのやり取りを繰り返した後、「一緒に食事したときの写真を送る」として、PDFファイルのウイルスを添付して送信。受信した標的ユーザーはファイルを開いてしまい、ウイルスに感染したという。