米シマンテックは2011年10月31日、2011年7月から9月にかけて、世界中の化学メーカーを狙った標的型攻撃が相次いだことを明らかにした。少なくとも48社が攻撃を受けたという。今回の攻撃でウイルスに感染したとみられるパソコンは、日本にも存在する。
標的型攻撃とは、特定の企業や組織を狙った攻撃。標的型攻撃の多くでは、ウイルス添付メールが使われる。攻撃者は、標的とした企業・組織の従業員にウイルス添付メールを送信し、“言葉巧み”にウイルスを実行させる。具体的には、メールの送信者や件名などを偽装するとともに、添付したウイルスを有用なファイルに見せかける。
2005年以降、世界中で確認されており、2011年になると国内でも頻発。警察庁によると、2011年4月から9月までの半年間で、およそ890件の標的型メール(標的型攻撃のメール)が確認されているという。
9月下旬には三菱重工業などの防衛関連企業が、10月下旬には衆議院や外務省、在外公館が標的になったことが明らかになっている。
今回シマンテックが報告したのは、主に化学メーカーを狙った標的型攻撃。7月から9月中旬までに、世界中の化学メーカー29社、その他の企業19社の計48社を狙った標的型攻撃が確認されたという。「その他の企業」の多くは、防衛関連企業だった。
今回の攻撃で使われたウイルスは、感染するとパソコンを乗っ取る。特定のサーバーに接続し、攻撃者からの命令を待ち受ける。そして、命令に従って情報を盗んだり、別のウイルスをダウンロードしたりする。
攻撃者の主な目的は、企業の知的財産を盗むこと。いわゆる産業スパイだ。ウイルスに感染したパソコンだけではなく、ネットワーク上の別のパソコンやサーバーにもアクセスし、重要な情報を盗み出す。
同社では、ウイルスの“司令塔”となるサーバーを特定し、ウイルスからの接続を監視した。その結果、ここ2週間で同サーバーにアクセスしたIPアドレスは101件。つまり、101台のパソコンが、今回の標的型攻撃によって、現在でもウイルスに感染している可能性がある。
IPアドレスから、ウイルス感染パソコンは20の国と地域に存在することが明らかとなった(図)。最も多いのは米国で27台。次いで、バングラデシュの20台、英国の14台。日本にも、感染パソコンが1台存在する。
通常、標的型攻撃では、1つの企業・組織に送信される標的型メールの数はそれほど多くない。怪しまれないようにするためだ。しかしながら今回の攻撃では、ある企業に対してはおよそ500通の標的型メールが送られたという。また、別の2つの企業には、100通以上の標的型メールが送信されている。
- 米シマンテックの情報(PDFファイル)
