国内の大手企業数社が、複数のクラウドサービスを利用したサイバー攻撃を受け、それぞれの企業でウイルスに感染したコンピュータが見つかった。セキュリティベンダーのラックが2011年12月16日に開催した、報道機関向けの説明会の中で明らかにした。
実際に被害の対処に携わった同社のコンピュータセキュリティ研究所 所長の岩井博樹氏(写真1)によると、被害に遭ったのは国内の防衛産業や化学メーカーの数社。2011年11月以降に見つかった。
いずれの企業も、被害のきっかけは標的型メール(写真2)。メールの本文に埋め込んだURLで、あるWebサイトに誘導する。そのサイトは、一般に公開されている通常のサイトだが、攻撃者が事前に改ざんしている。アクセスすると、ユーザーには通常のコンテンツを見せつつ、バックグラウンドでは攻撃用の別のWebサイトへリダイレクトさせられる。その別のサイトでは、コンピュータの脆弱性を突くウイルスをダウンロードさせられ、コンピュータはウイルスに感染する。こういった攻撃手法をドライブ・バイ・ダウンロードと呼ぶ。
岩井氏によれば、今回の攻撃の特徴は(1)複数の国内のクラウドサービスを組み合わせたハイブリッドクラウドを利用していること、(2)攻撃が関わったと判明しているWebサイトはいずれもjpドメインで通常のWebサイトであること――という。ドライブ・バイ・ダウンロードでは、最初にアクセスするWebサイトが国内のサーバーであっても、攻撃用サイトは海外のサーバーを使っていることが多い。また攻撃用サイトは、通常複数用意される。今回の攻撃では、標的型メールに含まれるURLのWebサイトとリダイレクトされる複数の攻撃用Webサイトが、いずれも国内のクラウドサービスを利用したWebサーバーだった。しかも、すべてのサイトがjpドメインで、情報提供を目的とした正規サイトだったため、「URLフィルターといった、悪質なサイトへのアクセスを遮断する対策は機能しない」(岩井氏)という。
今回の被害は、各社とも数台のコンピュータがウイルスに感染し、スクリーンショットの外部への送信、キー入力内容の外部への送信、ディスク内のファイル検索、感染コンピュータが別のコンピュータと通信するときに使うパスワードの識別情報(ハッシュ)の外部への送信--などが行われた可能性が高い。岩井氏は、この攻撃に対して「ウイルスに感染させるときに悪用されたコンピュータの脆弱性は、新しいものではなかった。パッチプログラムの定期的に適用だけで防げたのではないか」と指摘する。
