写真●不正なJavaファイルが添付されたフィッシングメールの例(シマンテックのブログから引用)
写真●不正なJavaファイルが添付されたフィッシングメールの例(シマンテックのブログから引用)
[画像のクリックで拡大表示]

 シマンテックは2013年7月8日、政府機関を対象としたサイバー攻撃において、Windows、Mac OS、Linux、Solarisなどの複数のOSで動作するマルウエアが使われているとブログで報告した。マルウエアは拡張子が「.jar」のファイルで、Javaアプレットとして動作する。バックドア型のトロイの木馬(外部から遠隔操作できるマルウエア)である。侵入されるとコンピュータの制御権を攻撃者によって完全に奪われる。

 確認されている攻撃は、米政府の情報収集プログラム「PRISM」(関連記事:米政府の個人情報収集が突きつけた課題 )に関するフィッシングメールだ(写真)。北米を中心とした政府関係者に送られたと見られる。メールには細工のされていないPDFファイルが2つと、文書ファイルのような名称の付けられたjarファイルが1つ添付されていた。jarファイルをクリックすると、ユーザー環境によってはJavaアプレットが実行される。シマンテックは検体を調査した結果、「jRat」と呼ぶ無償版のトロイの木馬であることを確認したという。

 マルウエアの実体がJavaアプレットであるため、OSの種類を問わないことが特徴だ。ユーザーのパソコンにJava実行環境があれば攻撃できる。もう一つの特徴は、脆弱性を悪用しない攻撃であること。この攻撃では悪質な動作をするJavaファイルを単純に実行させるだけである。にもかかわらず、危険度は脆弱性を悪用した攻撃と変わりがない。攻撃するOSやアプリケーションを限定しないため、拡散は容易になっている。

 ただし、マルウエア自体はセキュリティソフトで検知できる。シマンテックはウイルス定義を最新の状態に更新して、疑わしいメールには注意するように注意を喚起している。