セキュリティ企業のファイア・アイは2013年8月8日、同社の調査結果を基に、標的型攻撃の現状を解説した。最近では、標的型攻撃に使われるWebサイトの多くは、1回しか使われない“使い捨て”になっているという。
標的型攻撃とは、特定の企業や組織を狙って行われるサイバー攻撃のこと。攻撃者は、標的とした企業や組織の従業員に対して、ウイルス添付メールを送信する。ウイルスを配布するような悪質サイトのリンク(URL)が記載されている場合もある。ウイルス配布サイトには、ソフトウエアの脆弱性を悪用する仕掛けが施されているので、アクセスするだけでウイルスに感染する恐れがある。
メールを受信した従業員が添付ファイルを開く、あるいはウイルス配布サイトにアクセスすると、ウイルスに感染。ウイルスはパソコンを乗っ取り、機密情報などを攻撃者に送信する。
同社の調査によると、2012年5月以降、標的型攻撃のメールでは、ウイルスの添付ファイルよりも、ウイルス配布サイトへ誘導するリンクの方が多く使われているという(図1)。
2012年には、メールに記載されているリンク(ウイルス配布サイトのURL)にも傾向の変化が見られた。以前は、複数の攻撃メールに、同じURLが記載されていることが多かったが、2012年前半になると、1回しか使われないURLが大幅に増えた(図2)。
つまり、以前は同じウイルス配布サイトを使い回していたが、最近では、1回で使い捨てるようになっているという。「使い捨てることで、攻撃を見破られにくくしている」(シニアシステムズエンジニアの小沢嘉尚氏)。
一度でも攻撃に使われたWebサイトのURLは、セキュリティ企業などに報告されてブラックリストに登録される。このブラックリストを使うことで、セキュリティ製品のいくつかは、標的型攻撃のメールを検出する。だが、使い捨てのURLを使うことで、この手法では検出できないようにしているという。