情報処理推進機構(IPA)は2014年5月30日、2013年度における「サイバー情報共有イニシアティブ(J-CSIP)」活動レポートを公開し、「やり取り型」標的型攻撃の事例を紹介した。攻撃者は攻撃を通じて“学習”し、手口を巧妙化させていくという。
J-CSIPとは、重要インフラ関連企業などで組織される、標的型攻撃に対する防御などに向けた情報共有の枠組み(関連記事)。IPAが情報の集約や分析を行い、参加組織間で情報を共有する。
今回公開されたのは、2013年度(2013年4月~2014年3月)におけるJ-CSIPの活動レポート。共有された情報の概要や、特徴的な攻撃の一部を解説し、一般企業の標的型攻撃対策に役立ててもらうことが狙い。
今回のレポートでは、やり取り型の標的型攻撃(やり取り型攻撃)について、特に詳細に解説した。ここでの「やり取り型」とは、無害のメールのやり取りをした後に、ウイルス(マルウエア)を添付した攻撃メールを送信する手口のこと(関連記事:本物のメールがサンプルに)。やり取り型は2012年に確認され、以降、相次いでいるという(関連記事:「メールをやり取りして信用させる」――巧妙化する標的型攻撃)
今回解説された攻撃事例からは、攻撃者が攻撃を通じて“学習”していることが判明した。送ったウイルスが相手の環境で開けないことが分かると“修正”し、以降は、別の企業に対しても、修正済みのウイルスを送るようになったという。具体的な流れは以下の通り(図)。
攻撃者はまず、標的とした企業の製品に対する問い合わせのメールを、その企業の問い合わせ窓口に送信した(図中の番号#4-1に該当)。このメールにはウイルスを添付していない。偵察目的なので、IPAでは「偵察メール」としている。
その企業の窓口では、攻撃者に対して返信(#4-2)。その返信メールから6日後に、攻撃者はウイルス添付メールを送信した(#4-3)。ウイルスにはWordの脆弱性を悪用する仕掛けが施されていたため、脆弱性のあるWordで開くと感染する恐れがあった。
