IPA(情報処理推進機構)のサイバー情報共有イニシアティブ(J-CSIP)が、2014年5月末に公開したレポートで、やり取り型攻撃の恐るべき全貌を明らかにした。J-CSIP組織単体では認識できなかった、攻撃者の具体的な振る舞いや手口を明らかにし、対策に結び付ける動きが始めている。第2回の今回は、攻撃者の具体的な手口を明らかにする。
攻撃者の手口はずる賢いものだった。具体的には
(2)攻撃が分からないよう慎重に行動
(3)複数の攻撃を多重進行
(4)即座に対応できるよう常時待機
(5)状況に応じて攻撃手法を変更
(6)やり取りを通じて手口を巧妙化
といった六つの特徴がある。
これらの攻撃は送信元のメールアドレスまたはIPアドレスのどちらかが一致していることから同一のグループであると推測できた。送り付けてくるウイルスや偵察メールなどの文面からも、同一の攻撃者であると推察できた。
図1では、攻撃対象となる組織に入り込むため、外部への窓口となる担当を探り出し、巧妙なわなを仕掛ける。窓口のメールアドレスが見つからない組織では、Webサイトに用意されているフォームに、窓口担当者の琴線に触れそうな問い合わせ文を書き込み、担当者からの返信を待つ。
最初の偵察メールの送付時点から、詐称する身分や話題に工夫を凝らしている。具体的には、「製品に関する問い合わせ」「○○の構想検討について」など、関係者が連絡をしてきたかのようなメールを偽装する。
ウイルス付きメールには「『本研究室の資料』の送付」「『弊社の連絡先』の送付」などファイルをすぐに開く(ウイルスを実行する)よう促すタイトルを付け、ウイルスそのものもファイル名などを偽装している。
図2では、攻撃がターゲットに気取られないよう細心の注意を払っている。ある組織への攻撃では、窓口に「暑中見舞い」の偵察メールを送ってから、90日を置いて、再度「在席の確認」メールを送っている。最初の偵察メールに返信がなかったためいったん冷却期間を置き、ほとぼりが冷めたころに同じ窓口にメールを送信している。
これ以外にも、ある組織の複数部署を狙う際に、窓口を絞り込んで攻撃していた。利用者に警戒されウイルスの実行が妨げられないよう、徹底して攻撃の存在を隠蔽しようとしている。
