日経NETWORK 2016年5月号からの転載です。記事は当時の状況を解説しています。
広島修道大学が最近、「研究留学生担当窓口(国立)」という件名の標的型攻撃メールが同大学に届いたと公表しました。ところが筆者が調べたところ、この攻撃に関する情報がネットにほとんど上がっていませんでした。勘が働いたのか、なんとなく気になったので、一人CSIRT▼で調べることにしました。
筆者が自宅で始めた、世の中で起きた情報セキュリティインシデントを調査し、情報を共有するための活動。CSIRTはComputer Security Incident Response Teamの略。一人CSIRTのCSIRTはComputer Security Incident Response Tsujiの略でもある。
どこかで注意喚起が出ている?
まず広島修道大学の情報を整理します。同大学の情報センターが2016年2月23日、「本学に届いた標的型攻撃メールの事例」を公表し注意喚起を行いました(図1)。この事例の中の一つが、冒頭で挙げた「研究留学生担当窓口(国立)」という件名の攻撃メールです。
このメールには、「研究留学生担当窓口(国立).rar▼」という名前のファイルが添付されていたようです。筆者は、このような件名や添付ファイル名を使った攻撃をこれまで見たことがありません。件名や添付ファイル名に「(国立)」とあるので、国立大学などの大学関連組織を狙ったかのような印象を与える点が気になりました▼。
他の大学は狙われてないのかと思い、インターネットで添付ファイル名を検索すると、2015年11月12日に福井大学総合情報基盤センターが発表した、「国立大学を狙ったと思われる、電子メールを使った標的型攻撃がなされているという情報がありました」という情報がヒットしました。詳しく見るとその中に、広島修道大学が公開したメールと同じ件名と添付ファイル名の攻撃例が載っていました。
同大の説明では、「とのことです」と伝聞調で書かれていました。つまり、どこかの機関が大学に対して、この攻撃への注意喚起をこの日より前に出した可能性があります。それにしても、全くといっていいほど話題になっていないのが不思議です。
データ圧縮方式の一つ。Windowsが登場する前のMS-DOSの時代から使われている。
ただ広島修道大学は、私立大学であって国立大学ではない。
添付ファイルを実行して調査
この攻撃について詳しく調べるため、メールに添付されたファイルを入手して、検証用の仮想環境で実行することにしました(図2)。
まず添付ファイルは、拡張子は異なるものの、同じ名前のファイルをあるところから入手できました。「研究留学生担当窓口(国立).exe」という名前のファイルです。拡張子は実行ファイルを示す「exe」ですが、アイコンはMicrosoft OfficeのExcelのものでした。よく知られているアイコンを使うことで、気軽にクリックさせようとする攻撃者の意図がうかがえます。
アイコンをダブルクリックすると、ユーザーアカウント制御▼の画面が表示されます。プログラムがコンピュータに書き込みなどをしてよいかを問うものです。ここで「はい」を選ぶとファイルが開きますが、「いいえ」を選択するとどうなるのかを確かめるため、まずは「いいえ」をクリックしてみました。
すると、中国語で書かれたエラーメッセージが表示されました。「ファイルの書き込みができない」という意味のようです。なお、エラーメッセージは中国語で書かれていますが、だからといって中国に関連する組織や人物がこのファイルを作成したとまでは断言できません。
Windowsの機能の一つで、管理者レベルのアクセス許可を必要とする変更をプログラムが行ったときに、ユーザーに通知する機能。