日経NETWORK 2016年5月号からの転載です。記事は当時の状況を解説しています。

 広島修道大学が最近、「研究留学生担当窓口(国立)」という件名の標的型攻撃メールが同大学に届いたと公表しました。ところが筆者が調べたところ、この攻撃に関する情報がネットにほとんど上がっていませんでした。勘が働いたのか、なんとなく気になったので、一人CSIRTで調べることにしました。

▼一人CSIRT
筆者が自宅で始めた、世の中で起きた情報セキュリティインシデントを調査し、情報を共有するための活動。CSIRTはComputer Security Incident Response Teamの略。一人CSIRTのCSIRTはComputer Security Incident Response Tsujiの略でもある。

どこかで注意喚起が出ている?

 まず広島修道大学の情報を整理します。同大学の情報センターが2016年2月23日、「本学に届いた標的型攻撃メールの事例」を公表し注意喚起を行いました(図1)。この事例の中の一つが、冒頭で挙げた「研究留学生担当窓口(国立)」という件名の攻撃メールです。

図1●大学を狙ったと思われる標的型攻撃らしきメールに注目した
図1●大学を狙ったと思われる標的型攻撃らしきメールに注目した
広島修道大学情報センターが公開した標的型攻撃メールの事例の中に、「研究留学生担当窓口(国立)」という件名と、同じ名前のファイルが添付されたメールが紹介されていた。福井大学総合情報基盤センターのお知らせには、どこかから注意喚起が出ていることが推測できる内容が書かれていた。
[画像のクリックで拡大表示]

 このメールには、「研究留学生担当窓口(国立).rar」という名前のファイルが添付されていたようです。筆者は、このような件名や添付ファイル名を使った攻撃をこれまで見たことがありません。件名や添付ファイル名に「(国立)」とあるので、国立大学などの大学関連組織を狙ったかのような印象を与える点が気になりました

 他の大学は狙われてないのかと思い、インターネットで添付ファイル名を検索すると、2015年11月12日に福井大学総合情報基盤センターが発表した、「国立大学を狙ったと思われる、電子メールを使った標的型攻撃がなされているという情報がありました」という情報がヒットしました。詳しく見るとその中に、広島修道大学が公開したメールと同じ件名と添付ファイル名の攻撃例が載っていました。

 同大の説明では、「とのことです」と伝聞調で書かれていました。つまり、どこかの機関が大学に対して、この攻撃への注意喚起をこの日より前に出した可能性があります。それにしても、全くといっていいほど話題になっていないのが不思議です。

▼rar
データ圧縮方式の一つ。Windowsが登場する前のMS-DOSの時代から使われている。
▼気になりました
ただ広島修道大学は、私立大学であって国立大学ではない。

添付ファイルを実行して調査

 この攻撃について詳しく調べるため、メールに添付されたファイルを入手して、検証用の仮想環境で実行することにしました(図2)。

図2●ファイル実行時に「いいえ」を選択したときのエラーメッセージ
図2●ファイル実行時に「いいえ」を選択したときのエラーメッセージ
アイコンをダブルクリック後、ユーザーアカウント制御の画面で「いいえ」を選択すると、中国語のエラーメッセージが表示された。
[画像のクリックで拡大表示]

 まず添付ファイルは、拡張子は異なるものの、同じ名前のファイルをあるところから入手できました。「研究留学生担当窓口(国立).exe」という名前のファイルです。拡張子は実行ファイルを示す「exe」ですが、アイコンはMicrosoft OfficeのExcelのものでした。よく知られているアイコンを使うことで、気軽にクリックさせようとする攻撃者の意図がうかがえます。

 アイコンをダブルクリックすると、ユーザーアカウント制御の画面が表示されます。プログラムがコンピュータに書き込みなどをしてよいかを問うものです。ここで「はい」を選ぶとファイルが開きますが、「いいえ」を選択するとどうなるのかを確かめるため、まずは「いいえ」をクリックしてみました。

 すると、中国語で書かれたエラーメッセージが表示されました。「ファイルの書き込みができない」という意味のようです。なお、エラーメッセージは中国語で書かれていますが、だからといって中国に関連する組織や人物がこのファイルを作成したとまでは断言できません。

▼ユーザーアカウント制御
Windowsの機能の一つで、管理者レベルのアクセス許可を必要とする変更をプログラムが行ったときに、ユーザーに通知する機能。