電子メールを悪用したコンピュータ・ウイルスが後を絶たない。メールを使っての感染拡大は,最もポピュラーな手法となっている。先日出現した「Nimda」に至っては,ウイルス・メールを開封する(本文を読む)だけで感染してしまう恐れがある。メールを使った攻撃はウイルスだけに限らない。Spam やメール爆弾,最近では携帯電話を標的とする悪質メールも出現している。そこで本コラムでは,電子メールを用いた攻撃の脅威と,対策について考えてみたい。
ウイルスの脅威
電子メールが攻撃に悪用される理由のひとつは,容易に次の攻撃先を得ることができることにある。メール・クライアントのアドレス帳やWebブラウザのキャッシュには,多数のメール・アドレスが保存されている。それらを自動的に取得して悪用すれば,短時間のうちに多数のユーザーに対して,悪意あるプログラムを送付することが可能となる。
悪意あるプログラムが起動するには,ユーザーのアクションを必要とする。通常は,単に受信しただけでは被害を受けない。にもかかわらず,メールを悪用したウイルスが後を絶たないのは,その根本的な原因として,反射的に添付ファイルをダブル・クリックしてしまうユーザーが余りにも多いということだろう。
最近になってようやく,「メールにはウイルスなどが添付されている可能性がある」という事実が世に知られるようになった。多くのユーザーは,不明な添付ファイルを実行することの危険性を認識し始めた。しかし,これは逆に「添付ファイルを実行しなければ大丈夫」との誤った認識も生んでしまった。筆者自身も,顧客から「実行さえしなければ大丈夫なんですよね?」といった質問を何度か受けたことがある。
しかし,今回の「Nimda」騒ぎにより,その認識が誤りであることを知り,メールによる攻撃の恐ろしさを再認識したユーザーは多いだろう(Nimda については,「今週のSecurity Check [Windows編]」などを参照のこと)
「クリックしない」だけでは不十分
それでは,メールによる攻撃に対して,どのような対策を施したらよいだろうか。
今さらではあるが,メールの添付ファイルを不用意にクリックしないことが第一であろう。ウイルス作者はいかにしてクリックさせるかに注力している。その誘いに乗ってはいけない。クリックさせる“工夫”としては,以下のようなものが挙げられる。
- 送信元を偽り,知人から送られたメールに見せかける
- 昨年流行した「VBS/LoveLetter」のように,件名に“気になる”文字を入れる
- ウイルスの駆除ツールを偽った悪質プログラムを添付する(最近では Nimda の駆除ツールを偽ったウイルスが実際に出回った)
しかし,クリックしなくても実行されてしまうようなウイルスが出現している現在,「クリックしない」だけでは不十分である。それ以外に,次のような対策が必要だ。
- 電子メール・クライアントのセキュリティ・チェックを怠らない
- 最新のパッチを適用する
- HTMLメールを自動表示をしない
- 電子メール・クライアントの不要な機能を停止する(例えばプレビューなど)
メールによる攻撃については,今後様々な可能性が考えられる。上記のような対策を地道に施すしかないのが現状である。
モバイル端末への脅威
電子メールによる脅威はウイルスに限らない。よく知られたものでは,Spamメールやメール爆弾などがある。これらの攻撃は,インターネット・ユーザーすべてが対象となる。これには,現在急増中のモバイル・インターネット・ユーザーも含まれる。ちなみに,全世界のモバイル・インターネット・サービスの加入者は5722万人,前年度比 66.5% で増加中である(参考資料)。今後のユーザー増加に比例して,メールによる攻撃の被害者も増加することは容易に予想できる。
特に,モバイル・ユーザーを対象にした攻撃の手法は,今まで以上にさまざまなものが出現してくると予想される。最近,メディアでも多く取り上げられているように,iモードを攻撃対象とした悪質メールはその予兆といえるだろう。
ここでは,少し前に話題になった攻撃の一例を示す([関連記事])。これらは「タグメール」と呼ばれるメールを悪用したものだ。タグメールを悪用すれば,そのメールを開封するだけで,強制的に電子メールを送信したり,電話をかけさせたりすることが可能となる。さらに,iモードのメニューを操作したり,強制的に初期化させたり,個人情報を抜き取ったりすることも可能であるとの報告もある。ただし,これらの攻撃がすべてのiモードに通用するわけではない。機種に依存する場合が多く,筆者の検証でも限られた機種にしか通用しない攻撃が多かった。
以下,(1)強制再起動,(2)パスワード変更,(3)強制メール送信のタグメール例を示す。悪用を防ぐために一部伏字にしているが,攻撃がいかに容易であるかは分かってもらえるだろう。
【悪意あるタグメール例】
(1)強制再起動(一部伏字)
<![CDATA[
<xxxxx loop="-1">■</xxxxx>
http://www.lac.co.jp/hogehoge/hogehoge.gif
</pre>
</p>
<p>
(2)パスワード変更(一部伏字)
<pre>
</XPLAINTEXT>
<from action="http://docomo.ne.jp/xxxxxx"method="post">
<input type="hidden"name="xxxx"value="$$$$">
<input type="hidden"name="xxxx"value="\\\\">
<input typt="hidden"name="xxxx"value="\\\\">
<input type="hidden"name="xxxx"value="押す">
<input type="hidden"name="xxxx" value="NULLGRIMMGW">
</pre>
</p>
<p>
(3)強制メール送信(一部伏字)
<pre>
</XPLAINTEXT><a href=" x-avefront://---.xxx/edit-xxx?type=u&
subject=hoge&address=hoge@lac.co.jp&body=hogehoge" Keyxxxx=b>
</a><FORM><SELECT><OPTION>
</pre>
</p>
<p>
iアプリの登場により,Javaを扱えるようになったことも考慮すると,モバイル端末を対象としたウイルスや新たな攻撃手法が登場するのは時間の問題であろう。
</p>
<p>
iモードについては,どのような対策が効果的だろうか。上述したタグメールに対しては,「画像の自動読み込み設定を停止」,「メールの自動表示を停止」などの自衛が必要となる。
</p>
<p>
NTTドコモは次のような対策を推奨している。
</p>
<ol>
<li> 見知らぬ発信元のメールを開封しない
<li> 意図せずに自動発呼された場合は通話終了ボタンを押し通信を中止する
<li> 意図せずに自動的にメールが転送された場合はクリア・ボタンなどを押して通信を中止する
</ol>
<p>
これらを覚えておくだけでも,多少は効果があるだろう。とはいえ,確実に実践することは難しい。加えて,モバイル端末の技術進歩を考えると,根本的な解決策ではないことは明らかだ。
</p>
<p>
今後Javaを悪用した攻撃の出現を考慮すると,「不必要な機能は停止する」,「不用意に添付ファイルを実行しない」といった,パソコン同様の対策を施す必要があるだろう。機能の便利さとのトレードオフではあるが,現状では致し方ないだろう。
</p>
<div align="center"><h4>
◇ ◇ ◇ ◇ ◇ ◇
</h4></div>
<p>
次々出現する電子メールによる攻撃に対する,完全な対策はない。「こまめにセキュリティ情報のチェックする」,「不要な機能やサービスを使用しない」,「安全なメール・クライアントを選択する」といった,自己責任による対策しかない。
今後は,開封どころか受信しただけで実行させられてしまったり,ある文字列のアカウントを持つメール・アドレスのユーザーのみ感染したりするなどの,複雑な攻撃が出現する恐れがある。すべてのメール・ユーザーが攻撃の対象となるのだ。十分注意しなければならない。
</p>
<hr noshade size="1">
<div align=right>
<p>岩井 博樹(Iwai Hiroki)<br>
<a href="http://www.lac.co.jp/" target="_window">株式会社ラック</a> 不正アクセス対策事業本部 技術部<br>
<i>iwai@lac.co.jp</i></p>
</div>
<hr>
<p><b><i> <a href="http://itpro.nikkeibp.co.jp/members/security/">IT Proセキュリティ・サイト</a>が提供する「今週のSecurity Check [一般編]」は,その週に起きたUNIX関連およびセキュリティ全般のニュースや動向をまとめた週刊コラムです。セキュリティ・ベンダーである<a href="http://www.lac.co.jp/" target="_window">「株式会社ラック」</a>のスタッフの方を執筆陣に迎え,専門家の立場から解説していただきます。</p>
<div class="endNobr"></div>
</div><!--googleoff: all-->
<div class="endNobr" style="margin-top:10px;"></div>
</div><div id="focusSponser"></div>
<div id="relationLink" class="all"></div>
<div id="actLink" class="all"></div>
<div id="weeklyTopic">
<div id="weeklyTopics" class="weeklyTopicsCommon"></div></div>
<!-- ■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■ -->
<div id="socialCommentArea" class="all">
<div class="tab">
<a href="javascript:void(0);" onclick="socialCommentChange('Twitter')" id="socialCmtTabTwitr">Twitter</a>
<a href="javascript:void(0);" onclick="socialCommentChange('Facebook')" id="socialCmtTabFb">Facebook</a>
</div>
<div class="commentList">
<div id="commentListTwitr">
<script src="http://widgets.twimg.com/j/2/widget.js"></script>
<script>
new TWTR.Widget({
version: 2,
type: 'search',
search: 'http://itpro.nikkeibp.co.jp/members/ITPro/SEC_CHECK/20011005/1/',
interval: 30000,
title: 'この記事に対するつぶやき (<a href="#" title="Twitterでつぶやく" onclick="return(snsUtils.toTwitter(this))">自分もつぶやく</a>)',
subject: '<a href="http://twitter.com/nikkeibpITpro" target="_blank">@nikkeibpITpro</a>',
width: 528,
height: 300,
theme: {
shell: {
background: 'ffffff',
color: '#333333'
},
tweets: {
background: '#ffffff',
color: '#444444',
links: '#1985b5'
}
},
features: {
scrollbar: true,
loop: true,
live: false,
behavior: 'default'
}
}).render().start();
</script>
</div>
<div id="commentListFb">
<div class="ct_head"><h3>この記事に対するfacebookコメント</h3><h4><a href="http://www.facebook.com/nikkeibpITpro" target="_blank">nikkeibpITpro</a></h4></div>
<div class="ct_box">
<fb:comments href="http://itpro.nikkeibp.co.jp/members/ITPro/SEC_CHECK/20011005/1/" num_posts="5" width="500"></fb:comments>
</div>
</div>
</div>
<div align="right" class="honbun"><a href="/article/MAG/20120127/379560/">新しいコメント機能について</a></div>
</div>
<!-- ■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■ -->
<div id="relationKeyword"></div>
<script type="text/javascript">
<!--
var setPF = "";
setPF = navigator.platform.toLowerCase();
if(setPF == 'ipad'){
bakeCookie('spcheck', 'pc')
}
//-->
</script>
<div id="bottomPickup09"></div>
<div class="endNobr"></div>
<div class="gototop"><a href="#top">▲ ページトップ</a></div>
</div>
</td>
<td id="subContent" align="center" valign="top">
<div class="cellBox">
<!--googleoff: index-->
<div class="rectangle" style="height: 300px; background: #ccc;">
<iframe width="300" height="300" marginwidth="0" marginheight="0" hspace="0" vspace="0" frameborder="0" scrolling="no" bordercolor="#000000" src="http://bizad.nikkeibp.co.jp/html.ng/tocode=eucJP&spacedesc=itpro_secSecurity_leaf_rotation_rectangle&site=s_itpro">
<comment>
<script language="javascript1.1" src="http://bizad.nikkeibp.co.jp/js.ng/params.richmedia=yes&tocode=eucJP&spacedesc=itpro_secSecurity_leaf_rotation_rectangle&site=s_itpro&">
</script>
</comment>
<noscript>
<a href="http://bizad.nikkeibp.co.jp/click.ng/params.richmedia=yes&tocode=eucJP&spacedesc=itpro_secSecurity_leaf_rotation_rectangle&site=s_itpro" target="_blank">
<img src="http://bizad.nikkeibp.co.jp/image.ng/params.richmedia=yes&tocode=eucJP&spacedesc=itpro_secSecurity_leaf_rotation_rectangle&site=s_itpro" border="0"></a>
</noscript>
</iframe>
</div>
<div class="editorArea">
<h3>読みましたか? 〜 未読記事をご紹介</h3>
<div class="box">
<div id="vlink"></div>
</div>
</div>
<div class="editorArea">
<h3><a href="/security/">セキュリティの最新記事<span>>>一覧</span></a></h3>
<div class="box">
<ul>
<li><a href="/article/COLUMN/20120207/380357/?leaf_latest">[対策1]「出口」を見張って止める、押さえるべき三つの手法</a></li>
<li><a href="/article/NEWS/20120214/381633/?leaf_latest">PFU、Android/iOSに新規対応したネットワーク検疫ソフトの新版を発売</a></li>
<li><a href="/article/NEWS/20120214/381602/?leaf_latest">「メールで送付されたDLLファイルに注意」、新たな標的型攻撃が出現</a></li>
<li><a href="/article/COLUMN/20120213/381125/?leaf_latest">チェックしておきたい脆弱性情報<2012.02.14></a></li>
<li><a href="/article/COLUMN/20120207/380356/?leaf_latest">[攻撃手法]標的型攻撃はこう動く、AD悪用で同一ドメインを制圧</a></li>
<li><a href="/article/NEWS/20120213/381123/?leaf_latest">「Google Wallet」の脆弱性報道でプリペイドカード機能が一時無効に</a></li>
</ul>
</div>
</div>
<div id="themePickup" class="specialPickupRight"></div>
<div id="specialPickup" class="specialPickupRight"></div>
<div id="rtRankingArea300" class="rf_security">
<h3><img src="/images/itpro/2010/right/ranking/security_1.gif" width="300" height="60" alt="アクセスランキング"></h3>
<div class="tab">
<h4 class="active"><a href="#" onclick="return(ranking_click(0))">昨日</a></h4>
<h4 class="behind"><a href="#" onclick="return(ranking_click(1))">週間</a></h4>
<h4 class="behind"><a href="#" onclick="return(ranking_click(2))">昨日</a></h4>
<h4 class="behind"><a href="#" onclick="return(ranking_click(3))">週間</a></h4>
</div>
<div id="rtRankingDate">2012年02月14日</div>
<div id="rtRankingBody">
<div class="item">
<div class="rank1">1</div>
<div class="rankTitle"><a href="/article/COLUMN/20120207/380356/?ST=security&r4"><span class="toptitle">【頻発する標的型攻撃に備えよ】</span>[攻撃手法]標的型攻撃はこう動く、AD悪用で同一ドメインを制圧</a></div>
</div>
<div class="item">
<div class="rank2">2</div>
<div class="rankTitle"><a href="/article/NEWS/20120214/381602/?ST=security&r4"><span class="toptitle">【ニュース】</span>「メールで送付されたDLLファイルに注意」、新たな標的型攻撃が出現</a></div>
</div>
<div class="item">
<div class="rank3">3</div>
<div class="rankTitle"><a href="/article/COLUMN/20120213/381125/?ST=security&r4"><span class="toptitle">【CSIRTメモ】</span>チェックしておきたい脆弱性情報<2012.02.14></a></div>
</div>
<div class="item">
<div class="rank">4</div>
<div class="rankTitle"><a href="/article/COLUMN/20120207/380355/?ST=security&r4"><span class="toptitle">【頻発する標的型攻撃に備えよ】</span>[トレンド]極秘情報が外部に漏洩、標的は「あらゆる組織」</a></div>
</div>
<div class="item">
<div class="rank">5</div>
<div class="rankTitle"><a href="/article/NEWS/20120214/381633/?ST=security&r4"><span class="toptitle">【ニュース】</span>PFU、Android/iOSに新規対応したネットワーク検疫ソフトの新版を発売</a></div>
</div>
<div class="item">
<div class="rank">6</div>
<div class="rankTitle"><a href="/article/COLUMN/20120207/380351/?ST=security&r4"><span class="toptitle">【ビッグデータで日本のITは活性化するか】</span>第1回 「ビッグデータ」ブームに日本企業は乗るべきか</a></div>
</div>
<div class="item">
<div class="rank">7</div>
<div class="rankTitle"><a href="/article/NEWS/20120213/381123/?ST=security&r4"><span class="toptitle">【ニュース】</span>「Google Wallet」の脆弱性報道でプリペイドカード機能が一時無効に</a></div>
</div>
</div>
</div>
<div id="recInfo" class="leaf"></div>
<div class="rectangle" style="height: 250px;">
<iframe width="300" height="300" marginwidth="0" marginheight="0" hspace="0" vspace="0" frameborder="0" scrolling="no" bordercolor="#000000" src="http://bizad.nikkeibp.co.jp/html.ng/tocode=eucJP&spacedesc=itpro_synRunOfITpro&site=s_itpro">
<comment>
<script language="javascript1.1" src="http://bizad.nikkeibp.co.jp/js.ng/params.richmedia=yes&tocode=eucJP&spacedesc=itpro_synRunOfITpro&site=s_itpro&">
</script>
</comment>
<noscript>
<a href="http://bizad.nikkeibp.co.jp/click.ng/params.richmedia=yes&tocode=eucJP&spacedesc=itpro_synRunOfITpro&site=s_itpro" target="_blank">
<img src="http://bizad.nikkeibp.co.jp/image.ng/params.richmedia=yes&tocode=eucJP&spacedesc=itpro_synRunOfITpro&site=s_itpro" border="0"></a>
</noscript>
</iframe></div>
</div>
</td>
</tr>
</tbody>
</table>
<div id="siteInformation">
<ul>
<li class="infomenu1"><a href="/sitemap/">サイトマップ</a></li>
<li class="infomenu2"><a href="/article/MAG/20090910/336995/">ITproとは</a></li>
<li class="infomenu3"><a href="/article/MAG/20090825/335984/">MyITproとは</a></li>
<li class="infomenu4"><a href="/free/reguser/">会員登録・変更</a></li>
<li class="infomenu5"><a href="/article/MAG/20090910/336980/">メルマガ</a></li>
<li class="infomenu6"><a href="/article/MAG/20090910/336987/">RSS</a></li>
<li class="infomenu7"><a href="/article/MAG/20100209/344393/">Twitter</a></li>
<li class="infomenu8"><a href="/article/MAG/20101129/354634/">iPhoneアプリ</a></li>
<li class="infomenu9"><a href="/ask_pass/">お問い合わせ・ご意見</a></li>
</ul>
</div>
<div id="footer">
<div class="logo">
<img src="/images/itpro/2010/footer/bottom_logo2011.gif" usemap="#bottomlogo" width="862" border="0" height="88">
<map name="bottomlogo">
<area shape="rect" coords="91,0,193,88" href="/" alt="ITpro">
<area shape="rect" coords="239,0,376,88" href="/active/" alt="ITpro Active">
<area shape="rect" coords="405,0,551,88" href="/premium/" alt="ITpro Premium">
<area shape="rect" coords="611,0,771,88" href="/as/pickup/index.shtml" alt="ITpro SPECIAL">
</map>
</div><div id="bottom">
<div class="box">
|<a href="http://itpro.nikkeibp.co.jp/aboutitpro/">ITproとは</a>|<a href="http://itpro.nikkeibp.co.jp/article/MAG/20090825/335984/">MyITproとは</a>|<a href="/article/MAG/20090622/332387/">アクセス履歴の利用について</a>|<a href="http://itpro.nikkeibp.co.jp/ask_pass/">ITproへのお問い合わせ・ご意見</a>|<a href="/article/MAG/20090910/337009/">ITpro Researchとは</a>|<a href="http://adweb.nikkeibp.co.jp/adweb/wad/itp/itp.html">広告について</a>|<br>|<a href="http://itpro.nikkeibp.co.jp/sitemap/">サイトマップ</a>|<a href="http://store.nikkeibp.co.jp/">日経BP書店</a>|<a href="http://corporate.nikkeibp.co.jp/information/copyright/">著作権・リンク</a>について|<a href="http://corporate.nikkeibp.co.jp/information/privacy/">個人情報保護方針/ネットにおける情報収集/個人情報の共同利用について</a>|
</div>
<hr>
<div class="box2">
<div class="leftBox">
<a href="http://corporate.nikkeibp.co.jp/" target="_blank"><img src="/images/itpro/2009/footer/lg_nikkeibp.gif" alt="日経BP社" width="120" height="21"></a>
</div>
<div class="textBox">
Copyright (C) 1995-2012 Nikkei Business Publications, Inc. All rights reserved.<br>このページに掲載されている記事・写真・図表などの無断転載を禁じます。著作権は日経BP社、またはその情報提供者に帰属します。<br>掲載している情報は、記事執筆時点のものです。
</div>
</div>
</div>
<div class="bottomBar"></div></div>
<div id="spcheckButton"></div>
<!--googleon: index-->
<!-- User Insight PCDF Code Start : nikkeibp.co.jp -->
<script type="text/javascript">
<!--
var uilid = '';
var uigr_1 = ''; var uigr_2 = ''; var uigr_3 = ''; var uigr_4 = ''; var uigr_5 = '';
var uigr_6 = ''; var uigr_7 = ''; var uigr_8 = ''; var uigr_9 = ''; var uigr_10 = '';
// DO NOT ALTER BELOW THIS LINE
// WITHOUT F.P.C.
var uiinit = uiinit || Math.floor(Math.random() * 9000000) + 1000000;
var uihost = uihost || (("https:" == document.location.protocol) ? "https://bs." : "http://b16.")+"nakanohito.jp/b1/";
document.write("<img id='id_shellfish' style='position: absolute' src='"+uihost+"?uisv=16&id=31504&mode=default&h=86f6&rand="+uiinit+"&url="+encodeURIComponent(parent.document.URL)+"&ref="+encodeURIComponent(parent.document.referrer)+"&uigr_1="+encodeURIComponent(uigr_1)+"&uigr_2="+encodeURIComponent(uigr_2)+"&uigr_3="+encodeURIComponent(uigr_3)+"&uigr_4="+encodeURIComponent(uigr_4)+"&uigr_5="+encodeURIComponent(uigr_5)+"&uigr_6="+encodeURIComponent(uigr_6)+"&uigr_7="+encodeURIComponent(uigr_7)+"&uigr_8="+encodeURIComponent(uigr_8)+"&uigr_9="+encodeURIComponent(uigr_9)+"&uigr_10="+encodeURIComponent(uigr_10)+"&lv="+uilid+"&sb="+encodeURIComponent(document.title)+"&guid=ON&eflg=1' border='0' width='1' height='1' alt='' />");
if (typeof document.documentElement.style.maxHeight != "undefined") {
document.write('<span style="position: absolute" id="id_bivalves"></span>'); document.write(decodeURI("%3Cscr"+"ipt src='"+uihost+"bivalves.js' charset='utf-8' type='text/javascript'%3E%3C/script%3E")); var uiLimit = 3000, uiInterval = 50, uiTime = 0; var uiLoadedId = setInterval(function(){ if ((typeof(Vesicomyid) != "undefined") && (typeof(Vesicomyid.Bivalves) != "undefined") && (typeof(Vesicomyid.Bivalves.Loaded) == "function") ) { clearInterval(uiLoadedId); try { var lb = new Vesicomyid.Bivalves(31504, uiinit); lb.host = uihost; lb.uisv = 16; lb.init(); } catch (err) { } } else if ((uiTime += uiInterval) > uiLimit) { clearInterval(uiLoadedId); } }, uiInterval);
}
//-->
</script>
<!-- User Insight PCDF Code End : nikkeibp.co.jp -->
</body>
</html>
]]>
