三菱重工業など防衛関連企業をターゲットとしたサイバー攻撃について、その攻撃手法の一端が解明されつつある。攻撃者は、標的とする企業にメールを送り、添付ファイルを開かせてウイルスに感染させている。
悪質な添付ファイル(PDFファイル)がどのような動作をするかについては、トレンドマイクロがサンプル分析の結果を明らかにしている。また、民間企業を標的として送付されたメールの手口については、警察庁が実態を調査・分析した結果を公開している。
■トレンドマイクロが「添付ファイルの動作」解説
米トレンドマイクロは19日(現地時間)、攻撃者がターゲットとした企業からどのように情報を詐取するかについて公式ブログで明らかにした。同ブログによると、ターゲットとされ被害を受けた企業は、日本、イスラエル、インド、米国の防衛関連企業8社が確認されており、散在する32台のコンピューターが攻撃者から侵入を受けた。この攻撃ネットワークは今年7月から活動を続けているという。
攻撃者はターゲット企業に悪質なPDFファイルを添付したメールを送り付け、これを開かせてウイルスに感染させている。攻撃サンプルを分析した結果、Flsah PLayerの脆弱性を突いてウイルスに感染させていること、次のような多段階を経てコンピューターを乗っ取っていることが判明した。
1) Adobe Readerが内蔵しているFlsah Playerの脆弱性を突いて、バックドア型のトロイの木馬を投下する
2) トロイの木馬はC&C(command-and-control)サーバーに接続し指示を受け取る
3) 指示に従って特定の情報の送信と、バックドア型トロイの木馬をダウンロード/インストールする。(コンピューターへの侵入が完了)
4) トロイの木馬がリモートアクセス用のサーバーコンポーネントをダウンロード/インストールする。(コンピューターの乗っ取りが完了)
上記段階をたどり、感染したコンピューターはリモートアクセスサーバーになってしまう。この状態になれば、攻撃者は外部から接続してリアルタイムでコンピューターを制御することが可能になる。
■警察庁が「標的型メール攻撃」の手口公開
警察庁は21日、企業をターゲットとした標的型メールについて分析した結果を公表した。分析に使われた情報は、「サイバーインテリジェンス情報共有ネットワーク」を利用して収集された。同ネットワークは、情報窃取の標的となるおそれがある約4000の事業者等と同庁が共同で構築している。
発表資料によると、震災後、「地震情報」「被ばくに関する知識」「計画停電」等の震災や原発事故に関する情報の提供を装った標的型メールが民間企業等に合計500件以上送付されていることがわかった。このほか、「重要な会議のお知らせ」「資料送付」など、震災と関係ない標的型メールも、4月以降300件以上が把握されている。
特定企業などにターゲットを絞り込む標的型攻撃は、相手に合わせたソーシャルエンジニアリング(人間の心理・行動の隙を突くなど「社会的」手段でセキュリティ上重要な情報を不正に取得すること)が行え、不審とは思わせないメールや添付ファイルを送ることができる。このため、警戒せず開いてしまう確率は高くなる。また、不特定多数にばら撒くものと違い、あまり表沙汰にならないので警戒されにくく、ウイルス対策ソフトにも対応されにくい。感染させる手法は、普通のウイルスメールと変わりないが、”情報窃取の標的となるおそれがある”企業や官公庁に勤務する人たちは、ウイルスメールについて普通以上に警戒し、脆弱性を塞いでおくことが求められる。
狙われた対象が防衛関連企業ゆえに大騒動になっているが、手口としては決して目新しいものではない。攻撃に使われたFlsah PLayerの脆弱性は、今年4月に修正されたものだった。このとき修正していれば、攻撃を受けても感染することはなかった。繰り返しになるが、OSやアプリケーション、対策ソフトを常に最新バージョンに更新して脆弱性の解消に努めるという基本を守ることが重要だ。
(2011/09/26 ネットセキュリティニュース)
【関連URL】
・Japan, US Defense Industries Among Targeted Entities in Latest Attack(TrendLabs Malware Blog)
http://blog.trendmicro.com/japan-us-defense-industries-among-targeted-entities-in-latest-attack/
・標的型メール攻撃事案の把握状況について[PDF](警察庁)
http://www.npa.go.jp/keibi/biki5/hyotekigata.pdf