IPA(独立行政法人情報処理推進機構)は3日、企業や官公庁など特定の組織から情報を窃取したりシステムを妨害したりすることを目的とした「標的型攻撃メール」の実態をまとめ、公開した。メール受信者を騙す巧妙な手口が明らかにされ、具体的な対策を提案している。
「標的型攻撃メール」は、不特定多数にばらまかれるウイルスメールと異なり、特定の相手を狙って送りつけられる。メール受信者を安心させるために官公庁や大企業を詐称し、タイトルや本文も業務上の関心をひく工夫が凝らされている。IPAは次の4事例をあげ、どのように工夫を凝らすか説明している。組織内で送られた業務連絡メールを2時間以内に加工して再送付するなど、映画やドラマ並みの手口に驚かされる。
1)Web等で公表されている情報を加工し、メール本文や添付ファイルを作成
2)組織内の業務連絡メールを加工し、メール本文や添付ファイルを作成
3)添付ファイルをつけず、不正サイトへのリンクをメール本文に記載
4)数回のメール交換で安心させた後、ウイルス付き添付ファイルを送信
添付ファイルは、PDFファイルやMS Word、Excel、一太郎など業務でよく使われる文書データにウイルスを埋め込んだものが増えている。標的型メールは検体を入手するチャンスが少ないため、ウイルス対策ソフトで検知されない事例も多い。また、感染してもパソコンに異常が現れないケースが多く、感染に気付かず使い続けて被害が拡大することになるという。
標的型攻撃メールではソフトの脆弱性が悪用されるが、アドビシステムズ社のアプリケーションの脆弱性を悪用した事例が全体の約2/3を占めている。OS関係の脆弱性は自動更新で修正されることが多いが、アプリケーションはそうではないことが多いためと推察されている。ゼロデイが悪用されることもあるので、修正パッチが公開されたら、すぐに修正する必要がある。
IPAは、標的型攻撃への最初の砦はメール受信者の適切な判断であるとして、少なくとも次の知識と対応を身につけておくことを提案している。
・件名、本文、添付ファイル名などが日本語のウイルスメールも増えている。
・差出人のメールアドレスは簡単に詐称できる。
・原則として、実行形式の添付ファイルを開いてはいけない。
・ワープロ文書など実行形式でない文書データファイルから感染するウイルスもある。
・ウイルス対策ソフトを導入していても、ウイルスを100%防げるわけではない。
・ウイルスに感染しても、目に見える異常な症状が出るとは限らない。
・脆弱性の修正プログラムが公開されたら、原則として、すぐに適用する。
また、標的型攻撃メールを疑似体験させる「予防接種」という教育手法も意識向上に効果が高いとして紹介している。
(2011/10/04 ネットセキュリティニュース)
【関連URL】
・IPAテクニカルウォッチ:『標的型攻撃メールの分析』に関するレポート(IPA)
http://www.ipa.go.jp/about/technicalwatch/20111003.html
・【参考】標的型攻撃対策手法に関する調査報告書(JPCERT/CC)
http://www.jpcert.or.jp/research/2008/inoculation_200808.pdf