企業の技術情報等を狙うサイバー攻撃について、同一内容を大量に送る「ばらまき型」が激減し、企業窓口と何らかのメールをやり取りした後に標的型メールを送付する「やりとり型」が急増していることが、今年上半期の警察庁のまとめでわかった。不正プログラムの半数は、画像ファイルや文書ファイルを偽装していた。
警察庁は、先端技術をもつ企業等約5000社と「サイバーインテリジェンス情報共有ネットワーク」を構築し、サイバー攻撃に関する情報を集約・共有している。このネットワークを通じて、今年1~6月までの間、201件の標的型メール攻撃が把握された。前年同期の552件に比べ、大きく減少している。
把握件数の大幅減少は、同一内容のメールを大量に送付する「ばらまき型」攻撃の減少が要因という。一方、業務に関する内容のメールを何回かやり取りした後に不正プログラムを添付したメールを送り付ける「やりとり型」は、昨年1年間で2件だったものが、上半期だけで33件と大幅に増加した。
●「やりとり型」攻撃の特徴
「やりとり型」攻撃メールは、対象企業・組織のホームページで公開されているメールアドレス宛てに、最初は問合わせの形で送られてくることが多い。内容は、5割以上が職員採用に関するもの、約3割が製品に関する質問や不具合の報告を装ったもの。その後に送付される不正プログラムは、履歴書や質問状、不具合の状況などを記録した文書ファイルを偽装している。送信元は100%フリーメールアドレスという。このため警察庁は、不特定多数からのメールアドレスを受信するパソコンは業務用パソコンのネットワークから分離すること、フリーメールアドレスからの受信時は警告を表示する設定にすること等をアドバイスしている。
●送り付けられる不正プログラムの特徴
標的型メール攻撃で使われる不正プログラムは半数が圧縮ファイル形式で、LZH形式が昨年より増加している。うち約9割が実行ファイルだが、その約半数がWord文書ファイル、約3割が画像(JPEG)ファイルを偽装していた。アイコンをWord文書に偽装したうえで、RLO機能(ファイル名を右読みから左読みに変える機能。「fdp.exe」は「exe.pdf」と表示され、実行ファイルをPDFファイルに偽装できる)により、ファイル名もWord文書に見えるように偽装していた例もある。
圧縮されていない場合の添付ファイルは、Excelの拡張子「xls」ファイルが多く、同窓会名簿や住所録を偽装していた。
(2013/08/23 ネットセキュリティニュース)
【関連URL:警察庁】
・平成25年上半期のサイバー攻撃情勢について[PDF]
http://www.npa.go.jp/keibi/biki3/250822kouhou.pdf