最近、様々なメディアでサイバー攻撃についてのニュースが報道されている。このようなサイバー攻撃のいくつかは、標的型メールを利用していたと報告されている。標的型メールとは、ある特定の組織や個人に限定して送信される不正なメールである。この標的型メールは、ターゲットが限定されているため、ウイルス対策ベンダーでも検体の収集が難しく、ウイルス対策ソフトでの対応が難しいという特徴がある。
標的型メールには、不正なファイルが添付されていることが多い。添付されているファイルは主に以下の2種類である。
1.exeファイルまたは、zipなどで圧縮されたWindows実行ファイル
2.脆弱性を攻撃する不正なコードが含まれたドキュメントファイル
このうち、最近注目を集めているのが2番目。不正なコードは、クライアントパソコン(PC)にマルウエアを感染させようとするプログラムである。ドキュメントを開くアプリケーションに脆弱性がなければ、ファイルを開いてもマルウエアに感染することはない。ただ、中にはアプリケーションのゼロデイ脆弱性(パッチが公開されていない脆弱性)を悪用するものがあり、その場合は感染を防ぐすべがない。
以降では、2の不正なドキュメントファイルについて解説し、EMET(Enhanced Mitigation Experience Toolkit)というツールを利用した対策の効果について解説する。
脆弱性を悪用するドキュメントファイルの中身は、以下で構成されている。
- 脆弱性を悪用する機能
- シェルコード
- マルウエア(ファイルに含まれていない場合もある)
- ダミーで表示するドキュメント
ドキュメントファイルを開くと、脆弱性を悪用する機能の影響でシェルコードと呼ばれる不正な命令が実行される。シェルコードによって、ドキュメントファイル内のマルウエアがクライアントPC内に保存され、実行される。その間、画面上では、ダミーのドキュメントが表示されている。
例えば、以下のような画面が表示される。これは、2011年3月11日以降に送られた震災の情報に見せかけた標的型メールである(図1)。ファイルが正常に表示されるため、おかしな動作を行っているように見えないが、実は裏ではマルウエアに感染している可能性がある。
