ある日、次のような内容のメールを受け取ったら、あなたはどうするだろうか。
【本文】
添付したマニュアルに従って、庁内PC上にVIRUSがあるかどうか調査を行います。
皆さんのご協力が必要です。
よろしくお願いします!
メール送信者の名前やメールアドレスが勤務先のものだったら、添付ファイルをクリックしてしまわないだろうか。もちろん、用心深い人なら「そんな話は聞いていない。事前に連絡もなくいきなりメールというのは、通常の手順と違うはず。何か変だ」と感じ、周囲に確認するかもしれない。
では、次のようなメールが届いたら、どうだろう。
【本文】
関係各位 殿
いつもお世話になります。
近年、特定の企業あるいは組織イントラネット内のパソコンを標的とした「標的型攻撃」により、個人情報が漏洩するなどの被害が深刻化しています。「近年の標的型攻撃に関する調査研究」調査報告書は、攻撃に使われた脆弱性の実態調査や、攻撃の際に用いられたマルウェアの分析を行い、調査報告書としてとりまとめました。
・・・(中略)・・・・本報告書が・・・有用な資料となり、セキュリティ脅威が減少することとなれば幸いです。
○○ ○○(実在の担当者名)
独立行政法人 情報処理推進機構 セキュリティセンター(IPA/ISEC)
TEL:03-XXXX-XXXX FAX:03-XXXX-XXXX
E-mail:XXXXXX@ipa.go.jp
【添付ファイル】調査報告書.pdf
情報処理推進機構(IPA)がウイルスなどの情報セキュリティの緊急情報の発信やウイルス発見・被害の受け付けを行っている独立行政法人であることを知っている人、特定の企業・団体を狙う標的型メール攻撃が急増していることを知っている人など、セキュリティ分野の知識が豊富な人ほど、「報告書」のPDFファイルをつい開いてしまうのではないだろうか。
これらのメールは、組織内サーバーからの情報の窃取を目的に、特定の企業・団体の勤務者に送られてきた標的型メール攻撃の実例である(一部は抜粋・推定・変更)。
前者は2010年6月1日に、セキュリティ事象への対応を行う一般社団法人、JPCERTコーディネーションセンター(JPCERT/CC)が注意を喚起した例だ。添付された圧縮ファイルを解凍すると、Wordファイルに偽装されたスクリプトファイルが展開され、それをクリックすると、「VIRUS/悪性スクリプトの調査」という無害のWord文書が表示され、その背後でウイルス(マルウエア)がPCへの感染活動を開始する。
トレンドマイクロの分析によると、スクリプトファイルをWordファイルに見せかけるために、ファイル名に「RLO(Right-to-Left Override)」と呼ぶ制御コードを埋め込んで拡張子を偽装していた。IPAなどが2011年9月以降に急増していることを警告している手口である(参考記事)。
後者のメールは、2008年4月に政府関係組織に送られたもの(出典:IPAテクニカルウォッチ 標的型攻撃メールの分析に関するレポート)。セキュリティ対策機関であるIPAを詐称することで、受信者に積極的に添付ファイルを開かせることを狙っている。添付されたPDFファイルは、Adobe ReaderとAcrobatの既知のぜい弱性を突くものだった。
