2012年の標的型メール攻撃は1009件、手口の巧妙化も進む――警察庁

警察庁が発表した2012年のサイバー攻撃概況によれば、組織の機密情報を狙って巧妙な手口でターゲットに近づく傾向が増している。

[ITmedia]

標的型メール攻撃に使用された不正プログラムなどの接続先（出典：警察庁）

　警察庁は2月28日、2012年のサイバー攻撃概況に関する結果を発表した。企業などに送り付けられた標的型メール攻撃は1009件に達し、「やりとり型」の手口を使う傾向がみられたとしている。

　それによると、標的型メール攻撃は上半期に552件、下半期に457件発生した。攻撃に使われた不正プログラムなどが接続する先（攻撃者サーバなど）は、米国が約26％と最も多く、中国（約21％）や日本（約20％）を合わせた3カ国で全体の3分の2以上を占めた。

　攻撃の手口では最初から標的型メールを送り付けるのではなく、業務関連など“自然な”状況を装う内容でターゲットに近づき、その後に標的型メールを送り付ける「やりとり型」が確認された。

　またハッカー集団「Anonymous」などによるDDoS（分散型サービス妨害）攻撃や、尖閣諸島問題に便乗したとみられるWebサイト改ざんなどの攻撃も多発した。

　警察庁は下半期にみられた標的型メール攻撃の手口も紹介している。

手口1：「やりとり型」の標的型メール攻撃事案その1

• 最初から標的型メールを送付するのではなく、11月、まずは不正行為に関する告発を装ってWebサイトに公開されているメールアドレスに問い合わせを行い、これに回答した担当者のメールアドレスに対し、同日、告発に関する文書の送付を装って標的型メールを送付してきたもの
• 不正プログラムを仕込んだファイルは圧縮されてパスワードロックされており、展開（解凍）して生成される画像ファイルはRLO機能を利用してWordファイルに偽装されていた
• 攻撃者は、架空の日本人名でフリーメールに登録し、当該メールアドレスを利用して、一連のメールを送付していたが、当該メールアドレスから他の重要インフラ事業者等にも標的型メールが送付されていたことから、当該事業者などに注意喚起を行った

手口2：「やりとり型」の標的型メール攻撃事案その2

• 最初から標的型メールを送付するのではなく、11月、まずは採用希望者を装ってWebサイトから問い合わせを行い、これに回答した採用担当者のメールアドレスに対し、履歴書等の送付を装って標的型メールを送付してきたもの
• 不正プログラムを仕込んだファイルは圧縮されてパスワードロックされており、当初、パスワードが分からなかった採用担当者が送信者にパスワードを尋ねるメールを送付したところ、パスワードを教示するメールが返信されて来るなど、複数回のやりとりが行われていた
• 採用希望者を装って標的型メールを送付する事例は他にも見られ、添付ファイルを開くと、実際の履歴書を装った文書が表示される一方で、コンピュータが不正プログラムに感染する事例も把握

手口3：国内外の情勢を捉えた標的型メール攻撃事案その1

• 12月、政権交代のタイミングで、複数の民間事業者等に対し、内閣総理大臣就任記者会見に関するお知らせを装った標的型メールが送付されたことを把握
• 政府機関になりすまし、内閣総理大臣就任記者会見に関する報道機関向けのプレスリリースの文章を利用して本文と添付ファイルが作成されている
• 不正プログラムを仕込んだファイルは圧縮してパスワードロックされており、パスワードは本文に記載されていた。ウイルス対策ソフトによる検知を回避する目的と推測される
• ただし、ファイルの圧縮にrar形式が用いられているほか、不正プログラムを仕込んだ文書ファイルにより表示される文章のフォントが中国語フォントとなっている

手口4：国内外の情勢を捉えた標的型メール攻撃事案その2

• 10月、尖閣諸島をめぐる情勢に世論の関心が高まる中、政府機関職員になりすまし、「尖閣諸島の領有権についての基本見解」と題した標的型メールが送付されたことを把握
• 警察では、他の複数の民間事業者などに対し、接続先や接続時のパスワードが一致する不正プログラムを使用した他の標的型メール攻撃が行われていることを把握しており、これらの標的型メール攻撃については、同一または同じグループの攻撃者が行っていると推測される。共通する特徴は、本文や添付ファイルに政府機関との関連を装った内容が多く、政府関係の業務をしている（または過去にしていた）民間事業者などの職員に送付されている点である