IPAをかたる偽メールの特徴と対策指南：ユーザーを巧みに信用させる

IPAは、2008年春に見つかったIPAをかたる偽メールとウイルス感染について解説。ソーシャルエンジニアリング攻撃に対処する事例として紹介している。

[ITmedia]

　情報処理推進機構（IPA）は、2008年春に発見された同機構をかたる偽メールとウイルス感染をモデルケースに、ソーシャルエンジニアリング攻撃への対処方法について解説している。

　発見された偽メールはIPAのドメイン名に偽装して送信され、件名に「セキュリティ調査報告」と付けられていた。本文にはセキュリティの脅威動向を解説する文面とPDFファイルが添付され、署名にIPAの住所や電話番号などが記載されていた。

　これらの内容を一見しただけでは偽メールに気づくのが難しく、受信者に「IPAからセキュリティ情報を提供された」と思い込ませるための細工が凝らされている。IPAでは、こうした手口に代表されるユーザーをだますためのソーシャルエンジニアリング型攻撃が増加傾向にあるとしている。

　IPAをかたった攻撃では、添付のPDFファイルを通じてマルウェアに感染させるのが狙いとみられる。添付ファイルには、不正な内容が記述されてZlip圧縮されたJavaScriptとマルウェア本体、これらを偽装するためのPDFデータが同梱され、Adobe Readerの脆弱性を悪用してコードを実行する仕掛けになっていた。

　Adobe Readerの脆弱性を解消していない受信者のマシンでは、マルウェアが攻撃者の指定するコードを実行するほか、ファイル情報や特定のファイル内容の盗聴と攻撃者への転送、任意ファイルの削除、攻撃者側のサーバから異なる不正プログラムをダウンロード実行するといった活動をしていた。

　一般的なマルウェアは攻撃者のサーバとの通信にIRCなどを使用するが、このケースではHTTPを利用しており、ファイアウォールやフィルタリングなどの対策を回避するようになっていた。

　今回のケースにおける対策として、IPAではシステム利用者と管理者向けの内容をそれぞれ紹介している。

　利用者に対しては、脆弱性を解消したAdobe Readerの最新版を利用することや、Microsoft Windows XP SP2以降に実装されている「DEP」（Data Execution Prevention）機能を使用して、メモリ破壊に起因する脆弱性を悪用する不正なコード実行を阻止する（ただしハードウェア側も対応している場合のみ）。Adobe ReaderでのJavaScript使用をオフにすることを挙げている。

　システム管理者には、HTTP Proxyサーバを利用してマルウェアが接続を試みる「haiyo.sunsharp.net」「haiyo.livecheck.org」へのアクセスログがあるかを確認する。ユーザー認証を強制して不正な通信を遮断するなどを挙げている。これらの対策は有効性が高いが、確実に防御できるものではないという。

　初期段階でソーシャルエンジニアリング攻撃を見破るのは難しい可能性があるが、今回をモデルケースにソーシャルエンジニアリング攻撃への理解と対策意識を持ってほしいと呼び掛けている。

過去のセキュリティニュース一覧はこちら