企業をだました1通のメールとは――防衛機密を狙った攻撃の発端が判明

RSAのシステムから盗み出した情報を使ってLockheed Martinのシステムに攻撃が仕掛けられた問題で、事件の発端となった1通の電子メールと添付ファイルが見つかった。

[鈴木聖子，ITmedia]

　米EMCのセキュリティ部門RSAのシステムから2要素認証製品「SecurID」の情報が盗まれ、この情報を使って防衛大手Lockheed Martinのシステムに大規模なサイバー攻撃が仕掛けられた事件で、F-Secureは8月26日、一連の攻撃の発端となった電子メールを発見したとブログで報告した。

　RSAは今年3月にSecurIDの情報が盗まれたことを明らかにし、Lockheed Martinは5月になって、情報システムネットワークが大規模で執拗な攻撃を受けたと発表。RSAは自社から盗まれた情報がLockheedに対する攻撃に使われたことを6月に確認した。

　攻撃の発端が、EMCの従業員にあてたメールだったことは4月の時点で判明していたが、そのメールと添付ファイル自体はこれまで見つかっていなかったという。しかし攻撃発生から５カ月が経って、F-Secureの研究者が膨大な量のマルウェアサンプルの中から問題のメールを探し当てた。

　F-Secureによれば、問題のメールは3月3日付でEMCの従業員あてに送られ、「2011 Recruitment plan.xls」というファイルが添付してあった。件名にも「2011 Recruitment plan」（2011採用計画）と記載され、転職支援サイトの「Beyond.com」から届いたように見せかけてあった。

　本文は「I forward this file to you for review. Please open and view it」（ご参考までにこのファイルを転送します。開いてご覧ください）という1文のみで、ファイルを開くとスプレッドシートの画面が現れる。このファイルにはFlashオブジェクトが組み込まれており、それを使って当時は未解決であったFlash Playerの脆弱性を突き、システムにバックドアを開く仕掛けだった。

　攻撃側はこのバックドアを使って感染先のワークステーションやネットワークドライブにフルアクセスし、SecurIDの情報にたどり着いたとみられる。

　この事件をめぐっては、特定の国家が防衛機密を盗むためにLockheedのシステムに侵入しようとしたが、同社がRSAのSecurIDトークンを使っていたため侵入できず、まずRSAを狙ったとの説が出回っているという。

　攻撃に使われた電子メールやバックドア自体はそれほど高度なものではなかったとF-Secureは言う。しかし、「その顧客のシステムにアクセスするためにセキュリティベンダーをハッキングする者がいるとすれば、たとえ途中経過はそれほど手が込んでいなかったとしても、その攻撃は高度なものといえる」と解説している。