「偵察メール」の返信で“ウイルス発進” 2013年度の標的型攻撃事例

サイバー攻撃の情報共有化に取り組む官民連携の「J-CSIP」によれば、2013年度もメールのやりとりから国内の企業や組織に標的型攻撃を仕掛けるケースが多発した。

[國谷武史，ITmedia]

　国内企業や組織を狙うサイバー攻撃は、2012年に巧妙なメールのやりとりを通じて本格的に展開されるケースが多発したが、2013年度も引き続き「やりとり型攻撃」が頻発する状況だったという。

　情報処理推進機構（IPA）は、5月30日に公開した「J-CSIP 2013年度 活動レポート」の中で「やりとり型攻撃」に関する実例を挙げている。

　それによると、攻撃ではまず複数の組織の様々な問い合わせ窓口に対し、「製品に関する相談」や「窓口の確認」といった内容で「偵察メール」が送りつけられる。4分間で3つの窓口へ送り付けられたり、約2週間に5つの組織に対して仕掛けられたりするケースもあった。

　「偵察メール」を受信した組織が回答したケースでは、攻撃者から11分〜15分程度で「（圧縮された添付ファイルによる）ウイルス付きメール」が返信されていた。「ウイルス付きメール」を受信した組織は添付ファイルを解凍できず、その旨を回答したところ、13分後に組織で使用している解凍ソフトをたずねる返信が攻撃者から送られた。この組織が解凍ソフトについて回答すると、51分後に解凍ソフトに対応したファイルが再送されてきたという。

　また、あるケースのメールのやりとりは以下のように行われた。

順番	行為の種別	説明
1	偵察	製品に関する問い合わせとして最初のメールが着信
2	返信	窓口から回答
3	攻撃	「本研究室の資料」の送付と称し、Word文書ファイル（ウイルス）が添付されたメールが着信
4	返信	送付された文書ファイルの内容が確認できなかった旨を返信
5	攻撃	「本研究室の資料」の再送付と称し、今度はパスワード付きRAR圧縮ファイルが着信
6	返信	送付されたファイルの内容が確認できなかった旨を返信
7	偵察	「解凍ソフトは何を使用しているか」と攻撃者から質問のメールが着信
8	返信	「Lhaplusという解凍ソフトを使用した」旨を返信
9	攻撃	再度「本研究室の資料」の再送付と称し、パスワード付きRAR圧縮ファイルが着信。このファイルで「Lhaplus」で解凍可能

　IPAによれば、組織の外部向け窓口は、問い合わせや相談などに関するメールや添付ファイルの内容を確認せざるを得ず、攻撃者はこの点を突いて攻撃を仕掛けているとみられる。「偵察メール」も、短期間に複数の組織へ送信されたり、送信先がごく少数だったり、一定の期間をおいて再度送信したりするなど、パターンも一様ではない。

　また、攻撃者側は直ちにメールやウイルスを送受信できる体制で攻撃を実行し、日本語によるコミュニケーションや慣習に沿った巧妙な手口を駆使する。攻撃を通じて学習し、手口を高度化させているという。

　このレポートは、IPAや経済産業省、セキュリティ機関と産業界の企業などが2012年4月に設立した「サイバー情報共有イニシアティブ（J-CSIP）」の活動をまとめたもの。J-CSIPは、通常では外部に公表されることが少ない組織が受けたサイバー攻撃などの詳細情報について、組織名を匿名化するなどして共有している。

　2013年度は参加組織が5業界46組織に増加。385件の情報が提供され、うち180件をJ-CSIP内で共有した。発足初年度の2012年度は39組織から246件の情報提供があり、うち160件の情報を共有している。

　また、ウイルス感染した端末が接続する先では国内の割合が7％から28％に急増した。これは、国内の正規サイトが改ざんなどによって攻撃者の踏み台させられていた可能性があるという。

不正接続先の地域別割合（出典：IPA）

　攻撃メールに添付されるファイルの種類は、Office文書ファイルが45％から8％に低下した一方、2012年度にはみられなかった「ジャストシステム文書ファイル」や「ショートカット（LNK）ファイル」が観測された。攻撃メールの送信元では86％がフリーメールを使用していた。フリーメールの添付ファイルやURLリンクを開らかなければ、多くの攻撃を回避できた状況だったとしている。

送信元メールアドレスの種別割合（同）