サイバー攻撃は日々高度化、複雑化しており、想像もつかないような手口で私たちをだまそうとしてきます。今回はJPCERT/CCが注意喚起している奇妙な攻撃について紹介します。
この記事は会員限定です。会員登録すると全てご覧いただけます。
サイバーセキュリティにおいては、「知る」ということが非常に重要な防御策になる場合があります。あらかじめサイバー攻撃の手口を知っていれば、何らかの攻撃が仕掛けられた際に「これ前に予習したやつだ!」と気が付けるかもしれません。例を挙げると、今では多くの人が「振り込め詐欺」を知っているので、そのような人たちに対して「オレだよ!」と電話をかけたとしても、成功する確率は低いでしょう。
そのため今回は読者の皆さんに知っておいてほしい、JPCERTコーディネーションセンター(以下、JPCERT/CC)が発表したサイバー攻撃手口と、攻撃者の“狙い”を紹介しましょう。
JPCERT/CCが今回注意喚起している手法は「MalDoc in PDF」と呼ばれるものです。これは一見すると何も不自然なことはない、見た目が「Microsoft Word」(以下、Word)のファイルで、クリックするとWordが開き、「マクロを実行するか?」と聞かれ、実行を許可してしまうと不正な行動をするという、いわゆるマクロを使ったウイルスファイルです。
これは従来通り「インターネットや電子メール添付からダウンロードしたWord文書のマクロを不用意に実行しない」という対策で防げるのですが、ある特殊な細工が施されています。
公開された動画を見れば分かるのですが、このファイルの中身を見てみると、ファイルそのものの特徴(マジックナンバーと呼ばれる、ファイルのヘッダ部分先頭に記載されたバイナリ列)はPDFを示しています。つまり特徴だけを見ればこのファイルはWord文書ではなく、PDFファイルだと言えます。
問題はこのファイルを人間が見たときと、機械が見たときで全く異なるものになるという点です。多くの組織では「Emotet」のようなマクロを起点とするマルウェアに対し、メールサーバで添付ファイルをスキャンし、「マクロが付いたMicrosoft Office文書をフィルターする」という対策を講じているかと思います。そのときスキャンするプログラムが今回のファイルをチェックすると、「PDF」だと判断されて検知をスルーされてしまうでしょう。
しかし従業員からすれば、このファイルは普通のWord文書にしか見えませんし、挙動もWord文書そのものです。従業員が気を付けてマクロを起動させなければ最終的には感染を防げるのですが、かつてのEmotetの爆発的な感染状況を考えると、その最後の砦だけで守ることは困難かもしれません。
個人的には、見た目も挙動も一致しているのに、機械が見るときだけは異なるものに見せるという手法は、地味ながら効果が高いため、実際に知識として知っておかなければ対策が難しいと思っています。
今回の注意喚起で思い出すのは、2023年4月に発生した豊田市の個人情報(電子メールアドレス)の流出インシデントです。これは従業員が送った電子メールの宛先を、本来BccにすべきものがToになっていたという、よくある事象です。
報道によると、豊田市は本来、誤送信対策用に「強制BCCシステム」を導入していたはずでしたが、システムのライセンスが更新されなかったため、これが失効してToに登録したメールがそのまま送信されてしまったそうです。恐らく、従業員もシステムが動かないことを想定できず、普段通りシステムが動いている前提で、強制Bccシステムに運用を任せていたのだと推察されます。
セキュリティソリューションは“動いて当たり前”だと思われがちですが、システム運用担当者や情報システム部門は、こうした事例を踏まえて、ソリューションが止まっていたり、ソリューションがカバーしきれない可能性があったりするケースをある程度想定しておく必要があるでしょう。
万が一ソリューションのライセンスが切れた場合の挙動はどうなっているのかを調べたり、フィルターや検知がすり抜けた場合、次に取るべき手段について事前に調査したりすることがインシデント防止には重要です。
そのためには、まずは注意喚起やさまざまなインシデント報告に目を通すという、地味な作業から始めましょう。これをやるだけで自社のセキュリティ対策のレベルは格段に高まるはずです。
しかしそれでも不測の事態は起きてしまうでしょう。想定をはるかに超えるトリッキーな攻撃や不具合に遭遇したときは、逆に「発信側」となれば、他の企業が同じような被害を事前に防げるようになります。
情報を集めることもセキュリティにおいては重要な業務の一つだと思います。「気が付いたらセキュリティリサーチャーになっていた」という方が増えれば、サイバー空間はより安全になっていくはずです。
Copyright © ITmedia, Inc. All Rights Reserved.