“地味に嫌な”サイバー攻撃の手口が流行の兆し まずは知ることから始めよう:半径300メートルのIT
サイバー攻撃は日々高度化、複雑化しており、想像もつかないような手口で私たちをだまそうとしてきます。今回はJPCERT/CCが注意喚起している奇妙な攻撃について紹介します。
サイバーセキュリティにおいては、「知る」ということが非常に重要な防御策になる場合があります。あらかじめサイバー攻撃の手口を知っていれば、何らかの攻撃が仕掛けられた際に「これ前に予習したやつだ!」と気が付けるかもしれません。例を挙げると、今では多くの人が「振り込め詐欺」を知っているので、そのような人たちに対して「オレだよ!」と電話をかけたとしても、成功する確率は低いでしょう。
そのため今回は読者の皆さんに知っておいてほしい、JPCERTコーディネーションセンター(以下、JPCERT/CC)が発表したサイバー攻撃手口と、攻撃者の“狙い”を紹介しましょう。
アイコンはdocx、挙動もdocxなのに不思議なファイル
JPCERT/CCが今回注意喚起している手法は「MalDoc in PDF」と呼ばれるものです。これは一見すると何も不自然なことはない、見た目が「Microsoft Word」(以下、Word)のファイルで、クリックするとWordが開き、「マクロを実行するか?」と聞かれ、実行を許可してしまうと不正な行動をするという、いわゆるマクロを使ったウイルスファイルです。
これは従来通り「インターネットや電子メール添付からダウンロードしたWord文書のマクロを不用意に実行しない」という対策で防げるのですが、ある特殊な細工が施されています。
公開された動画を見れば分かるのですが、このファイルの中身を見てみると、ファイルそのものの特徴(マジックナンバーと呼ばれる、ファイルのヘッダ部分先頭に記載されたバイナリ列)はPDFを示しています。つまり特徴だけを見ればこのファイルはWord文書ではなく、PDFファイルだと言えます。
問題はこのファイルを人間が見たときと、機械が見たときで全く異なるものになるという点です。多くの組織では「Emotet」のようなマクロを起点とするマルウェアに対し、メールサーバで添付ファイルをスキャンし、「マクロが付いたMicrosoft Office文書をフィルターする」という対策を講じているかと思います。そのときスキャンするプログラムが今回のファイルをチェックすると、「PDF」だと判断されて検知をスルーされてしまうでしょう。
しかし従業員からすれば、このファイルは普通のWord文書にしか見えませんし、挙動もWord文書そのものです。従業員が気を付けてマクロを起動させなければ最終的には感染を防げるのですが、かつてのEmotetの爆発的な感染状況を考えると、その最後の砦だけで守ることは困難かもしれません。
個人的には、見た目も挙動も一致しているのに、機械が見るときだけは異なるものに見せるという手法は、地味ながら効果が高いため、実際に知識として知っておかなければ対策が難しいと思っています。
ソリューション導入後の“異常”を把握できますか?
今回の注意喚起で思い出すのは、2023年4月に発生した豊田市の個人情報(電子メールアドレス)の流出インシデントです。これは従業員が送った電子メールの宛先を、本来BccにすべきものがToになっていたという、よくある事象です。
報道によると、豊田市は本来、誤送信対策用に「強制BCCシステム」を導入していたはずでしたが、システムのライセンスが更新されなかったため、これが失効してToに登録したメールがそのまま送信されてしまったそうです。恐らく、従業員もシステムが動かないことを想定できず、普段通りシステムが動いている前提で、強制Bccシステムに運用を任せていたのだと推察されます。
セキュリティソリューションは“動いて当たり前”だと思われがちですが、システム運用担当者や情報システム部門は、こうした事例を踏まえて、ソリューションが止まっていたり、ソリューションがカバーしきれない可能性があったりするケースをある程度想定しておく必要があるでしょう。
万が一ソリューションのライセンスが切れた場合の挙動はどうなっているのかを調べたり、フィルターや検知がすり抜けた場合、次に取るべき手段について事前に調査したりすることがインシデント防止には重要です。
そのためには、まずは注意喚起やさまざまなインシデント報告に目を通すという、地味な作業から始めましょう。これをやるだけで自社のセキュリティ対策のレベルは格段に高まるはずです。
しかしそれでも不測の事態は起きてしまうでしょう。想定をはるかに超えるトリッキーな攻撃や不具合に遭遇したときは、逆に「発信側」となれば、他の企業が同じような被害を事前に防げるようになります。
情報を集めることもセキュリティにおいては重要な業務の一つだと思います。「気が付いたらセキュリティリサーチャーになっていた」という方が増えれば、サイバー空間はより安全になっていくはずです。
関連記事
- 中小企業がゼロから始めるセキュリティ対策 ココだけは死守したい3つのリスク
サプライチェーン攻撃が激化している今、予算やリソースに余裕がない中小企業はこれにどう立ち向かうべきか。中小企業のセキュリティインシデント被害事例と、実態に即した対策を川口設計の川口 洋氏が語った。 - GRIPS発の「インシデント報告書」は赤裸々に語られた“生きた事例”の宝庫だった
政策研究大学院大学(GRIPS)が不正アクセス被害に関する調査報告書を公開しました。侵害の経緯から原因、対策までを生々しくかつ非常に詳細にまとめています。セキュリティ担当者“必読の書”のポイントをまとめました。 - AIがセキュリティの常識を変える 今のままじゃあなたも被害に遭うかもしれないワケ
AIの進化でさまざまな業務を効率的に行えるようになってきていますが、同じ変化はサイバー攻撃者にも起きています。これまでと同じ感覚ではあなたが被害に遭うかもしれません。 - Emotetが活動再開 対策する前にチェックすべき“組織の仕組み”とは?
複数のセキュリティベンダーがマルウェアEmotetの活動再開を報じています。今回も新たな攻撃手法を駆使しているらしく十分な警戒が必要ですが、対策を講じる前にあらためてチェックしておくべき項目を紹介しましょう。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.