前回、「電子メールを使ってトロイの木馬に感染させる標的型攻撃」の特徴を、英NISCCの資料から拾っていった。今回はその補足から始めたい。

この攻撃の特長のひとつに、次の点があった。

• トロイの木馬を混入させるファイルは、文書ファイル、データベースファイル、実行可能ファイル(.exe)、ヘルプファイル(.chm)、そして圧縮ファイル(.zipないし.rar)である。また、ファイルを開くと既知の脆弱性が悪用され、最終的にトロイの木馬に感染してしまうこともある

標的型攻撃が指摘され始めた2005年半ば、"Targeted Trojan-horse attacks hitting U.S., worldwide"という記事が掲載された。この記事では、米Symantecが、アメリカ政府機関に対して行われた標的型攻撃の一類型とおぼしき検体を発見したことを伝えている。検体は「Trojan.Mdropper.B」と「Trojan.Riler.C」。確かに、Trojan.Mdropper.BはMS03-050というWordの既知の脆弱性を悪用しているため、上記の特徴にあてはまるだろう。

米LURHQの資料から、標的型攻撃の特徴を検証

ここまで資料を使って標的型攻撃を説明してきた。そこで、ダメ押しでもうひとつの資料を参照しよう。米国にLURHQというマネージドサービスプロバイダ(MSS)企業がある。ここに勤務しているJoe Stewart氏の資料(PDF)は、標的型攻撃を知る上で非常に興味深い。

この資料では「Myfip」のように、「.pdf」「.doc」といった拡張子を持つファイルを盗み出すウイルスが標的型攻撃に用いられたのだと指摘している。加えて、拡張子の偽装というソーシャルエンジニアリング手法にも触れている。これらの手法については、日本でもAntinnyのようなウイルスに感染する事故が多発したことから、認識と対策はたやすいかもしれない。

特に着目したいのは9スライド目と10スライド目である。

9スライド目にはこうある。「2005年1月から、政府および軍関連のアドレスへMS03-050を悪用するトロイの木馬ファイルが到着し始める」。そしてスライド下部にはWordファイルのバイナリデータが表示されており、その中に"Titan"という文字列が含まれていることがわかる。つまり、これはトロイの木馬が含まれるWordファイルをダンプすると、"Titan"という文字列が出てくるということを示唆している。

そして10スライド目である。ここには、Titan Rainの一事例と思しき電子メールのスクリーンショットが示されている。これがおそらく、同氏が入手したTitan Rainのゲンブツなのであろう。Henry L. Stimson Centerは米国内外の安全保障問題に関し、現実に即した解決策を提供することを目的としたアナリストコミュニティであり、実在する研究機関だ。つまり、この電子メールは同組織から送信されたということを装い、受信者に添付ファイルを開かせようとするのである。これは前回説明した、

• 電子メールのSubject:行を、受信者の関心を惹くニュース記事にするといったソーシャルエンジニアリング手法が用いられることがしばしばある。そして政府機関や通信社といった信頼できる組織から送信された電子メールを装うことで、受信者を騙す

という特徴そのものにあてはまるではないか。

攻撃側に技術的進歩が見られる

ここで、ひとつ疑問が残る。

これまで挙げた2005年当時の資料は、既知の脆弱性を悪用したトロイの木馬を、実際の攻撃に利用していることについて触れている。しかし、本稿執筆時点で、0-day Exploitを悪用した標的型攻撃について報道があったのは、このシリーズの初回に紹介した通りである。

つまり、標的型攻撃を仕掛ける側に技術的進歩がみてとれるのである。

既知の脆弱性を再現することはさほど難しいことではない。しかし、1から脆弱性を発見し、それを転用して実際に攻撃することは、高いスキルと経験が要求されるのだ。どのようにして技術的進歩がなされているのか? 次回はその理由について説明していきたい。