シマンテックは、6月のインテリジェンスレポートを公開した。レポートでは、2012年上半期の標的型攻撃の分析や国際的な航空宇宙企業を狙った実際の標的型攻撃の実例なども紹介している。
6月の全体的な傾向
まずは、全メールに占めるスパムの割合である。5月から1.0%減少し、66.8%となった。2012年になってから、多少の増減はあるが、ほぼ同じような推移を示している。1位は、74.3%を占めたハンガリーとなった。以下、2位がサウジアラビア(73.9%)、3位がロシア(71.1%)となった。日本のスパムレベルは63.4%となり、比較的、低いレベルが続いている。
 |
図1 スパム分析(レポートより) |
6月のフィッシング活動は0.04%の増加し、467.6通に1通の割合となった。5月は増加へと転じているが、全体的に減少傾向が続いている。1位はオランダで、54.4通に1通の割合となった。2位に南アフリカ(170.9通に1通)、3位にイギリス(285.5通に1通)となった。1位のオランダの比率がやや高い数字となっている。日本では、8005.7通に1通となり、低いレベルとなった。
 |
図2 フィッシング分析(レポートより) |
メールトラフィックに占めるメール感染型ウイルスの割合は、316.5通に1通の割合となり、こちらも全体的に減少傾向にある。日本では、2372.8通に1通であった。悪質なWebサイトへのリンクが含まれたメール感染型マルウェアが27.4%となり、5月より減少がみられた。
 |
図3 マルウェア分析(レポートより) |
2012年上半期の標的型攻撃の分析
これまでも何度も指摘されてきたが、最近、標的型攻撃が多数確認されている。2012年上半期の分析結果が報告されているので、いくつか紹介したい。まずは、1日あたりの平均標的型攻撃回数である。
 |
図4 2012年上半期における1日あたりの平均標的型攻撃回数 |
2011年12月に1日あたり154回の攻撃という過去最高を記録したあと、1月は減少し、2月に元に戻った。2012年上半期の1日の平均攻撃回数は、ほぼ150前後で推移している。しかし、4月の回数が突出している。シマンテックでは、特定の1社が特に激しい攻撃を受けたとしている。ついで、攻撃対象となった業界である。
 |
図5 標的型攻撃の対象となった業種別内訳(レポートより) |
まず、目につくのは、防衛業界の1日あたりの平均攻撃回数である。シマンテックでは、これまでは政府機関と同じに分類していたが、今回から分離したとのことである。いかに、狙われているかが明白になった。2位は化学/製薬業界、3位は製造業界となった。この傾向も2011年から続くものだ。最後に、組織の規模による内訳である。
 |
図6 標的型攻撃の対象となった組織規模別内訳(レポートより) |
特徴的なこととして、多企業と小企業の二極化が進んでいる。シマンテックによれば、標的が、大企業から小企業に移行しつつあるとのことである。その理由として、小企業ほど攻撃しやすいと攻撃者が考えていると思われる。残念ながら、小企業には攻撃に対応する専任のIT技術者を配置していないことが多い。そのあたりが狙われているのであろう。
実際の攻撃例から
以下では、シマンテックが防いだという標的型攻撃の例を紹介したい。これは、国際的な航空宇宙企業を狙ったものである。一般的な標的型攻撃と同じく、悪質な添付ファイル付きの電子メールから攻撃は開始される。攻撃者は、この企業の大量のメールアドレスを入手していたとのことである(入手方法については不明)。
 |
図7 標的型攻撃に使われたメール(レポートより) |
攻撃者は、航空宇宙分野や関連部門の別の組織に属する著名な経営幹部のメールを装っている。メールは、米国の医療保険改革に関するトピック、および米国の雇用者にとってどのような影響があるのかといった内容である。一見すると米国以外では、無関係な内容である。しかし、
- 米国企業の収益に関連し、米国の顧客からの注文に影響があると思わせる
- 件名に「CLASSIFIED」(重要)という言葉を使う
- パスワードで保護され、重要な内容と思わせる
- 米国の国会議員から送られたように装う
- 添付ファイル名がトピックにあわせ「Overview of Health Reform.doc」としている
といった手口により、添付ファイルを開かせようとしている。
 |
図8 添付ファイルの内容(レポートより) |
添付ファイルを読み込むと、一瞬ファイル内容が表示されてから、Word がクラッシュする。この添付ファイルには、トロイの木馬が仕込まれており、この一瞬の間にWordの脆弱性を突き、悪質なペイロードをダウンロードする。その後、Wordを閉じて実際の本物のWordドキュメントのコピーをTempフォルダに隠す。その後、トロイの木馬がこの一時ファイルを呼び出し、何も問題がなかったかのようにファイルを開く。ここまで数秒程度しかかからず、普通のユーザーが気づく可能性は低い。侵入したトロイの木馬は、IPアドレス、ユーザー名、システム情報を収集し、リモートサーバーに送信していたとのことである。
シマンテックによると、この攻撃の目的は不明な部分も多く、実際の攻撃にも不手際があったとのことである。詳細はさらなる分析が必要となるが、たった1件のメールが侵入に成功すれば、目的は達成される。この点には注意が必要であろう。
