情報処理推進機構(IPA)は1月30日、2012年10月から2013年12月までに情報提供のあった124種類の「特定の企業や組織、個人に特化した攻撃に使われる標的型攻撃メール」を分析した技術レポート「標的型攻撃メールの傾向と事例分析<2013年>」をWebサイトで公開した。
IPAでは、近年の標的型攻撃メールによる機密情報の漏えいなど、深刻な被害の問題化を受け、2008年9月より標的型攻撃メールの届出受付を開始。2011年10月からは「標的型サイバー攻撃特別相談窓口」を開設し、標的型攻撃メールの情報提供受付や相談対応を実施している。
標的型攻撃メールの場合、その手口を共有することで被害を未然に防げる場合がある。そこでIPAでは、標的型攻撃メールの分析を行い、対策に役立つ傾向、気づき方のノウハウ、対応方法などについてのレポートを公開してきた。今回のテクニカルウォッチでは、2012年10月から2013年12月までに「標的型サイバー攻撃特別相談窓口」へ提供された77件の情報から入手した124種類の標的型攻撃メールの分析を行ったものだ。
|
偽装された送信元。官公庁と一般企業で合わせて4分の3近くを占める |
標的型攻撃メールの新たな特徴として、ショートカットファイルを細工して文書ファイルなどに見せかけたものを添付する手法があげられる。ショートカットファイルを用いたウイルスはこれまでも存在したが、標的型攻撃メールに用いられた事例をIPAが確認したのは2013年に入ってからのことで、全体に占める割合は7%であった。
このショートカットファイルを開封すると、埋め込まれたスクリプトコードが実行され、ウイルスに感染する。このウイルスは、感染したコンピュータのバックドアを開け、「RAT」という別のウイルスを取り込み、さらにこのRATが別のバックドアを開けるなど、諜報活動のための仕掛けを多数設けることが特徴であった。
また、今までの標的型攻撃メールとの違いは、最初からRATを添付してメールで送りつけるのではなく、あとから取り込むことで、気づかれにくく確実に諜報活動を行うことができるという点である。
IPAでは、施されている仕掛けが巧妙であることから、今後このタイプの攻撃メールの増加が懸念されるとしている。
|
ショートカットファイルの送信はまだ7%程度 |
