見えてきた! 海外から国内医療機関を狙うサイバー攻撃者集団の「横顔」

[2017/05/08 11:05]小池 晃臣 ブックマーク ブックマーク

見破るのが困難な「ファイル名の偽装」

ここで政本氏は、日本年金機構を狙ったサイバー攻撃グループが、ほかの組織へと送った標的型攻撃メールの内容を紹介した。標的型攻撃メールでは、GmailやYahoo! などのフリーメールアドレスが送信元としてよく使われるという。そして、この事例では、標的型攻撃メールが送信される2週間前に実際に行われた委員会の名前がファイル名に含まれたZIP形式の圧縮ファイルが添付されていた。

この添付ファイルを解凍すると、ドキュメントファイルかのようにアイコンを偽装したRARの自己解凍形式(exe)のファイルが並び、これが「ドロッパー」と呼ばれる。そして、このドロッパーをクリックすると「おとりファイル」が開かれると同時に、RAT(Remote Access Trojan/Tool)と呼ばれるトロイの遠隔操作ツールの1つ「Emdivi」がインストールされる仕組みになっていた。ちなみにおとりファイルは、本物の議事録だったという。

このケースを引き合いにして政本氏は、ファイル名偽装のいくかのパターンを紹介した。まず拡張子が「exe」のファイルは実行ファイルであるため、比較的誰にでもマルウェアの感染リスクが大きいことがわかりやすい。

次に拡張子「scr」はスクリーンセーバーのファイルに使われるもので、実質はexe同様の実行ファイルなので、やはり危険だ。

一方、拡張子「txt」だが、この拡張子のファイルはテキストファイルなので通常は開いても安全だと言える。しかし、一見すると拡張子が「txt」に見えるものの、実はtxtの後に数多くのスペースが隠されていて、末尾はexeになっているという偽装の手口もあるので注意が必要だ。

また、ファイル名は「*.txt」となっていても、内部に左右を反転させる制御文字が挟んである場合もあり、これも危険である。この制御文字は、右側から読むアラビア文字の表現に使われるものだ。

そして、アイコン内に矢印のあるショートカットファイルも、標的型攻撃でよく用いられる手段となっているという。通常、こうしたショートカットファイルはローカルファイルのどこかにリンクされるのだが、攻撃者のサーバからexeファイルをダウンロードして実行するようなPower Shellスクリプトが埋め込まれていることがあるのだ。

「結局、人間が一番脆弱ということでしょう。自分も忙しいときなどは、こうした偽装ファイルのどれかをうっかり開いてしまうかもしれません。だとすれば、開いてしまった人間を責めるのではなく、開いてしまうことを前提にした対策が必要になってきます。つまり、誰かがマルウェアに感染したとしても、いち早く検出できるような仕組みが求められているのです」と、政本氏は強く訴えた。

※ 本記事は掲載時点の情報であり、最新のものとは異なる場合がございます。予めご了承ください。

もっと知りたい!こちらもオススメ

医療の効率化にITを生かせ! カギは「近すぎる距離」の再考

医療の効率化にITを生かせ! カギは「近すぎる距離」の再考

4月19日~21日に都内にて開催された「ヘルスケアIT 2017」のセミナーでは、多摩大学 大学院 教授 真野俊樹氏が登壇。「医療ICTの状況:海外事例を踏まえて ~『患者』『アクセス改善』という視点で考える~」と題した講演を行った。

関連リンク

この記事に興味を持ったら"いいね!"を Click
Facebook で IT Search+ の人気記事をお届けします
注目の特集/連載
[解説動画] Googleアナリティクス分析&活用講座 - Webサイト改善の正しい考え方
[解説動画] 個人の業務効率化術 - 短時間集中はこうして作る
ミッションステートメント
教えてカナコさん! これならわかるAI入門
知りたい! カナコさん 皆で話そうAIのコト
対話システムをつくろう! Python超入門
Kubernetes入門
AWSで作るクラウドネイティブアプリケーションの基本
PowerShell Core入門
徹底研究! ハイブリッドクラウド
マイナビニュース スペシャルセミナー 講演レポート/当日講演資料 まとめ
セキュリティアワード特設ページ

一覧はこちら

今注目のIT用語の意味を事典でチェック!

一覧はこちら

会員登録(無料)

ページの先頭に戻る