トレンドマイクロは6月30日、「中東呼吸器症候群(MERS)」の発生に関連するニュースに便乗して、日本の大手メディア企業の社員に標的型メールを送信した標的型サイバー攻撃が確認されたことを、同社の公式ブログで公表した。

同社によると、攻撃者は、Yahoo!メールの無料アカウントを利用し、セキュリティ対策製品を回避し、インターネット上で公開されている話題を電子メールのヘッダや添付されたファイル名に利用して、受信者にメールを開封させようとした。日本のメディア企業の社員に送信された標的型メールの件名は「Fw:中東呼吸器症候群(MERS)の予防」、添付ファイルは「中東呼吸器症候群(MERS)の予防.7z」となっていた。

日本のメディア企業社員に送信された「MERS」に関する標的型メール

この標的型メールには、Microsoftのオンライン・ヘルプのファイル形式であるCHMファイルを含む圧縮ファイルが添付。このファイルにより、人気の情報サイトからMERSに関連するWebページが表示されるが、実際には、バックドア型不正プログラムがダウンロードされるよう仕掛けられていた。このファイル「ZXSHELL」は、標的型サイバー攻撃で頻繁に利用されるバックドア型不正プログラムだ。

このバックドア型不正プログラムは感染PCに常駐し、攻撃者から送信されるコマンドを実行するために待機する。また、侵入したネットワーク内の個人情報を検索するために利用される可能性もある。このように、サイバー犯罪で脅威を拡散したり、標的型サイバー攻撃を実行したりするためにCHMファイルを利用することは、攻撃者に好まれる手法になっているという。組み込まれた不正なコードが実行されない限り、CHMファイルは正規のファイルであるため、Windowsのセキュリティ対策を回避できる。

トレンドマイクロでは、今回の攻撃は、オンラインビデオゲーム産業を狙った標的型サイバー攻撃で古くから知られている攻撃者グループ「WINNTI」によって実行された攻撃とさまざまな点で類似していると見ており、この攻撃を明らかにする証拠についてさらに調査中だという。

同社は、攻撃者がこうした企業を狙う動機は、メディアやエンターテイメント企業がネットワーク上に保存していると思われる大量の個人情報だと考えている。