-仮想体験デモ(1)-
更新日:2009年3月23日
標的型攻撃という用語が広がり始めたのは2005年頃で、おそらくUS-CERTが発行した「TA05-189A: Targeted Trojan Email Attacks」という注意喚起がきっかけだったと思います。2007年以降、国内でも標的型攻撃に関する調査報告がではじめたことにより、身近な用語となってきました。
ただ、用語を知っていても、あまり実感がわかないのも事実です。 そこで、HIRT-PUB09002では、「ウイルス添付メールの今と昔」と題し、ウイルス添付メールの受信者の視点から、標的型攻撃を紹介したいと思います。
「ウイルス添付メールの今」として、2008年に確認されたTROJ_PIDIEF.DUを取り上げます。また、「ウイルス添付メールの昔」として、2000年に流布したVBS/Loveletterウイルスと2004年に流布したW32 /Netskyウイルスを取り上げます。
コンピュータセキュリティシンポジウム2008(CSS2008)のCFP(Call For Paper:論文募集)を装ったメールに、TROJ_PIDIEF.DUが仕掛けられたPDFファイルが添付され、関係者に対して送信されました。
電子メールの件名(ILOVEYOU.)と内容(kindly check the attached LOVELETTER coming from me.)は、思わず添付ファイルを開きたくなるような興味を引く内容となっています。また、添付ファイルは、拡張子vbs(Visual Basicのスクリプトファイル)の前にtxtが付加された二重拡張子となっています。
W32/BagleとW/32Netskyは、互いに開発を競い、亜種出現量は多いときで双方合わせて約30種件/月(2004年3月)でした。主にpif(MS-DOS アプリケーションへのショートカット)という拡張子の付いたファイルが添付されていました。
では、これら3つのウイルスをメール受信画面、感染後の活動で比較してみましょう(表1)。
| ウイルス添付メールの今 いわゆる標的型攻撃 |
ウイルス添付メールの昔 いわゆる無差別攻撃 |
|
|---|---|---|
| 該当 ウイルス | TROJ_PIDIEF.DU (2008年) | VBS/Loveletterウイルス (2000年) W32/Netskyウイルス (2004年) |
| メール 受信画面 | ||
| 感染後の 活動 | 攻撃者が用意したサーバから有害なプログラム等をダウンロードしたり、情報をアップロードする。 | 自分自身の分身を多数作成するために、ウイルス添付メールを大量に送信する。 |
標的型攻撃は、特定の組織あるいはグループを攻撃対象とした活動と解説されています。これをウイルス添付メールにあてはめてみると、、「いかにも怪しい、不審なメール」ではなく、「怪しさを感じさせない普通のメール」となるよう、攻撃対象となる組織あるいはグループにあわせた工夫をすることになります。
特定の組織や分野を狙った標的型攻撃の一例として、対応経過と検体解析結果と共に、着信したウイルスメールの仮想体験デモを提供しています。
仮想体験デモは、Flash ファイルのムービーをアニメーション GIF ファイルに変換したものを提供しています。
標的型攻撃の対策についても、実態把握に合わせて整備されつつあります。多くの調査報告が、「不審なメール」という用語を使って注意喚起を促していますが、実際に標的型攻撃で利用されるメールは、コンピュータセキュリティシンポジウム2008(CSS2008)のCFPを装ったメールを見る限り、怪しさを感じさせない普通のメールです。まずは、怪しさを感じさせない普通のメールが攻撃に利用されているという認識が対策のための第一歩として重要なのかもしれません。
寺田/HIRT
グローバルサイン:
重要な電子文書にデジタル署名。広報にも役立っています。
