PR
図1 ウイルス配布サイトへのリンクを記載している標的型攻撃メールと、ウイルスを添付している標的型メールの件数の推移。ファイア・アイの発表資料から引用
図1 ウイルス配布サイトへのリンクを記載している標的型攻撃メールと、ウイルスを添付している標的型メールの件数の推移。ファイア・アイの発表資料から引用
[画像のクリックで拡大表示]
図2 標的型攻撃メールに記載されていたURL(ドメイン)の数と、使われた回数の関係。ファイア・アイの発表資料から引用。1回しか使われないURLは900件以上に上っている
図2 標的型攻撃メールに記載されていたURL(ドメイン)の数と、使われた回数の関係。ファイア・アイの発表資料から引用。1回しか使われないURLは900件以上に上っている
[画像のクリックで拡大表示]

 セキュリティ企業のファイア・アイは2013年8月8日、同社の調査結果を基に、標的型攻撃の現状を解説した。最近では、標的型攻撃に使われるWebサイトの多くは、1回しか使われない“使い捨て”になっているという。

 標的型攻撃とは、特定の企業や組織を狙って行われるサイバー攻撃のこと。攻撃者は、標的とした企業や組織の従業員に対して、ウイルス添付メールを送信する。ウイルスを配布するような悪質サイトのリンク(URL)が記載されている場合もある。ウイルス配布サイトには、ソフトウエアの脆弱性を悪用する仕掛けが施されているので、アクセスするだけでウイルスに感染する恐れがある。

 メールを受信した従業員が添付ファイルを開く、あるいはウイルス配布サイトにアクセスすると、ウイルスに感染。ウイルスはパソコンを乗っ取り、機密情報などを攻撃者に送信する。

 同社の調査によると、2012年5月以降、標的型攻撃のメールでは、ウイルスの添付ファイルよりも、ウイルス配布サイトへ誘導するリンクの方が多く使われているという(図1)。

 2012年には、メールに記載されているリンク(ウイルス配布サイトのURL)にも傾向の変化が見られた。以前は、複数の攻撃メールに、同じURLが記載されていることが多かったが、2012年前半になると、1回しか使われないURLが大幅に増えた(図2)。

 つまり、以前は同じウイルス配布サイトを使い回していたが、最近では、1回で使い捨てるようになっているという。「使い捨てることで、攻撃を見破られにくくしている」(シニアシステムズエンジニアの小沢嘉尚氏)。

 一度でも攻撃に使われたWebサイトのURLは、セキュリティ企業などに報告されてブラックリストに登録される。このブラックリストを使うことで、セキュリティ製品のいくつかは、標的型攻撃のメールを検出する。だが、使い捨てのURLを使うことで、この手法では検出できないようにしているという。