PR

 「特定の企業や組織を狙う『標的型攻撃』は以前から話題になっているものの、その実態はよく分からなかった。公表されるのは、官公庁を狙った攻撃がほとんど。だが、このほどラックでは、国内の民間企業を狙った標的型攻撃を確認した」。セキュリティ企業ラックのサイバーリスク総合研究所 先端技術開発部 部長を務める新井悠氏は2008年12月18日、報道陣向けの説明会において、同社が2008年9月以降確認している標的型攻撃について解説した(図1)。

 ラックが確認したのは、メールを使った標的型攻撃。2008年9月10日、ラックのサービスを利用している、ある国内企業に送られてきたという。メールの送信者アドレスは、外務省のアドレスになっていて、内容も外務省からの情報に見せかけていた(図2)。メールに書かれた部局(外務省欧州局西欧課)も実際に存在するという。「攻撃者はよく調べている」(新井氏)。

 メールには、実行形式ファイル(.exe)をZIP圧縮したファイルが添付されていた。この実行形式ファイルがウイルス。だが、同企業で利用しているウイルス対策ソフトは無反応。迷惑メール対策製品(スパムフィルター)も使っていたが、素通りだったという。

 感染しなかったのは、このメールを受け取ったユーザーが注意深かったため。「『外務省から自分あてにメールが送られてくるなんておかしい』と思い、ラックに報告してくれた。そして解析した結果、ウイルスであることが分かった」(新井氏)。

 その後も同企業には、内容を変えた標的型攻撃メールが、毎週1通以上送られてきて、現在でも継続しているという。いずれも、最初のメールと同様に官公庁などをかたるものがほとんど。ユーザーが本物だと信じるように“工夫”を凝らしていたという(図3)。

 例えば、現在の総理大臣が就任する前には、「自民党広報本部」をかたるメールに、自民党総裁選の情報に見せかけたウイルスが添付されていた。総理大臣が国連総会で演説した翌日には、その内容をまとめた文書ファイルとしてウイルスが送られてきた。このときの送信者は「内閣広報室」。

 経済産業省通商政策局のある人物から送られたとするメールには、人事異動に関する情報としてウイルスが添付。ラックで同局に問い合わせたところ、この人物は実在するという。「何らかの情報に基づいて、実在する組織や個人をかたって送っている」(新井氏)。

 いずれの攻撃メールについても、最初のメールと同様に、ウイルス対策ソフトなどは無反応。しかしながら、最初の攻撃メールによって警戒心が高まっていたので見抜くことができたという。

 今回の一連のウイルスを解析したところ、パソコンに保存された情報や入力された情報を盗むことに特化していたという。例えば、パソコンで動いているプロセス名やウインドウ名、ハードウエアスペックなどの一覧を収集したり、入力されたキー情報やスクリーンショットなどを取得したりする機能を備える。

 一方で、感染を広げる機能は全くない。「最近では、多くの企業・組織においてセキュリティ対策が進んでいるので、感染を広げようとすると、発見される可能性が高まる」(新井氏)ためだ。

 標的型攻撃は防ぐことが難しい。このため「効果的な対策方法については、引き続き検討していく必要がある」(新井氏)。