標的型メール、入社希望者や告発者を自然に装う手口“やりとり型”登場

　警察庁は2月28日、2012年におけるサイバー攻撃の情勢をとりまとめた。標的型メールで、“やりとり型”と呼ぶ手口が発生していたことなどを報告している。

　標的型攻撃では、特定の企業や組織あてにウイルスメールを送信し、これを開いた職員のPCにウイルスを感染させることで、その企業・組織からの情報窃取などを行う。脆弱性を突くコードが仕込まれた添付ファイルは通常、その企業・組織の業務に関連する資料などを装っている。

　警察庁が先端技術を持つ企業などと構築した「サイバーインテリジェンス情報共有ネットワーク」などを通じて同庁が把握した標的型メールは、2012年は1009件に上った。また、それら標的型メールに使われたウイルスの接続先は米国が26％、中国が21％、日本が20％、香港とタイがそれぞれ5％、フランスが2％などとなっている。

　サイバーインテリジェンス情報共有ネットワークには現在、約4900社が参加。標的型攻撃の情報共有などを行い、他の事業者などに対しても注意喚起を実施しているが、その結果、同種の攻撃がほかにも770件発生していたことが分かったという。

　標的型メールで確認されたやりとり型とは、ウイルスファイルを添付した標的型メールを最初から送信してくるのではなく、企業への入社希望者や不正行為の告発者を装って、問い合わせメールなどのやりとりを何通か行い、より自然な状況を装った上で標的型メールを送信してくる手口。

　11月に把握された事案では、入社希望者を装って、まず企業のウェブサイトから問い合わせを行い、これに回答した採用担当者のメールアドレスあてに標的型メールを送信してきた。添付ファイルはパスワードがかかった圧縮ファイルだったため、採用担当者がパスワードを尋ねるメールを送信したところ、それに回答するメールが返信されてくるなど、複数回のやりとりが行われていたという。

　なお、入社希望者を装う標的型メールはこのほかにもあり、履歴書を装った文書が表示される裏で、PCがウイルスに感染する事案も確認されているとしている。

　同じく11月には、不正の告発を装ったやりとり型も確認された。ウェブサイトに公開されているメールアドレスに問い合わせを行い、これに回答した担当者のメールアドレスあてに告発に関連する文書を装って標的型メールを送信してきたという。

　圧縮ファイルを解凍して生成されたのは実際は画像ファイルだったが、RLO（Right-to-Left Override）機能を使い、拡張子をWordファイルに偽装していたとしている。RLOは、文字の並びを右から左に変更するためのUnicodeの制御文字で、アラビア語などを使う際に用いられる。例えば、「fdp.exe」というファイルが「exe.pdf」と表示されるため、実行ファイルをPDFファイルに見せかけることができるわけだ。

　なお、この事案の攻撃者は、架空の日本人名でフリーメールに登録し、そのアドレスから他の重要インフラ企業などにも標的型メールを送信していたとしてる。

　2012年にはこのほか、企業のコンピューターに侵入して個人情報やメールを窃取し、標的型メールを行っていたとみられる事案も確認されている。実際にその企業から送信されたメール本文を流用し、その企業と業務上関係のある企業や組織に標的型メールが送信されていたという。