情報処理推進機構(IPA)は29日、標的型攻撃メールを受信した組織からの相談などを受け付ける窓口「不審メール110番」を設置した。標的型攻撃メールとは、情報の搾取を目的として特定の企業や組織を狙って送信されるウイルス添付メールのことだが、一般の人にはわかりにくいため「不審メール」という名称を採用した。
● 標的型攻撃メール、省庁を狙った事例など日本でも発生
|
IPAをかたった標的型攻撃メールの事例
|
標的型攻撃メールは、2005年10月に外務省の職員を詐称したウイルス付きメールが各省庁に届いた事例で日本でも広く報道されるところとなった。その後、IPAに届け出があったものだけでも、官公庁や新聞社を詐称したものなど4件が確認されているほか、日本の組織を狙った事例が複数報道されている。さらに2008年4月には、IPAをかたる「セキュリティ調査依頼」という件名のメールも送信され、そのうちの1通が宛先不明で配信エラーがIPAに返されてきたことで発覚。IPAが注意喚起した事例もある。
こうした標的型攻撃メールの特徴としては、主に英語などで記述される不特定多数に向けられた大量送信型ウイルスメールとは異なり、特定の組織に送られる。日本の組織をターゲットにしたものは日本語で記述され、送信者は官公庁や大企業など実在の組織などを詐称。件名もターゲットの組織に関係がありそうなものを用い、本文も要件の説明が詳しいため、受信者が信用して添付の文書ファイルを開いてしまう恐れも大きい。
添付ファイルは文書形式であり、対応するアプリケーションの脆弱性を突いてウイルスに感染させる。その結果、PC内のファイルを外部に送信されたり、キーロガーを仕掛けられて入力したIDやパスワードを盗まれるなどの被害が想定される。ただし、感染後の症状が目に見えて重いわけではないため、気付かない場合もあるという。
● 実態把握できず、ウイルス対策ソフトの対応が遅い場合も
|
「不審メール110番」で受け付けた情報の取り扱い
|
|
IPAセキュリティセンター長の山田安秀氏
|
このような標的型攻撃メールは増加していると言われているが、問題は、実体があまり把握されていないことだ。また、特定の組織にしか送られないため検体の収集が難しく、ウイルス対策ソフトのベンダーにとっても対応に時間がかかってしまうことも挙げられる。
IPAセキュリティセンター長の山田安秀氏によると、攻撃範囲が限られ、被害も受信した組織内に収まってしまうため、企業が実際に被害にあっても、これを広く周知し、情報を共有するメリットがないという。逆に、感染したとすれば恥をさらしてしまうとの考えもあり、公にしようとしない場合もある。「全体として、どれだけの数が配信されていて、どれだけの企業が被害に遭っているのかほとんどわからない」。
そこでIPAでは今回、日本国内の被害状況を把握するとともに、標的型攻撃メールを分析する必要があると判断。標的型攻撃メールの情報を網羅的に収集し、対策の推進に役立てる。
情報は、届け出た企業が許諾した範囲内で公表。特定の企業名や被害状況などプライバシーに触れる部分を除いて、統計データとしてとりまとめるとしている。また、情報をウイルス対策ベンダーにも提供して被害拡大の防止にあたるほか、ソフトの未公開の脆弱性が悪用されている場合には、既存の「早期警戒パートナーシップ」の枠組みでJPCERT/CCと連携して開発元に情報を提供、修正を促す。
● 「不審メール」を開かざるを得ない場合の注意点
|
標的型攻撃メールの特徴
|
なお、IPAセキュリティセンター調査役の木邑実氏は、明らかにウイルス被害の際は既存のIPAの窓口へ届け出て欲しいと説明。一方、標的型攻撃メールの疑いがあるメールを受信した場合は、まず送信者に問い合わせて正規のメールかどうか確認した上で、正規メールではない場合に不審メール110番へ相談して欲しいとした。
IPAではまた、企業の営業部門や顧客対応部門などの場合は知らない人からのメールでも開かざるをえない場合があるとして、インターネットに接続していないPCで開くなどの対処法を紹介。また、1種類のウイルス対策ソフトでは検知できない場合もあるため、複数のウイルス対策エンジンで検体をチェックできるサイト「VirusTotal」を利用することも有効だとしているほか、WindowsやMicrosoft Office以外のワープロソフトや画像表示ソフト、圧縮ソフトなどのアップデートを行うことなどを紹介している。
関連情報
■URL
ニュースリリース
http://www.ipa.go.jp/security/announce/20080929.html
■関連記事
・ 7.9%の組織が標的型攻撃のメールを受信、IPA調査(2008/04/17)
・ 標的型メール攻撃に“予防接種”は有効か? JPCERT/CCが実験(2008/08/08)
( 永沢 茂 )
2008/09/29 20:41
- ページの先頭へ-
|