「LINE」人気に便乗した標的型攻撃が発生、台湾政府機関を狙う

　トレンドマイクロ株式会社は8日、「LINE」の人気に便乗して台湾政府機関を狙った標的型攻撃を確認したとして、注意を喚起した。

　攻撃で送られてくるメールの件名には「LINE」が含まれ、「add_line.zip」という名前のファイルが添付されている。このメールは、政治家の秘書から送信されたものと称して、受信者（台湾政府関連機関の職員）に対し、LINE上の特定グループへの登録を促し、さらにプロファイリング目的と称して情報提供も促す。

　実際にユーザーが圧縮ファイルを開封すると、中には「add_zip.exe」という名前のEXEファイルが含まれており、このファイルはトレンドマイクロ製品ではバックドア型不正プログラム「BKDR_MOCELPA.ZTCD-A」として検出される。

標的型メールに添付された圧縮ファイル

　トレンドマイクロの解析によると、この攻撃は不正なWordファイルを用いた標的型攻撃キャンペーン「Taidoor」と関連している可能性があるという。Taidoorは、正規のWord文書を表示させつつ、バックグラウンドで不正プログラムが最終的な不正活動を行うという手口が用いられる。Windowsコモンコントロールに存在する脆弱性「CVE-2012-0158」を悪用する検体も確認されており、この攻撃では米国の軍需企業や日本の企業が標的とされた。

　Taidoor関連の不正プログラムは、トレンドマイクロの製品では「BKDR_SIMBOT」の亜種として検出しており、2014年にはゼロデイ脆弱性「CVE-2014-1761」を悪用した2件の攻撃により、台湾の政府機関と教育機関が標的となっている。

　トレンドマイクロでは、一般消費者向けのIT製品やサービスを利用する「コンシューマライゼーション」や、個人所有の端末機器を職場で利用する「Bring Your Own Device（BYOD）」の普及は、費用の削減や生産性の向上といった恩恵をもたらす一方、企業環境での利用にはセキュリティが大きな課題の1つだと説明。今回の攻撃でも、標的にした機関が業務でLINEを利用していることを攻撃者が知っていたため、ソーシャルエンジニアリングの手口で悪用されたと言えるとして、注意を促している。