4年前に見つかったWordの脆弱性を悪用した標的型攻撃、IPAが分析レポート


 独立行政法人情報処理推進機構(IPA)は29日、標的型攻撃についての調査レポート「脆弱性を狙った脅威の分析と対策について Vol.4」を発表した。同機構のサイトにおいてPDFで公開している。

 標的型攻撃とは、特定の組織をターゲットにして、その取引先企業や知人などを詐称した差出人でウイルスメールを送付し、情報窃取を狙うもの。今回の「Vol.4」レポートでは、3月18日に確認された標的型攻撃の事例について報告している。

 この標的型攻撃メールは、受信者が業務で加入しているMLあてに送信されたもの。当時話題になっていたニュースを連想させる『「無償化」関連記事』という件名で、本文は「今朝までの記事を送ります。」とあり、DOCファイルが添付されていた。差出人は心当たりのない個人名で、フリーメールのアドレスが使われていた。


3月18日に確認された標的型攻撃メールの特徴(「脆弱性を狙った脅威の分析と対策について Vol.4」より)

 この受信者は、MLの業務とは関係ないメールだったために“違和感”を感じ、添付ファイルを開くことはなかったが、このDOCファイルにはマルウェアが仕掛けられていた。

 DOCファイル内には、ダミーの文書ファイルのほか、悪意のあるシェルコードとマルウェアが含まれており、これを開くと、シェルコードがメモリー上に展開され、DOCファイルの脆弱性を突き、マルウェアをファイルシステム上に生成して実行する。見た目にはダミー文書が表示されるだけだが、裏ではマルウェアに感染してバックドアが開く。

 IPAによると、この攻撃で悪用されていた脆弱性は、「Microsoft DOCの脆弱性により、リモートでコードが実行される(917336)(MS06-027)」として、2006年6月に修正パッチが公開されていたものだった。

 Microsoft製品の定期的なバージョンアップを行っていれば、たとえ添付ファイルを開いたとしてもマルウェアの感染を防げたわけだが、IPAでは、「定期的なバージョンアップを実施していないユーザーが一定数存在することは、攻撃者を含めて広く知られており、そのため、発見から4年が経過した古い脆弱性でも依然として攻撃に利用されている。パソコンの利用者は、基本的なセキュリティ対策であるバージョンアップを確実に実施する必要がある」と指摘している。

 一方で、ゼロデイ標的型攻撃も報告されている。IPAがすでに同レポートの「Vol.3」で報告している2009年12月25日に確認された事例では、その時点でパッチ未提供だったAdobe Reader/Acrobatの脆弱性を悪用していた。

 また、標的型攻撃メールは特定の組織にしか送られないため、ウイルス検体の収集が難しく、ウイルス対策ソフトで検知できるまで時間がかかる可能性も指摘されている。そのため「Vol.3」では、標的型攻撃メールの添付ファイルを開いてしまわないようにするため、実際にメールを受信した人へヒアリング調査した結果から、標的型攻撃メールの“違和感に気付くポイント”をまとめ、注意を呼び掛けている。

 なお、この2つの標的型攻撃の事例では、バックドアの通信方法に独自プロトコルを使う点や接続先ホストが同一である点、マルウェアが中国語OS環境で作成されたものである点、日本語や日本の時事に精通した人がメール本文を作成したと思われる点など、多くの類似点があったとしている。

 IPAでは、「標的型攻撃は特定の組織を標的とするため被害情報が表に出て来づらく、被害に気付きにくい攻撃」と説明し、知らないうちに標的型攻撃の被害に合わないために、近年の標的型攻撃に関する動向と対策を確認しておくよう呼び掛けている。

 このほかIPAは、「2009年度 脆弱性を利用した新たなる脅威の分析による調査 最終報告書」もとりまとめており、同機構のサイトにおいてPDFで公開している。


関連情報


(永沢 茂)

2010/7/30 16:26