ページの本文へ

Hitachi

Hitachi Incdent Response Team

HIRT-PUB09002:ウイルス添付メールの今と昔

-仮想体験デモ(1)-

更新日:2009年3月23日

標的型攻撃という用語が広がり始めたのは2005年頃で、おそらくUS-CERTが発行した「TA05-189A: Targeted Trojan Email Attacks」という注意喚起がきっかけだったと思います。2007年以降、国内でも標的型攻撃に関する調査報告がではじめたことにより、身近な用語となってきました。

ただ、用語を知っていても、あまり実感がわかないのも事実です。 そこで、HIRT-PUB09002では、「ウイルス添付メールの今と昔」と題し、ウイルス添付メールの受信者の視点から、標的型攻撃を紹介したいと思います。

比較してみよう

「ウイルス添付メールの今」として、2008年に確認されたTROJ_PIDIEF.DUを取り上げます。また、「ウイルス添付メールの昔」として、2000年に流布したVBS/Loveletterウイルスと2004年に流布したW32 /Netskyウイルスを取り上げます。

TROJ_PIDIEF.DU 【2008年6月】

コンピュータセキュリティシンポジウム2008(CSS2008)のCFP(Call For Paper:論文募集)を装ったメールに、TROJ_PIDIEF.DUが仕掛けられたPDFファイルが添付され、関係者に対して送信されました。

VBS/Loveletter(ラブレター)【2000年5月】

電子メールの件名(ILOVEYOU.)と内容(kindly check the attached LOVELETTER coming from me.)は、思わず添付ファイルを開きたくなるような興味を引く内容となっています。また、添付ファイルは、拡張子vbs(Visual Basicのスクリプトファイル)の前にtxtが付加された二重拡張子となっています。

W32/Netsky(ネットスカイ)【2004年2月〜】

W32/BagleとW/32Netskyは、互いに開発を競い、亜種出現量は多いときで双方合わせて約30種件/月(2004年3月)でした。主にpif(MS-DOS アプリケーションへのショートカット)という拡張子の付いたファイルが添付されていました。

では、これら3つのウイルスをメール受信画面、感染後の活動で比較してみましょう(表1)。

表1:ウイルス添付メールの今と昔の比較
  ウイルス添付メールの今
いわゆる標的型攻撃
ウイルス添付メールの昔
いわゆる無差別攻撃
該当 ウイルス TROJ_PIDIEF.DU (2008年) VBS/Loveletterウイルス (2000年)
W32/Netskyウイルス (2004年)
メール 受信画面

メール受信画面-1
画像を拡大する
(新規ウインドウを表示)

メール受信画面-3
画像を拡大する
(新規ウインドウを表示)

メール受信画面-2
画像を拡大する
(新規ウインドウを表示)

感染後の 活動 攻撃者が用意したサーバから有害なプログラム等をダウンロードしたり、情報をアップロードする。 自分自身の分身を多数作成するために、ウイルス添付メールを大量に送信する。

標的型攻撃は、特定の組織あるいはグループを攻撃対象とした活動と解説されています。これをウイルス添付メールにあてはめてみると、、「いかにも怪しい、不審なメール」ではなく、「怪しさを感じさせない普通のメール」となるよう、攻撃対象となる組織あるいはグループにあわせた工夫をすることになります。

仮想体験デモ

特定の組織や分野を狙った標的型攻撃の一例として、対応経過と検体解析結果と共に、着信したウイルスメールの仮想体験デモが提供されています。

仮想体験デモは、ボタン操作(デモ開始、少しだけ巻き戻し)の可能な Flash ファイルのムービーです。デモを開始することにより、実際のウイルス感染活動が発生するわけではありませんので、標的型攻撃で利用されるメールを実感するという点からも、是非活用してみてください。

Adobe Flash Playerのダウンロード
Flash形式のファイルをご覧になるには、Adobe Systems Incorporated(アドビシステムズ社)のAdobe Flash Playerが必要です。

対策

標的型攻撃の対策についても、実態把握に合わせて整備されつつあります。多くの調査報告が、「不審なメール」という用語を使って注意喚起を促していますが、実際に標的型攻撃で利用されるメールは、コンピュータセキュリティシンポジウム2008(CSS2008)のCFPを装ったメールを見る限り、怪しさを感じさせない普通のメールです。まずは、怪しさを感じさせない普通のメールが攻撃に利用されているという認識が対策のための第一歩として重要なのかもしれません。

*1
不審なメールとは、実在の企業名や官公庁名をかたって、特定の組織に添付ファイル付きのメールを送り、その添付ファイルを開くとその組織の情報を盗むウイルスなどに感染させられるメールと定義している。

関連情報

更新履歴

2009年3月23日
  • このページを新規作成および公開しました。

寺田/HIRT