Video Screencast Help

ウイルス対策ソフトウェアの更新通知に偽装する手口が復活

Created: 04 Mar 2013 05:07:11 GMT • Translations available: English
Symantec Security Response's picture
0 0 Votes
Login to vote

この数年というもの、標的型攻撃については多くのレポートやホワイトペーパー、ブログが公開されてきました。たとえば、「水飲み場」型攻撃などの高度な感染手法を用いる攻撃もあれば、文書ファイルに悪用コードを隠してソーシャルエンジニアリング手法と組み合わせた攻撃もあります。しばらく前、大量メール送信ワームがマルウェアの主流を占め、偽の電子メールが感染手法として多用されていた頃には、有名なウイルス対策ソフトウェアベンダーからのライセンス更新通知に偽装する手法がありました。

この手法はすでに姿を消したと思われているかもしれませんが、今も依然として活動中である証拠が最近見つかりました。日本の電力会社や工業系大手企業に電子メールが送られてきたケースです。

図 1. ウイルス対策ソフトウェアメーカーに偽装し、Zip ファイルが添付されている電子メール

添付されている .zip ファイルには .doc.exe という拡張子のファイルが含まれており、見るからに怪しそうです。ファイル名も文字化けしていて意味不明です。

図 2. Zip ファイルに含まれるファイルの名前

MS Word のアイコンが使われていますが、実際には実行可能ファイルなので、コンピュータに MS Word がインストールされていなくても実行されてしまいます。シマンテックは、このファイルを Trojan.Dropper として検出します。実行されると、単純なバックドアをコンピュータに投下し(Backdoor.Trojan として検出されます)、コマンド & コントロール(C&C)サーバーに接続して、リモート攻撃者からのコマンドを待ちます。

興味深いのは、何社かの航空会社に送られてきた別の詐欺メールでも、この送信元と同じアドレスが使われていた点で、狙われたのは日本人だと見られます。航空会社を標的にした関係で、攻撃者は電子メールに航空機関連の情報を盛り込むという工夫も見られますが、doc.exe を使う手口は同じです。

図 3. 航空会社に送られてきた添付ファイルのファイル名

このファイルも Trojan.Dropper として検出され、やはり Backdoor.Trojan を投下して、上記と同じ C & C サーバーに接続します。

バックドアを開くことに成功すると、攻撃者はコンピュータの制御権を乗っ取り、情報を盗み出すなど任意の操作を行えるようになります。盗み出された情報は別の攻撃に利用される恐れがあります。

高度な攻撃に対して防御システムを使うことは絶対に欠かせませんが、古くからある単純な手口であっさりコンピュータへの侵入を許してしまうことも少なくありません。セキュリティソフトウェアを導入し、この手の電子メールがあまり受信ボックスに届かなくなると、かえってセキュリティ上の基本的な習慣を忘れてしまいがちです。「天災は忘れた頃にやってくる」という諺を肝に銘じておくようにしましょう。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。