2013 年 4 月、シマンテックは、ヨーロッパの限定された組織を標的として高度なソーシャルエンジニアリング攻撃が続いているという警告を受け取りました。一連の攻撃で最も際立った特徴は、従業員または業務関係者になりすました攻撃者からの電話を被害者が受けているという点です。電話口の相手はフランス語で話し、電子メールで送信した請求書を処理してほしいと依頼してきます。
この攻撃で送られてきた電子メールの例を以下に示します。電子メールには通常、悪質なリンクが記載されているかファイルが添付されており、添付ファイルの正体はリモートアクセス型のトロイの木馬(RAT)、W32.Shadesrat の亜種です。
図 1. スピア型フィッシング攻撃の電子メール
この攻撃は、2013 年 2 月には始まっていたことを示す証拠がありますが、フィッシングメールが送られてくるよりも前に電話がかかってくるようになったのは、ごく最近の 4 月になってからです。この攻撃は現在、フランスの企業に合わせてローカライズされていますが、フランス国外で営業している子会社も標的になっています。
図 2. 感染した組織の国別の数
攻撃者が、攻撃に先立って被害者のメールアドレスと電話番号を入手していたことは明らかであり、その意味で準備は万端です。この攻撃で被害者になる傾向があるのは、企業の経理部門や財務部門に勤務する従業員です。請求書の処理が日常的な業務の一環なので、このワナが説得力を持ったとしても不思議ではありません。攻撃の各段階では慎重な計画を要しますが、ひとたび計画できれば最終的な攻撃の成功率は高くなります。
図 3. 攻撃の一連のサイクル
今回の攻撃者の動機は、金銭の詐取以外に考えられません。企業の経理部門に勤務する従業員を標的にすれば、重要な会計情報にアクセスできる確率は高くなります。こうした従業員は、企業を代表して取引を処理する権限を持っている可能性もあるので、従業員がオンライン取引や大切な銀行口座情報に必要なセキュリティ証明書にアクセスできるとしたら、これほど価値のある標的はありません。このような従業員が、さらにソーシャルエンジニアリング攻撃を続けるために必要な情報源になってしまうことも考えられます。請求書や契約書からは、万全の攻撃を実行し続けるために必要なあらゆる情報(電子メール、電話、関連する購買/販売契約など)が手に入ります。
このような攻撃は現在までに増え続けていることから、企業は高度なソーシャルエンジニアリング攻撃に対してさらに厳重な警戒が必要です。攻撃者が限られた情報しか持っていない場合でも、電話で質問を重ねれば請求の正当性を判断できる可能性があります。また、個人を特定できる従業員情報が社外に保管されている場合には、たとえ請求書という形にすぎなくても、業務関係者が侵入を受けたときには不利な材料になってしまうことを意識してください。機密性の高い情報を扱う従業員は、そういった情報を安全な場所に必ず暗号化して保管すべきです。そのうえで、アクセスする際には、完全にパッチ適用済みで万全のセキュリティ対策を実施済みのコンピュータを使うようにしてください。
今回の攻撃に使われたトロイの木馬は、リモートアクセス型のトロイの木馬(RAT)、W32.Shadesrat です。W32.Shadesrat(別名 Blackshades)は、さまざまな攻撃者に利用されており、そのスキルレベルも多様です。一般に入手できるトロイの木馬であり、ライセンス料は年間 40~100 ドル程度です。2012 年 6 月には、FBI が世界的に展開していたおとり捜査の一環として、Blackshades プロジェクトの関係者のひとり、Michael Hogue(通称「xVisceral」)が逮捕されました。しかし、この RAT は依然としてさかんに開発が続いており、短期間で一掃される気配すらありません。
図 4. W32.Shadesrat の感染件数(重複を数えず): 上位 10 カ国
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。