ESET 社の先日のブログによれば、標的型のサイバースパイ攻撃がインドから発信されているようです。複数のセキュリティベンダーがその活動を追跡していますが、この攻撃はかなりの広範囲にわたって 4 年以上前から続いていたと見られています。シマンテックの遠隔測定によると(図 1)、攻撃はパキスタンに集中しており、特に政府系機関が狙われています。
図 1. 南アジアで目立った活動を示す遠隔測定データ
この攻撃の感染経路は、悪質なファイルが添付されたスピア型フィッシングメールであることが確認されています。添付されているのは、Microsoft Windows コモンコントロールの ActiveX コントロールに存在するリモートコード実行の脆弱性(CVE-2012-0158)を悪用した悪質な文書です。
悪用に成功すると、この文書によって投下されたマルウェアを利用して情報が標的から盗み出され、攻撃者のサーバーに送信されます。
シマンテック製品は、このスピア型フィッシングに使われている Word 文書を Trojan.Mdropper として検出し、投下されるマルウェアを Downloader および Infostealer として検出します。
お使いのソフトウェアが最新版であることを確認し、疑わしいリンクをクリックしたり、怪しい添付ファイルを開いたりしないようにしてください。
標的型攻撃から保護するために、シマンテックの最新技術をお使いいただき、多層防御を導入することをお勧めします。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。