中山雄克氏の協力と調査に感謝します。 標的型攻撃は、近年のセキュリティ業界ではすっかりお馴染みの話題です。2010 年1 月に世間を騒がせた Hydraq を思い出す方も多いでしょうし、ごく最近も Shady RAT が話題になりました。 ほとんどの標的型攻撃では、攻撃の発端としてマルウェアが添付された電子メールを伴っています。コンピュータがマルウェアに感染してしまうと、攻撃者はそのコンピュータを危殆化させるだけでなく、狙った組織のインフラと、そこで所有されている機密データをも危険にさらします。 電子メールを伴う標的型攻撃の初期型は 2005 年頃から確認されていますが、この段階で添付されていたファイルとしては、Word 文書、Excel スプレッドシート、PowerPoint プレゼンテーションなどがあり、Access データベースファイルの場合もありました。その後ある時期になると、PDF ファイルが添付されるケースも出現しました。もちろん、Microsoft Office ファイルに見えるようにアイコンを偽装した単純な実行可能ファイルも忘れてはなりません。標的型攻撃では、一部の国や地域に固有のソフトウェアが利用されることもあります。日本のジャストシステム社が開発した「一太郎」などのソフトウェアがよく狙われているほか、アーカイブソフトウェアの Lhaca(これも開発者は日本人です)も悪用されたことがあります。 最近では、Windows Help ファイル(.hlp)の拡張子がマルウェアの配布に利用されている例が確認されています。.hlp ファイルは通常、Windows Help によって使われます。Windows Help は Windows に付属しているプログラムであり、詳しいヘルプ情報を検索して閲覧するためのものです。通常、.hlp ファイルには、ソフトウェアや Windows に関する文書と索引が含まれています。マルウェアの世界で .hlp ファイルは目新しいものではなく、以前から使われていましたが、感染経路としてメールに添付されることはありませんでした。 では、なぜこのタイプのファイルが使われるのでしょうか。それはおそらく、上に挙げたような他のファイルタイプの場合とは異なり、攻撃者が脆弱性に頼らなくて済むからです。通常、悪質なファイルがコードを実行するためには、脆弱性を悪用する必要があります。標的のシステムにパッチが適用済みの場合、攻撃は成功しません。ところが、.hlp ファイルは Windows の API を呼び出すことが可能なので、ファイルにエンコードされているシェルコードを実行できるのです。そのため、ユーザーを誘導して .hlp ファイルを開かせれば、悪質なファイルを簡単にシステムに投下できます。にもかかわらず、ユーザーから見える動作としては、Windows Help が開くだけなのです(以下の図を参照)。
通常は、ユーザーが電子メールで .hlp ファイルを受信するような状況はありえませんが、もし添付されている電子メールを受け取った場合、.hlp ファイルのアイコンは、次の図のように、とても見覚えのあるものです。 私が確認したサンプルではアイコンは偽装されていなかったので、このファイルを開かないようにするのは、他のファイルタイプに比べれば簡単です。とは言っても人間は完璧ではないので、標的となったユーザーのなかには、最終的にこのファイルを開いてしまう人もいるでしょう。したがって、電子メールによる .hlp ファイルの配布を許可する正当な理由がない限り、ネットワークを保護しなければならない管理者の皆さんは、このファイル拡張子をフィルタで除外するようにしてください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。