大規模なサイバースパイ活動が、大手企業や政府機関を狙っていることが明らかになりました。この活動で主に使われているのは、スピア型フィッシング攻撃です。
今回のスピア型フィッシングメールには、Word 文書や Excel スプレッドシートが添付されており、3 つの既知の脆弱性を悪用してコンピュータに感染します。この 3 つの脆弱性は以下のとおりです。
さらに、Oracle Java SE の Rhino スクリプトエンジンに存在するリモートコード実行の脆弱性(CVE-2011-3544)を悪用する攻撃も存在し、これは以下の名前で検出されます。
この脅威は、以下の侵入防止シグネチャ(IPS)でも遮断されます。
当初このマルウェアのサンプルは、Backdoor.Trojan として検出されていましたが、シマンテックは最近になって、以下の検出定義を新たに追加しました。
図 1. Backdoor.Rocra の拡散状況
図 2. Backdoor.Rocra の標的
この攻撃に使われるスピア型フィッシングメールの例を以下に示します。このようなメールは、Symantec Mail Security for Microsoft Exchange によって遮断されます。
図 3. Backdoor.Rocra で使われるスピア型フィッシングメールと添付ファイル
図 4. Backdoor.Rocra によるスピア型フィッシングメールに添付された悪質なファイル
大規模な攻撃活動にスピア型フィッシングメールが使われるのは今回が初めてではありません。むしろ常套手段とも言えるので、これが最後になるとも考えられませんが、最近は「水飲み場」型攻撃(標的組織によってアクセスされる可能性が高い特定の Web サイトに侵入する攻撃)を使う活動も増加傾向にあります。「水飲み場」型攻撃について詳しくは、ホワイトペーパー「The Elderwood Project」(英語)をご覧ください。
お使いのオペレーティングシステムとソフトウェアが最新版であることを確認し、疑わしいリンクをクリックしたり、怪しい添付ファイルを開いたりしないにしてください。
「Red October」活動についてさらに詳しい情報をお求めの場合は、Kaspersky 社が公開している「"Red October" Diplomatic Cyber Attacks Investigation」というホワイトペーパーを参照してください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。